Кибератаки в сектора на здравеопазването

Кибератаки в сектора на здравеопазването
panda security

Тъй като секторът на здравеопазването продължава да предлага жизненоважни услуги, като същевременно работи за подобряване на лечението и грижите за пациентите с помощта на нови технологии, престъпниците и участниците в киберзаплахи се стремят да използват уязвимостите, които са свързани с тези промени. В следващата поредица от блогове ще бъдат разгледани мислите на един от анализаторите на MS-ISAC относно днешните източници на неудовлетвореност за специалистите по ИТ и киберсигурност в здравеопазването.

Индустрията на здравеопазването е измъчвана от безброй проблеми, свързани с киберсигурността. Тези проблеми варират от зловреден софтуер, който компрометира целостта на системите и неприкосновеността на личния живот на пациентите, до разпределени атаки за отказ на услуги (DDoS), които нарушават способността на лечебните заведения да предоставят грижи на пациентите.

Докато други сектори на критичната инфраструктура се сблъскват с тези видове атаки, естеството на мисията на здравната индустрия поставя уникални предизвикателства. Кибератаките в здравеопазването могат да имат последици, надхвърлящи финансовите загуби и нарушаването на неприкосновеността на личния живот. Например, рансъмуерът е особено сериозна форма на зловреден софтуер за болниците, тъй като загубата на данни за пациентите може да изложи на риск живота им.

Рансъмуер: в сектора на здравеопазването

Трудно е да се пренебрегне неотдавнашното увеличаване на броя на съобщенията за болници, станали жертва на рансъмуер. Въпросът за рансъмуера стана толкова актуален, че MS-ISAC, заедно с партньорите ни от Националния център за обмен и анализ на информация в здравеопазването (NH-ISAC) и Центъра за обмен и анализ на информация в областта на финансовите услуги (FS-ISAC), обединиха усилията си, за да проведат обучения в цялата страна за това как да се защитим от него. Ransomware е вид зловреден софтуер, който заразява системи и файлове, като ги прави недостъпни до заплащане на откуп. Когато това се случи в сектора на здравеопазването, критичните процеси се забавят или стават напълно нефункционални. Тогава болниците са принудени да се върнат към използването на хартия и химикал, което забавя медицинския процес и в крайна сметка отнема средства, които иначе биха могли да бъдат отпуснати за модернизация на болницата.

Обикновено рансъмуерът заразява машините на жертвите по един от трите начина:

  • чрез фишинг имейли, съдържащи злонамерен прикачен файл
  • чрез щракване върху злонамерена връзка от страна на потребителя
  • чрез разглеждане на реклама, съдържаща зловреден софтуер (malvertising)

Непрекъснато развиващите се варианти и тактики, техники и процедури (TTP) затрудняват експертите по сигурността да бъдат в крак с тях. Освен това платформи като ransomware as a service (RaaS) улесняват всеки, който има малко или никакви технически умения, да извършва ransomware атаки срещу жертви по свой избор.

Пример:
Неотдавна множество болници в цялата страна бяха заразени с ransomware чрез остарял сървърен софтуер JBoss[ii]. В тези случаи нападателят е качил злонамерен софтуер на остарелия сървър без никакво взаимодействие от страна на жертвата, за разлика от заразяването на болниците чрез обикновени работни станции, използвани от ежедневния персонал. Холивудската презвитерианска болница в Калифорния е една от засегнатите болници, в случай, който забавя грижите за пациентите и в крайна сметка води до това, че болницата плаща 17 000 USD, за да възстанови достъпа до файловете и мрежата си. Хакерите са използвали инструмент с отворен код, JexBoss, за да търсят в интернет уязвими сървъри JBoss и заразени мрежи, независимо в коя индустрия работят. Въпреки че няма категорични доказателства, някои предполагат, че високите искания за откуп, наблюдавани в случаи, свързани със здравеопазването, показват, че участниците в киберзаплахите са били наясно кого са заразили. Възможно е да са били наясно, че устройствата, компрометирани в процеса на заразяване, често са от решаващо значение за мисията на болниците и софтуерът за откуп може да ги направи недостъпни, забавяйки грижите за пациентите и същевременно предизвиквайки огромен натиск за незабавно отстраняване на проблема. Този натиск, съчетан с факта, че болниците обикновено разполагат с финансови ресурси, потенциално увеличава вероятността нападателите да получат пари.

Препоръки

За организациите, които не са се подготвили за тази атака, рансъмуерът може да бъде изключително вреден за ежедневните операции, като блокира достъпа до файлове и системи.

 

Нарушения на сигурността на данните: В сектора на здравеопазването

Изглежда, че всеки ден поредната болница попада в новините като жертва на нарушение на сигурността на данните. Рутинната процедура е позната – лицата получават уведомление по електронна поща за нарушението, придружено от две години безплатен мониторинг на кредитите и самоличността. (Човек може да си зададе въпроса – остана ли някой, който да не е наблюдаван?)

Според Доклада на института Ponemon и Verizon за разследванията на нарушения на сигурността на данните, в здравната индустрия се наблюдават повече нарушения на сигурността на данните, отколкото във всеки друг сектор. Макар че в това твърдение може да има известен потенциал за пристрастие поради точно определените, законово регламентирани изисквания за докладване на Закона за преносимост и отчетност на здравното осигуряване (HIPPA). Законът увеличава вероятността нарушенията в здравеопазването да бъдат докладвани в сравнение с нарушенията в други сектори.

Причини за нарушения в сектора на здравеопазването

Нарушенията се наблюдават широко в сектора на здравеопазването. Те могат да бъдат причинени от много различни видове инциденти, включително зловреден софтуер за кражба на удостоверения, вътрешен човек, който целенасочено или случайно разкрива данни на пациенти, или загубени лаптопи или други устройства.

Личната здравна информация (ЛЗИ) е по-ценна на черния пазар от данните за кредитни карти или обикновената лична информация (ЛИ). Поради това киберпрестъпниците имат по-голям стимул да се насочват към медицински бази данни. Те могат да продадат PHI и/или да я използват за лична изгода. Към момента на писане на настоящия доклад над 15 милиона здравни досиета са били компрометирани от нарушения на сигурността на данните, според доклада за нарушенията в здравеопазването и човешките ресурси.

Защо PHI е по-ценна от PII?

Средните разходи за нарушаване на сигурността на данните, понесени от агенция, която не е свързана със здравеопазването, за един откраднат запис, са 158 USD. За здравните агенции разходите са средно 355 USD. Информацията за кредитни карти и PII се продават за 1-2 долара на черния пазар, но PHI може да се продаде за 363 долара според Infosec Institute. Това е така, защото личната здравна история на човека, включително болести, заболявания, операции и т.н., не може да бъде променена, за разлика от информацията за кредитни карти или номерата на социалните осигуровки.

PHI е ценна, защото престъпниците могат да я използват, за да се насочат към жертвите с измами и мошеничества, които се възползват от здравословното състояние на жертвата или от уреждането на спорове с жертвите. Тя може да се използва и за създаване на фалшиви застрахователни искове, което позволява закупуването и препродажбата на медицинско оборудване. Някои престъпници използват PHI, за да получат незаконен достъп до рецепти за собствена употреба или препродажба.

Алтернативен анализ: Неотдавнашен доклад на McAfee Labs оспорва твърдението, че PHI е по-ценна, като твърди, че доходността на данните от кредитни карти е по-важна от дълготрайността на PHI. В доклада все пак се признава, че съществува силен пазар за PHI.

Какви закони са въведени за защита на PHI?

Федералното правило за сигурност на HIPAA изисква от доставчиците на здравни услуги да защитават електронните здравни досиета (ЕЗД), като използват подходящи физически и електронни предпазни мерки, за да гарантират безопасността на здравната информация. Трябва да се докладват нарушения на над 500 записа, независимо дали се дължат на хакерски инцидент, случайно разкриване, изгубени или откраднати устройства или неоторизиран вътрешен достъп. От юли това включва и инфекции с рансъмуер.

Препоръки

Правилната сигурност на приложенията и мрежовата сигурност са важни, за да се предотврати компрометирането на първо място. Криптирането е най-добрият начин за защита на данните на пациентите от достъп, след като някой е намерил път към здравните системи.

Важно е криптирането да се прилага както в състояние на покой, така и при пренос, а третите страни и доставчиците, които имат достъп до здравни мрежи или бази данни, също да обработват правилно данните на пациентите. Препоръчва се обучение за правилното използване и боравене с PHI, за да се намалят нарушенията на сигурността на данните, причинени от грешки на служителите, като например изгубено устройство или случайно разкриване.

Болниците в САЩ могат да получат безплатен достъп до системата за блокиране и докладване на злонамерени домейни (Malicious Domain Blocking and Reporting – MDBR), за да се защитят от нарушения на сигурността на данните.

DDoS атаки: В сектора на здравеопазването

Разпределените атаки за отказ на услуга (DDoS) са популярна тактика, техника и процедура (TTP), използвана от хактивисти и киберпрестъпници за претоварване на мрежата до степен на нефункционалност. Това може да представлява сериозен проблем за доставчиците на здравни услуги, които се нуждаят от достъп до мрежата, за да осигурят подходящи грижи за пациентите, или имат нужда от достъп до интернет, за да изпращат и получават имейли, рецепти, записи и информация. Докато някои DDoS атаки са опортюнистични или дори случайни, много от тях са насочени към жертвите поради социална, политическа, идеологическа или финансова причина, свързана със ситуация, която разгневява участниците в киберзаплахите.

Пример:

Такъв беше случаят с детската болница в Бостън през 2014 г. Анонимните (известна хактивистка група) се насочиха към Детската болница в Бостън с DDoS атака, след като болницата препоръча една от пациентките им, 14-годишно момиче, да бъде приета като подопечна на държавата и попечителството да бъде отнето от родителите ѝ. Лекарите смятат, че заболяването на детето всъщност е психологическо разстройство и че родителите му настояват за ненужно лечение на разстройство, което детето не е имало. Дебатът за попечителството поставя Бостънската детска болница в центъра на този противоречив случай и някои, включително членове на Anonymous, смятат това за нарушаване на правата на момичето. Анонимните предприеха действия, като извършиха DDoS атаки срещу мрежата на болницата, в резултат на което други потребители на тази мрежа, включително Харвардският университет и всички негови болници, също загубиха достъп до интернет. Според Boston Globe мрежите са прекъсвали работа в продължение на почти една седмица и някои пациенти и медицински персонал не са могли да използват онлайн акаунтите си, за да проверяват назначения, резултати от изследвания и друга информация за случаи. В резултат на това болницата е похарчила повече от 300 000 долара за реакция и намаляване на щетите от тази атака, според писменото изявление за арест на нападателя.

Препоръки

DDoS атаките се осъществяват по различни начини и разбирането на това кой тип атака се извършва е важна част от възможността за правилно смекчаване на атаката. В Ръководството на MS-ISAC за DDoS атаки ще намерите обяснение на различните видове атаки (включително множеството видове стандартни и отразяващи DDoS атаки), последвано от конкретни препоръки, уникални за всеки вид атака. Общите препоръки за защита срещу DDoS атаки включват поддържане на ефективно партньорство с вашия доставчик на мрежови услуги нагоре по веригата, както и партньорство с компании, които предоставят услуги за намаляване на DDoS атаките.

Вътрешни заплахи: В сектора на здравеопазването

Организациите често са твърде заети със защитата на целостта на компанията и мрежата си от външни заплахи, за да се справят с реалния и опасен риск, който може да се крие в собствената им организация – вътрешните лица. Вътрешният човек представлява заплаха, тъй като законният достъп, който има или е имал до собствени системи, го лишава от възможността да се сблъска с традиционните средства за защита на киберсигурността, като например устройства за откриване на проникване или физическа охрана. Освен това те могат да имат познания за настройките на мрежата и уязвимостите или възможност да получат тези познания по-добре от почти всеки външен човек. Докато един вътрешен човек може да е просто невнимателен, други причиняват разрушения със зла умисъл. Концепцията за вътрешна заплаха обхваща различни служители: от тези, които несъзнателно кликват върху злонамерена връзка, която компрометира мрежата, или губят работно устройство, съдържащо чувствителни данни, до тези, които злонамерено раздават кодове за достъп или умишлено продават PHI/PII с цел печалба.

Пример:

Вътрешен човек е станал жертва на една тексаска болница, когато служител е изградил ботнет, използвайки болничната мрежа, за да атакува конкурентни хакерски групи. В крайна сметка лицето е заловено, след като се е снимало как инсценира “проникване” в болничната мрежа и след това го е публикувало в YouTube за публично гледане. На видеото ясно се вижда как лицето използва специфичен ключ, за да “проникне” в болницата, което разкрива самоличността му като Джеси Макгроу, нощен охранител на сградата. Разследването разкрива, че Макгроу е изтеглил зловреден софтуер на десетки машини, включително на сестрински станции с досиета на пациенти. Освен това е инсталирал задна врата в ОВК устройството, която при неуспех е щяла да причини повреда на лекарства и медикаменти и да засегне пациентите на болницата през горещото тексаско лято. Макгроу се признава за виновен по обвиненията за компютърна манипулация и излежава 9-годишна присъда в допълнение към плащането на 31 000 долара глоби.

Препоръки

Най-добрият начин за откриване на вътрешна заплаха често са други вътрешни лица. Обучението на потребителите и служителите ви за това как да разпознават и докладват вътрешна заплаха или да предотвратят неволното превръщане в такава, е най-добрият начин да защитите организацията си. Съществуват много ресурси с отворен код за вътрешни заплахи с програми за обучение и образователни материали за организациите и техните служители. Те включват обяснения за това какви подозрителни дейности и промени в поведението на служителите трябва да се търсят у колегите, както и кога и на кого да се докладва за тях. CERT на Carnegie Mellon следи за вътрешни заплахи и е чудесно място за начало.

Компрометиране на бизнес имейли: в сектора на здравеопазването

Наричани от Федералното бюро за разследване (ФБР) “измама за милиарди долари”, измамниците, използващи компрометиране на бизнес електронна поща (BEC), използват подправен имейл или компрометиран акаунт, за да подмамят служителите да инициират паричен превод към алтернативна (измамна) сметка. Измамниците почти винаги се преструват на високопоставено лице в организацията, например на главен изпълнителен директор или финансов директор. Измамата, чийто брой се е увеличил с 1300% от 2015 г. насам, е толкова успешна, тъй като участниците обикновено първо провеждат известно ниво на проучване на целите си, знаят как да звучат като лицето, което имитират, и изпращат имейла само на няколко души (обикновено тези, които се занимават с финанси), което позволява на имейла да заобиколи основни стратегии за сигурност, като например филтриране на имейли. Тази измама има многобройни варианти и засяга организации от всички сектори и от цял свят. Болниците и медицинските центрове трябва да внимават за този вид измама, която има много варианти и може да доведе до загуба на пари, PII/PHI или стоки, като например лекарства с рецепта.

Пример:

Вместо пример за човек, станал жертва на този вид атака, ще споделим един окуражаващ случай. През 2015 г. местен медицински център съобщава, че е получил телефонно обаждане от аптека, за да потвърди голяма поръчка на лекарства с рецепта, на стойност над 500 000 USD. При разследването е установено, че медицинският център не е направил тази поръчка и тя всъщност е била измамна. От аптеката са се обадили само за уточнение, защото адресът за доставка на медицинския център е бил различен от този, който са имали в регистъра, но всички други сертификати и удостоверения са били проверени, включително идентификационният номер на Агенцията за борба с наркотиците (DEA), лекарските лицензи и фармацевтичните сертификати. При този инцидент злонамерен участник е компрометирал пълномощията на медицинския център и се е опитал да изтегли голяма кредитна линия от аптеката, за да закупи лекарства. Действието на аптеката, която се обажда в медицинския център, за да провери повторно поръчката, я спасява от загуба на 500 000 USD в лекарства по рецепта и спестява на медицинския център 500 000 USD, изтеглени от сметката му. Служителят е спазил правилно въведените протоколи (обаждане за потвърждение при промяна в сметката) и измамата е била спряна.

 

Препоръки

Ако утре човек от финансовия отдел на вашата компания получи имейл (привидно) от вашия главен изпълнителен директор с искане за банков превод или покупка на стоки, би ли направил превода? Повишената осведоменост и разбиране на този вид измами е най-добрият начин да предотвратите служителите да се хванат на тях. Някои компании също така имплантират предпазни стъпки за одобрение или задържат заявките за парични преводи за допълнителен период от време, за да проверят легитимността им. Пазете се от внезапни промени в досегашни стандартни бизнес практики, като например адреси – както виртуални, така и физически. Ако обикновено общувате с някого от един имейл, а той поиска нещо от “личен” имейл, използвайте други форми на комуникация, за да проверите дали все още говорите с легитимния бизнес партньор.

Това в никакъв случай не е изчерпателен списък на видовете атаки, с които се сблъскват болниците, а по-скоро обобщение на някои от основните и най-скъпи инциденти, които ги засягат.

Сподели в:

Категории:

Следвай ни в: