3 критично важливі дії для захисту охорони здоров’я від кіберзагроз

Якщо ви не відставали від новин про безпеку цього року або самі перебуваєте на передовій безпеки охорони здоров’я, ви знаєте, що мережі охорони здоров’я ведуть загострюючу боротьбу з кібератаками. Будучи однією з найбільш цільових галузей, охорона здоров’я не тільки бореться зі зростаючою кількістю атак, але й стикається з одними з найвищих витрат, коли злами є успішними.

Відповідно до звіту Департаменту охорони здоров’я та соціальних служб, кількість випадків витоку даних у сфері охорони здоров’я постійно зростає. З 2018 по 2022 рік кількість повідомлень про серйозні зломи зросла на 93% , а зломи за допомогою програм-вимагачів за цей же період зросли на приголомшливі 278%. ​

Що стосується 2024 року, звіти свідчать про те, що кількість порушень системи охорони здоров’я продовжує зростати порівняно з 2023 роком. У першій половині 2024 року Департамент охорони здоров’я та соціальних служб виявив 341 порушення безпеки в організаціях охорони здоров’я лише в США.

Ці атаки можуть мати глибокі наслідки, які виходять за межі шкоди самим мережам. У деяких випадках здоров’я пацієнта буває під загрозою. Як повідомляє Cyberscoop , Microsoft нещодавно виявила, що атаки програм-вимагачів на лікарні призвели до гірших результатів для лікування пацієнтів. Коли роботу лікарні припиняють, а пацієнтів перенаправляють до інших лікарень, спостерігається побічний ефект , коли «неуражені лікарні спостерігають сплеск пацієнтів, що призводить до зростання випадків інсульту на 113%, а випадків зупинки серця – на 81%. Рівень виживаності також впав після цих випадків зупинки серця».

Чому кіберзлочинці націлені на охорону здоров’я: дані, збої та прогалини в захисті

Зловмисники зосереджуються на атаках на організації охорони здоров’я з кількох причин:

• Дані великі та мають високу цінність. Одна організація охорони здоров’я може зберігати тисячі записів пацієнтів із детальною особистою, медичною та фінансовою інформацією. Коли ця цінна інформація стає заручником атак програм-вимагачів, багато організацій охорони здоров’я готові заплатити викуп (або відчувають, що у них немає вибору), що робить їх ще більш прибутковими мішенями для загроз.
• Збої в роботі можуть бути значними. Зловмисники, які шукають максимального впливу, можуть захопити заголовки, коли націлені на організації охорони здоров’я. Як зазначалося вище, ми бачили, як кібератаки вимикали цілі системи та пристрої, призводячи до зупинки операцій, а пацієнти втрачають доступ до медичної допомоги.
• Заходи безпеки можуть бути відсутні. Як і в індустрії фінансових послуг, охорона здоров’я зазнала значної цифрової трансформації за останні два десятиліття, і деякі системи охорони здоров’я постали перед проблемою, щоб не відставати від впровадження необхідних заходів безпеки для захисту широких масивів інформації про пацієнтів і постачальників, які перемістилися в Інтернет.

Організації охорони здоров’я знають, що їм потрібно швидко вжити заходів, щоб запобігти успішним атакам. На фундаментальному рівні це означає перехід від реактивного реагування безпеки – чого ми бачили багато в останні роки – до проактивного захисту безпеки, який підвищує базову гігієну безпеки організації.

Прийняття проактивної позиції безпеки має багато аспектів, але давайте розглянемо деякі з найефективніших способів, за допомогою яких команди охорони здоров’я можуть покращити свою кібергігієну та запобігти успішним атакам.

Досягнення проактивної кібергігієни

1. Розташуйте пріоритети відкритих активів для негайних дій

Швидке виявлення та визначення пріоритетів незахищених активів на поверхні атаки є однією з найбільших проблем і можливостей для команд безпеки охорони здоров’я. Це тому, що викриття є легкими точками входу для зловмисників. Фактично, нещодавні звіти Інституту Cyentia показують, що експлуатовані загальнодоступні активи є основними точками входу для атак програм-вимагачів, з якими організації охорони здоров’я стикаються частіше, ніж будь-який інший сектор згідно зі звітами ФБР .

Що ускладнює виявлення та усунення цих впливів? Поширення поверхонь атак створило величезні обсяги активів, які потрібно виправляти. Визначити, до яких активів потрібно звернути увагу в першу чергу, може бути складно та довго. І коли оголошується про нові вразливості, команди зазвичай мають лише короткий проміжок часу, щоб визначити, які активи на їхній поверхні атаки зазнали впливу, перш ніж зловмисники вживуть заходів.

Цифрова революція в охороні здоров’я, яка включає зростання кількості медичних пристроїв, підключених до Інтернету, ще більше розширила обсяг потенційного впливу на поверхню атак у сфері охорони здоров’я. Для контексту: дослідницька група Censys нещодавно спостерігала понад 14 000 унікальних IP-адрес, які розкривають медичні пристрої та системи даних, підключені до потенційно конфіденційної інформації в загальнодоступному Інтернеті.

Застарілі системи також створюють ризик. За даними Hospital Cyber ​​Resiliency Initiative Landscape Analysis, 96% малих, середніх і великих лікарень стверджують, що працювали з вичерпаними операційними системами або програмним забезпеченням із відомими вразливими місцями.

Командам охорони здоров’я потрібні ефективні способи виявлення, визначення пріоритетів і виправлення цих ризиків. Attack Surface Management — це автоматизований, масштабований спосіб, за допомогою якого команди можуть отримати видимість у реальному часі всіх своїх загальнодоступних цифрових активів, як відомих, так і невідомих, і отримати необхідний контекст, необхідний для стратегічного визначення пріоритетів ризиків. Ця контекстуальна, актуальна інформація дозволяє командам зрозуміти, де існують вразливості та які вразливості слід усунути в першу чергу.

2. Отримайте уявлення про ризики від придбань і сторонніх постачальників

Дочірні компанії охорони здоров’я, придбання, сторонні постачальники та партнери в ланцюзі поставок стають все більш привабливими цілями для загрозливих суб’єктів. Вони зрозуміли, що порушення роботи системи охорони здоров’я не обов’язково має включати пряме порушення системи; натомість доступ можна отримати через відкриті активи на поверхні атаки підключеної дочірньої компанії або стороннього постачальника. Орієнтація на сторонніх постачальників і ширший ланцюжок поставок особливо приваблива для суб’єктів загрози, оскільки вони можуть націлюватися не лише на постачальника, а й на кожну організацію, пов’язану з постачальником. Коли занадто багато систем охорони здоров’я покладаються на тих самих постачальників, це може вплинути на всю галузь.

Щоб організації охорони здоров’я могли запобігти таким типам атак, вони повинні мати постійне уявлення про потенційний ризик у своїх партнерських екосистемах. Сторонні системи управління ризиками розроблені, щоб допомогти забезпечити цю видимість, але ці рішення часто не забезпечують команди безпеки даних у режимі реального часу, необхідні для швидкого реагування (наприклад, щоб зрозуміти, чи партнер у їхній екосистемі постраждав від вразливості нульового дня).

Доступ до джерел інтернет-розвідки в режимі реального часу, як-от власна інтернет-інформація, доступна в Censys Search , може надати командам миттєве бачення ризиків третіх сторін, необхідних для проактивного захисту. Більшості команд, на жаль, ще належить пройти довгий шлях на цьому фронті. Згідно зі звітом, написаним у партнерстві з Департаментом охорони здоров’я та соціальних служб, « лише 49% лікарень стверджують, що вони мають адекватне покриття в управлінні ризиками для управління ризиками в ланцюзі поставок . Крім того, ризик сторонніх розробників і ланцюгів постачання є третьою за значимістю загрозою серед 288 CISO, опитаних у рамках Звіту про загрози H-ISAC за 2023 рік».

3. Моніторинг життєво важливих протоколів і систем за допомогою надійних Інтернет-розвідок

Крім того, командам охорони здоров’я потрібна постійна видимість життєво важливих протоколів і систем, які мають вирішальне значення для їх роботи. Моніторинг цих конкретних протоколів і систем може допомогти командам швидше ідентифікувати потенційно вразливі активи на їхній поверхні атаки для вдосконаленого виявлення загроз, а також оперативного реагування на інциденти. Однак у складних цифрових інфраструктурах, які покладаються на сотні програмних систем, стежити за цими різними протоколами без надійного джерела інформації легше сказати, ніж зробити.

Censys надає доступ до мільярдів служб, хостів і сертифікатів, до яких групи безпеки можуть проактивно виконувати запити. У цьому обширному наборі даних в Інтернеті групи безпеки можуть виконувати запити, щоб ідентифікувати та контролювати критично важливі ІТ-системи та протоколи охорони здоров’я . Наприклад, команди можуть шукати протокол лікарняної інформаційної системи (HIS), який обліковує системи, що містять фінансову, клінічну та адміністративну інформацію. Протоколи DICOM, HL7 та EHR, серед багатьох інших, також можна виявити за допомогою Censys.

Censys полегшує пошук цих систем і протоколів за допомогою міток. Мітки надають швидкі способи звузити область пошуку до відповідних систем і протоколів. Мітки «медичний пристрій», «віддалений доступ» і «спільний доступ до файлів» можуть бути особливо корисними для команд безпеки охорони здоров’я. Автоматизація збережених запитів також дозволяє командам виконувати запити до цих критичних ІТ-систем і протоколів на щоденній автоматизованій основі.

Перехід від реактивного до стійкого

Оскільки зловмисники продовжують націлюватися на охорону здоров’я через її конфіденційні дані та потенційні збої в роботі, настав час для команд безпеки охорони здоров’я посилити свій захист. Розставляючи пріоритети відкритим активам, покращуючи видимість ризиків третіх сторін і контролюючи життєво важливі протоколи, організації охорони здоров’я можуть пом’якшити вразливість, краще керувати поверхнею атак і, що найважливіше, захистити безпеку та довіру пацієнтів.

Хочете дізнатися більше? Отримайте консультацію у офіційного партнера Censys – компанії Ідеалсофт.