Час перевірити рівень кібербезпеки в медицині 

Або як пандемія вплинула на безпеку медичних установ. 

Галузь охорони здоров’я довгий час була основною ціллю кіберзлочинців, але з моменту появи COVID-19, організації, що знаходяться на передньому фронті боротьби з пандемією, зазнали зростання інцидентів і атак, пов’язаних з кібербезпекою. Кібербезпека в медицині дійсно виходить на більш важливе місце.

У період з лютого по червень 2020 року організації, що мають відношення до HIPAA, повідомили про 192 великомасштабних витоки даних з Управління з цивільних прав (OCR) Міністерства охорони здоров’я і соціальних служб США – більш ніж в два рази більше, ніж було зареєстровано за той же період в 2019 році.

 

Хоча типи кіберзагроз, з якими медичні організації зіткнулися під час пандемії COVID-19, не є чимось несподіваним, такі фактори, як швидкий перехід до віддаленої роботи, розширення телемедицини та додаткове навантаження на ресурси, які відчуваються багатьма організаціями, об’єдналися, щоб створити нові проблеми.

Наприклад, в останні місяці деякі медичні організації, тимчасово послабили правила брандмаузера (безпеку операційної системи Windows), щоб полегшити додаткові можливості роботи з дому, скоротили кількість постачальників або уклали нові контракти, щоб швидко розгорнути або розширити можливості телемедицини.

Розвиток кіберзагроз в медицині в зв’язку з COVID-19

Хоча типи кіберзагроз, з якими медичні організації зіткнулися під час пандемії COVID-19, багато в чому аналогічні тим, котрі відбувалися до COVID-19, шахраї використовують страх, пов’язаний з пандемією.

 

Центр скарг на інтернет-злочини повідомив, що за березень вони отримали 1200 скарг, пов’язаних з кібератаками, пов’язаними з коронавірусом, що набагато перевищує кількість скарг, отриманих ним у співвідношенні всіх видів інтернет-шахрайств в 2019 році.

Влада попередила, що кіберзлочинці націлені на органи охорони здоров’я, фармацевтичні компанії, наукові співтовариства, медичні дослідні організації та місцеві органи влади, а також на інших осіб, які беруть участь в національних роботах з питань пандемії.

 

Крім спроби крадіжки інформації в комерційних цілях, хакери можуть спробувати вкрасти цінну інформацію, пов’язану з пандемією, наприклад конфіденційні дослідження по COVID-19, або відомості про національну і міжнародну політику в галузі охорони здоров’я.

 

Хитрі хакери, які використовують кризу COVID-19 – це глобальна проблема. У березні Канадський центр кібербезпеки попередив про зловмисних хакерів, націлених на їх сектор охорони здоров’я. Вони атакують установи, щоб отримати несанкціонований доступ до інтелектуальної власності, досліджень і розробок, пов’язаних з COVID-19.

 

Чеська Республіка також зіткнулася з серією інцидентів в області кібербезпеки, в тому числі з атакою на один з найбільших центрів тестування COVID-19, в результаті чого він припинив роботу і перевів пацієнтів в інші лікарні. Небезпека для здоров’я і безпеки населення, яка виникає внаслідок такої зловмисної діяльності, спонукала Державний департамент США вжити глобальні дії.

 

Нижче наведено кілька прикладів кіберзагроз в епоху COVID-19, а також деякі практичні кроки, які організації можуть зробити для управління кібер ризиками в сьогоднішньому все більш віртуальному середовищі.

Загрози програм-шантажистів, націлені на медичні організації

На ранніх етапах пандемії хакерські групи обіцяли захистити лікарні та медичні установи від своїх кібератак. Ці «обіцянки» були недовгими. У березні хакери використовували варіант вірусу шантажиста, відомий як Maze, для атаки на британську лабораторію, яка тестувала вакцини проти COVID. Maze має можливість витягувати файли з системи і змушує жертву заплатити викуп, погрожуючи опублікувати дані в темній мережі інтернету. На щастя, установі вдалося відновити свої системи, але це не завадило хакерам змусити їх заплатити викуп, опублікувавши в Інтернеті тисячі записів пацієнтів, що містять медичні анкети та копії паспортів (сама ж установа нічого не заплатила). У червні Каліфорнійський університет в Сан-Франциско повідомив, що заплатив викуп у розмірі 1,14 мільйона доларів після того, як шкідливе ПЗ зашифрувало певні сервери в його медичних школах.

 

У відповідь на триваючу загрозу атак програм-шантажистів, націлених на сектор охорони здоров’я, група аналітиків захисту від загроз Microsoft попередила лікарні, що їх мережеві пристрої і віртуальні приватні мережі є конкретними цілями, оскільки організація переходить до віддаленої роботи персоналу, а значить отримує більше загроз в забезпеченні кібербезпеки при віддаленій роботі.

 

Агентство з кібербезпеки і безпеки інфраструктури (CISA) 22 травня випустило попередження, в якому агентство повідомило, що незахищені VPN очолюють список вразливостей, які регулярно використовуються досвідченими кібер-злочинцями в 2020 році. 

The REvil – одна з кампаній програм-шантажистів, які активно використовують ці уразливості для проникнення в інфраструктуру організації. Після успішної експлуатації, хакери можуть викрасти облікові дані, підвищити рівні доступу і переміщатися по зламаній мережі, встановлюючи програми-шантажисти або інше шкідливе ПЗ.

 

На відміну від саморозповсюджуваних програм-шантажистів, таких як WannaCry або NotPetya, в яких хакери використовують методи крадіжки облікових даних і особливого пересування, Maze і REvil представляють собою керовані людиною програми-шантажисти, які включають в себе тактику соціальної інженерії, яка використовує страх користувачів і їх потребу в інформації. Ось чому хакери, які стоять за цими вірусами-шантажистами, націлені на організації, які найбільш уразливі до проникнення. Наприклад, ті, у яких не було часу або ресурсів для оцінки загроз кібербезпеки, встановлення останніх оновлень, оновлення брандмаузера або перевірки рівнів доступу користувачів в адміністративну частину інформаційних мереж. В епоху COVID-19 організації охорони здоров’я виявилися особливо вразливими.

Фішингові атаки, пов’язані з COVID

Зловмисники, які здійснюють фішингові атаки по електронній пошті, використовували страхи з приводу коронавірусу і намагалися видати себе за іншу людину, наприклад, за співробітника державних органів, таких як Центр по контролю за захворюваннями або Всесвітньої організації охорони здоров’я, щоб змусити користувачів ввести облікові дані або натиснути на посилання, які встановлюють шкідливе ПЗ і вміщують конфіденційні дані та інформацію під пароль.

За даними Bitdefender, лікарні та клініки, фармацевтичні заклади дистриб’ютори медичного обладнання є найбільш частими цілями фішингових кампаній по електронній пошті з повідомленнями про лікування і терапії COVID або про засоби індивідуального захисту (ЗІЗ).

 

Фактично, американські, канадські і європейські організації, які поспішають розробити вакцину проти коронавірусу, стали мішенню кіберзлочинців, які прагнули вкрасти дані досліджень і медичних ланцюжків поставок, щоб виграти гонку за вакциною. І тут точно відслідковується  слід державних хакерів.

 

За даними Агентства національної безпеки, хакери, відповідальні за це шпигунство щодо медичних установ, відомі як ART29 і Cozy Bear – ті ж групи, які були пов’язані зі зломом серверів Національного комітету Демократичної партії під час виборів 2016 року.

 

Інший метод фішингу – це фішинг голосової пошти (Вішинг). Деякі медичні організації використовують застарілі телефонні системи, відомі як Private Branch Exchange (PBX), для автоматизації викликів і записи повідомлень голосової пошти, які відправляються в поштові скриньки користувачів, щоб співробітники не пропустили важливі повідомлення при віддаленій роботі.

Схема передбачає, що зловмисники підробляють повідомлення з системи PBX і інформують співробітника про те, що у них є нове повідомлення голосової пошти. Щоб почути повідомлення, користувач потрапляє на веб-сайт, який імітує інтеграцію з АТС з метою крадіжки облікових даних. Хакери покладаються на той факт, що користувачі мають однакові облікові дані для доступу на декількох платформах, які можуть містити особисту або конфіденційну інформацію.

Підбір паролів (і додавання облікових даних) в організаціях охорони здоров’я

Підбір паролів – це тип атаки методом перебору, при якому хакери намагаються отримати паролі відразу декількох облікових записів, вводячи безліч імен користувачів або адресу електронної пошти в програму, яка намагається зіставити ці облікові записи з часто використовуваними паролями. Спільні повідомлення, випущені CISA і Національним центром кібербезпеки Великобританії (NCSC), попереджають про цю загрозу, спрямовану на охорону здоров’я і медичні організації, і рекомендують користувачам змінити всі паролі, які можна було б підібрати, на більш складні паролі, створені наприклад з трьох випадкових слів .

 

Таке ж заповнення облікових даних включає автоматичне введення комбінацій імен користувачів і паролів, які раніше були вкрадені, зазвичай в результаті витоку старих даних, для отримання доступу до облікових записів користувачів.

 

У квітні більш 500000 облікових даних Zoom, які були зібрані шляхом підбору облікових даних, були продані в даркнеті менш ніж за долар, а в деяких випадках були віддані безкоштовно.

Наслідки цього проявилися в зростанні масштабних бомбардувань та інших зловмисних дій, пов’язаних з безпекою відеоконференцій. Щоб знизити ризик атак такого типу, організаціям наполегливо рекомендується впроваджувати багатофакторну аутентифікацію і наполягати на тому, щоб співробітники періодично змінювали свої паролі.

Поради щодо поліпшення кібербезпеки в медицині

Оновіть свої плани аналізу ризиків кібербезпеки і управління ризиками.

Переконайтеся, що ваш аналіз ризиків безпеки був оновлений з урахуванням технологічних і операційних змін, внесених у відповідь на пандемію, і реалізує всі відповідні плани обробки ризиків, щоб знизити ймовірність виникнення неприємних інцидентів кібербезпеки, таких як атака програм-шантажистів.

Зокрема, не забудьте визначити потенційні ризики і уразливості, пов’язані з розширенням віддаленої роботи, розгортанням нових можливостей і технологій телемедицини та розробкою додаткових місць для тестування і лікування.

Підтвердіть повну відповідність операцій при телемедицині.

Організації, які розгорнули послуги телемедицини способом, який, можливо, не повністю відповідав стандартам HIPAA  – відповідно до повідомлень OCR про дотримання норм безпеки -, повинні переконатися, що вони, як мінімум, виконали всі рекомендації (наприклад, включення всіх доступних налаштувань шифрування і конфіденційності, повідомлення пацієнтів про потенційні ризики конфіденційності, висновок відповідної угоди про співпрацю з постачальником технологій кібербезпеки на надання послуг). У відповідності з основними принципами добровільної кібербезпеки Міністерства охорони здоров’я і соціальних служб для медичних організацій, постачальники повинні також виявляти недоліки в законодавстві про HIPAA та інших законах про конфіденційність і безпеку, а також розробити план щодо усунення будь-яких вразливостей якомога швидше щоб вивести на новий рівень кібербезпеку у медицині.

Ознайомтеся з політиками і процедурами конфіденційності та кібербезпеки.

Вивчіть і, при необхідності і розширьте свою політику і процедури конфіденційності та безпеки, щоб переконатися, що вони адекватно відображають поточні операції, особливо щодо віддаленої роботи, телемедицини та будь-яких інших нових розширених операцій. Додаткова інформація від Katten про передові методи віддаленої роботи доступна тут.

Відновіть навчання співробітників

Щоб співробітники знали про свої зобов’язання щодо забезпечення конфіденційності і безпеки в епоху COVID, регулярно проводьте навчання за своєю політикою і публікуйте політику у внутрішній мережі організації або розсилайте їх персоналу по електронній пошті (як захистити пошту від злому). Навчання має бути практичним і відображати сьогоднішнє віртуальне середовище – від використання безпечних інструментів для спільної роботи до виявлення фішингових листів і шахрайства COVID і безпечного видалення документів при роботі з дому. Ваш Datami.