Зв'язатися з нами

Лікарні стали мішенню в новому виді кібервійни

Лідери думок

Лікарні стали мішенню в новому виді кібервійни

mm
опублікований

З перших днів кіберзлочинності дані охорони здоров'я були головною ціллю. Донедавна більшість кібератак на лікарні відбувалися за знайомою схемою: групи програм-вимагачів шифрували записи пацієнтів і вимагали оплати. Мотив був зрозумілим – і все йшлося про гроші.

Але експерти з кібербезпеки зараз попереджають про зміни. Зростаюча кількість атак на системи охорони здоров'я, схоже, зумовлена ​​не метою прибутку, а політикою. Ці інциденти, які часто пов'язані з групами, що підтримуються державами, спрямовані на порушення роботи лікарень, крадіжку конфіденційних медичних даних та підрив довіри громадськості. Об'єднані Нації назвав кібератаки на охорону здоров'я «прямою та системною загрозою для глобального громадського здоров'я та безпеки».

Ця еволюція відбувається у вразливий час, оскільки довіра до закладів охорони здоров'я залишається нестійкою. Кібератаки поглиблюють цю недовіру, створюють навантаження на критично важливу інфраструктуру та розмивають межу між злочинною діяльністю та геополітичною стратегією. Як людина, яка працює на перетині безпеки охорони здоров'я та обміну розвідувальними даними, я вважаю, що це вже не просто кримінальна проблема – це загроза національній безпеці.

Проблема атрибуції

Зі зміною мотивів кібератак на сектор охорони здоров'я змінюється і складність розуміння того, хто за ними стоїть – і чому.

На відміну від простих фінансових мотивів традиційних груп розслідування програм-вимагачів, кампанії, що підтримувалися державою, часто приховані за шарами складних проксі-серверів, хактивістських фронтів або слабо пов'язаних з ними кіберзлочинців. Те, що спочатку може здатися звичайним інцидентом із програмою-вимагачем, після глибшого розслідування може виявити ознаки скоординованої стратегії: атака на критично важливу інфраструктуру охорони здоров'я, максимізація операційних збоїв та ретельне уникнення приписування будь-якій державі.

Така закономірність вже спостерігалася у гучних випадках. Під час пандемії COVID-19 кілька європейських закладів охорони здоров'я постраждали від кібератак, які пізніше посадовці запідозрили були пов'язані з операціями іноземної розвідки. Хоча атаки спочатку нагадували злочинні кампанії з вимагання, глибший аналіз вказав на ширші цілі, такі як крадіжка результатів досліджень вакцин, зрив медичного обслуговування під час надзвичайної ситуації в галузі охорони здоров'я або посіяння недовіри до системи охорони здоров'я.

Ця навмисна двозначність добре служить зловмисникам. Маскуючи стратегічний саботаж під злочинну діяльність, вони уникають прямих політичних наслідків, водночас завдаючи серйозної шкоди установам, що надають медичну допомогу пацієнтам. Для захисників ця розмита межа між злочинністю та геополітикою ускладнює реагування на всіх рівнях: технічному, оперативному та дипломатичному.

У секторі охорони здоров'я безпека пацієнтів перебуває під безпосередньою загрозою під час кіберінциденту, і часу чи можливостей для поглибленого судово-медичного аналізу обмаль. Без чіткого розуміння характеру та мети атаки лікарні та медичні працівники можуть неправильно оцінити загрозу, пропустити ширші закономірності та не скоординувати відповідну захисну стратегію.

Важливість обміну розвідувальними даними

Ключем до побудови ефективного захисту є колективні дії, які залежать від вільного обміну інформацією. Організації критичної інфраструктури об'єднуються, щоб створити Центри обміну та аналізу інформації, або ISAC. Health-ISAC об'єднує понад 14,000 XNUMX людей через некомерційну галузеву асоціацію, створену для сприяння довірчому обміну розвідувальною інформацією про кіберзагрози, що дозволяє швидше та більш скоординовано реагувати на нові ризики. Health-ISAC об'єднує лікарні, фармацевтичні компанії, страховики та інші зацікавлені сторони, створюючи екосистему, де знання поширюються вільніше, а ранні попередження можуть бути посилені в усьому світі.

Ділячись індикаторами компрометації, методами атак, підозрілою поведінкою та отриманим уроком, організації можуть перетворювати окремі спостереження на галузеву аналітику. Сигнатура шкідливого програмного забезпечення, виявлена ​​в одній лікарні сьогодні, може стати раннім попередженням, яке запобігає хвилі атак по всьому світу завтра. Таким чином, обмін аналітичними даними перетворює захист із серії ізольованих проблем на скоординовані, проактивні зусилля.

Однак, побудова та підтримка такої співпраці не позбавлена ​​труднощів. Ефективний обмін залежить від довіри: довіри до того, що конфіденційна інформація буде оброблятися відповідально, та довіри до того, що учасники віддані взаємному захисту. Організації сектору охорони здоров'я повинні бути готові прозоро повідомляти про інциденти. Сприяння цій культурі відкритості залишається одним із найбільших викликів сектору, але також однією з його найпотужніших можливостей зміцнити галузь проти дедалі складніших загроз.

Побудова стійкості

Хоча надійні засоби контролю кібербезпеки залишаються важливими, реальність така, що запобігти кожній атаці неможливо. Тому заклади охорони здоров'я повинні інвестувати у стійкість: здатність підтримувати або швидко відновлювати критично важливі послуги, що перебувають під атакою.

Це починається з підготовки. Організації повинні розробляти та регулярно відпрацьовувати детальні плани реагування на інциденти, адаптовані до їхніх конкретних робочих процесів, приміщень та вимог до догляду за пацієнтами. Ці вправи допомагають персоналу знати, що робити, коли системи виходять з ладу, та гарантують, що прийняття рішень не затримується через плутанину чи невизначеність під час кризи.

Сегментовані мережеві архітектури є ще одним критично важливим захистом. Ізолюючи системи, наприклад, відокремлюючи медичні пристрої від адміністративних інструментів або обмежуючи лабораторні мережі їхнім власним сегментом, організації можуть запобігти поширенню шкідливого програмного забезпечення та спричиненню широкомасштабних збоїв. Такий вид компартменталізації обмежує шкоду та економить дорогоцінний час для команд реагування.

Не менш важливими є надійність та доступність систем резервного копіювання та відновлення. Резервні копії слід зберігати безпечно, регулярно тестувати та підтримувати в автономному або незмінному форматі, щоб запобігти їх маніпуляціям під час атаки. Чим швидше організація зможе відновити записи пацієнтів, інструменти планування та системи зв'язку, тим швидше вона зможе повернутися до безпечного та ефективного догляду.

Заключні думки

Занадто часто кібератакиДослідження кс показують, що стійкість раніше розглядалася як другорядна думка. Але в секторі охорони здоров'я, де на кону стоять життя, вона має бути основоположним пріоритетом. Планування, практика та координація більше не є необов'язковими. Вони є передовою обороною в кібервійні, яку лікарні більше не можуть дозволити собі ігнорувати.

Зараз потрібна зміна мислення. Керівники сектору охорони здоров'я повинні розглядати кібербезпеку не як проблему ІТ, а як ключову частину безпеки пацієнтів та довіри до установи. Це означає розподіл ресурсів, залучення персоналу на всіх рівнях та співпрацю поза межами організації. 

Жодна лікарня не може самостійно протистояти силам, що змінюють ландшафт загроз. Але разом – завдяки спільній розвідці, скоординованому реагуванню та оновленій увазі до стійкості – сектор охорони здоров’я може протистояти цій зростаючій хвилі та захистити критично важливі системи, від яких мільйони людей покладаються щодня.

Схожі теми:
mm

Васілеос Мінгос — директор з європейських операцій GCTI, GREM, з понад 8-річним досвідом роботи у сфері безпеки. Він базується в Греції та працює з... Здоров'я-ISAC з липня 2023 року.