Свяжитесь с нами:

Больницы стали целью нового вида кибервойны

Лидеры мысли

Больницы стали целью нового вида кибервойны

mm
опубликованный

С самых первых дней киберпреступности данные здравоохранения были главной целью. До недавнего времени большинство кибератак на больницы следовали знакомой схеме: группы вымогателей шифровали записи пациентов и требовали оплаты. Мотив был ясен — и все дело было в деньгах.

Но эксперты по кибербезопасности теперь предупреждают об изменении. Растущее число атак на системы здравоохранения, по-видимому, обусловлено не прибылью, а политикой. Эти инциденты, часто связываемые с поддерживаемыми государством группами, направлены на нарушение работы больниц, кражу конфиденциальных медицинских данных и подрыв общественного доверия. ООН назвал кибератаки на здравоохранение «прямым и системным риском для глобального общественного здравоохранения и безопасности».

Эта эволюция происходит в уязвимое время, поскольку доверие к учреждениям здравоохранения остается хрупким. Кибератаки усугубляют это недоверие, нагружают критически важную инфраструктуру и стирают грань между преступным предпринимательством и геополитической стратегией. Как человек, работающий на стыке безопасности здравоохранения и обмена разведданными, я считаю, что это уже не просто криминальная проблема — это угроза национальной безопасности.

Проблема атрибуции

По мере того как меняются мотивы кибератак на сектор здравоохранения, становится все сложнее понять, кто за ними стоит и почему.

В отличие от простых финансовых мотивов традиционных группировок вымогателей, поддерживаемые государством кампании часто скрываются за слоями сложных прокси, хактивистских фронтов или слабо связанных киберпреступников. То, что может поначалу показаться обычным инцидентом с вымогателями, при более глубоком расследовании может выявить признаки скоординированной стратегии: нацеливание на критически важную инфраструктуру здравоохранения, максимизация сбоев в работе и тщательное избегание приписывания какому-либо государству.

Эта закономерность уже наблюдалась в громких случаях. Во время пандемии COVID-19 несколько европейских учреждений здравоохранения подверглись кибератакам, которые Чиновники позже заподозрили были связаны с операциями иностранной разведки. Хотя изначально атаки напоминали преступные кампании по вымогательству, более глубокий анализ указал на более широкие цели — такие как кража исследований вакцин, нарушение оказания медицинской помощи во время чрезвычайной ситуации в области общественного здравоохранения или посеяние недоверия к системе здравоохранения.

Эта преднамеренная двусмысленность служит нападающим на руку. Маскируя стратегический саботаж под преступную деятельность, они обходят прямые политические последствия, при этом нанося серьезный вред учреждениям, оказывающим помощь пациентам. Для защитников эта размытая грань между преступлением и геополитикой усложняет ответ на каждом уровне: техническом, оперативном и дипломатическом.

В секторе здравоохранения безопасность пациентов подвергается непосредственному риску во время киберинцидента, и для глубокого судебного анализа мало времени или возможностей. Без четкого понимания характера и цели атаки больницы и поставщики медицинских услуг могут неправильно оценить угрозу, упустить более общие закономерности и не скоординировать соответствующую оборонительную стратегию.

Важность обмена разведданными

Ключом к построению эффективной обороны являются коллективные действия, которые зависят от свободного обмена информацией. Организации критической инфраструктуры объединяются для формирования Центров обмена и анализа информации (ISAC). Health-ISAC объединяет более 14,000 XNUMX человек через некоммерческую отраслевую ассоциацию, призванную содействовать доверительному обмену информацией об угрозах кибербезопасности, что позволяет быстрее и более скоординированно реагировать на возникающие риски. Health-ISAC объединяет больницы, фармацевтические компании, страховщиков и других заинтересованных лиц, создавая экосистему, в которой знания распространяются более свободно, а ранние предупреждения могут быть усилены в мировом сообществе здравоохранения.

Обмениваясь индикаторами компрометации, методами атак, подозрительным поведением и извлеченными уроками, организации могут превратить отдельные наблюдения в общеотраслевую разведку. Сигнатура вредоносного ПО, обнаруженная сегодня в одной больнице, может стать ранним предупреждением, которое предотвратит волну атак по всему миру завтра. Таким образом, обмен разведданными превращает оборону из серии изолированных сражений в скоординированные, проактивные усилия.

Однако создание и поддержание такого рода сотрудничества не лишено своих проблем. Эффективный обмен зависит от доверия: доверия, что конфиденциальная информация будет обрабатываться ответственно, и доверия, что участники привержены взаимной защите. Организации сектора здравоохранения должны быть готовы сообщать об инцидентах прозрачно. Развитие этой культуры открытости остается одной из самых больших проблем сектора, но также и одной из его самых мощных возможностей для укрепления отрасли против все более сложных угроз.

Строительная устойчивость

Хотя надежные средства контроля кибербезопасности остаются необходимыми, реальность такова, что предотвратить каждую атаку невозможно. Поэтому учреждения сектора здравоохранения должны инвестировать в устойчивость: способность поддерживать или быстро восстанавливать критически важные услуги в условиях атаки.

Это начинается с подготовки. Организации должны разрабатывать и регулярно репетировать подробные планы реагирования на инциденты, соответствующие их конкретным рабочим процессам, учреждениям и требованиям по уходу за пациентами. Эти упражнения помогают персоналу знать, что делать, когда системы выходят из строя, и гарантировать, что принятие решений не будет отложено из-за путаницы или неопределенности во время кризиса.

Сегментированные сетевые архитектуры — еще одна критически важная защита. Изолируя системы, например, отделяя медицинские устройства от административных инструментов или ограничивая лабораторные сети своим собственным сегментом, организации могут предотвратить горизонтальное перемещение вредоносного ПО и возникновение широкомасштабных сбоев. Такой тип разделения ограничивает ущерб и выигрывает ценное время для групп реагирования.

Не менее важны прочность и доступность систем резервного копирования и восстановления. Резервные копии должны храниться в безопасности, регулярно проверяться и поддерживаться в офлайн- или неизменяемых форматах, чтобы предотвратить их манипуляции во время атаки. Чем быстрее организация сможет восстановить записи пациентов, инструменты планирования и системы связи, тем скорее она сможет вернуться к безопасному и эффективному лечению.

Заключение

Слишком часто кибератакаks показывают, что устойчивость рассматривалась как второстепенная мысль. Но в секторе здравоохранения, где на кону жизни, она должна быть основополагающим приоритетом. Планирование, практика и координация больше не являются необязательными. Они являются передовой линией обороны в кибервойне, которую больницы больше не могут позволить себе игнорировать.

Сейчас необходимо изменить мышление. Руководители сектора здравоохранения должны рассматривать кибербезопасность не как проблему ИТ, а как основную часть безопасности пациентов и институционального доверия. Это означает распределение ресурсов, вовлечение персонала на каждом уровне и сотрудничество за пределами организационных границ. 

Ни одна больница не может в одиночку противостоять силам, меняющим ландшафт угроз. Но вместе — посредством совместного использования разведданных, скоординированного реагирования и возобновления внимания к устойчивости — сектор здравоохранения может дать отпор этой растущей волне и защитить критически важные системы, на которые миллионы людей полагаются каждый день.

Похожие темы:
mm

Василиос Мингос — европейский операционный директор GCTI, GREM, с более чем 8-летним опытом работы в сфере безопасности. Он живет в Греции и работал с Здоровье-ИСАК с июля 2023.