Post

Aktualizacja bezpieczeństwa opieki zdrowotnej: śmierć przez okup, co dalej?

Niedawny atak okupu, który odegrał znaczącą rolę w śmierci Niemki, skupił uwagę zarówno na zagrożeniach, jak i na znaczeniu bezpieczeństwa cybernetycznego w dzisiejszych czasach. Ale doprowadził również do tego, że niektórzy wskazali palcami, kto jest za to odpowiedzialny.

Jak zwykle, granie w grę polegającą na obwinianiu nikogo nie pomaga, ale przypomina nam o tragicznej potrzebie pracy nad bezpieczeństwem opieki zdrowotnej.

Co się stało?
Kilka tygodni temu szpital uniwersytecki Uniklinikum w niemieckim Düsseldorfie doznał ataku okupu. Szpital postanowił nie przyjmować nowych pacjentów, dopóki nie rozwiąże sytuacji i nie przywróci normalnych operacji.

Ze względu na zatrzymanie przyjęć, kobieta potrzebująca natychmiastowej pomocy musiała zostać przewieziona do szpitala w Wuppertalu, który znajduje się około 20 mil dalej. Niestety, zmarła po przybyciu. Dodatkowe 30 minut, które zajęło jej dotarcie do kolejnego szpitala, okazało się fatalne.

Jak się okazało, celem gangu okupu nie był nawet szpital, ale uniwersytet, do którego należy szpital. Kiedy napastnicy dowiedzieli się, że szpital również padł ofiarą, przekazali klucz szyfrujący za darmo. Pomimo tego klucza, szpital potrzebował ponad dwóch tygodni, aby osiągnąć poziom operacyjności pozwalający na przyjęcie nowych pacjentów.

Jest to nie tylko tragiczne, ponieważ kobieta mogłaby zostać uratowana, gdyby szpital uniwersytecki działał, ale także dlatego, że po raz kolejny pokazuje to, że jednej z najważniejszych części naszej infrastruktury brakuje odpowiedniej obrony przed powszechnymi zagrożeniami, takimi jak okup.

Jakie są główne problemy związane z bezpieczeństwem opieki zdrowotnej?
W przeszłości zidentyfikowaliśmy kilka elementów, które sprawiają, że sektor opieki zdrowotnej, a w szczególności szpitale, są bardziej narażone na zagrożenia cybernetyczne niż wiele innych obszarów.

Oto niektóre z tych elementów problemu:

  • Internet przedmiotów (IoT): Ze względu na ich charakter i sposób użytkowania, w szpitalach można znaleźć wiele urządzeń IoT, które działają na różnych systemach operacyjnych i wymagają specyficznych ustawień bezpieczeństwa, aby chronić je przed światem zewnętrznym.
  • Starsze systemy: Dość często zdarza się, że starsze urządzenia nie działają poprawnie pod nowszymi systemami operacyjnymi, co powoduje, że kilka systemów działa na przestarzałym systemie operacyjnym, a nawet na oprogramowaniu, które osiągnęło koniec okresu użytkowania. Oznacza to, że oprogramowanie nie będzie już otrzymywało łatek lub aktualizacji nawet w przypadku wystąpienia znanych problemów.
  • Brak odpowiednich kopii zapasowych: Nawet jeśli podstawowy problem został rozwiązany, powrót zaatakowanego celu do stanu operacyjnego może potrwać o wiele za długo. Instytuty muszą mieć przynajmniej plan tworzenia kopii zapasowych, a może nawet zapasowy sprzęt i serwery dla najważniejszych funkcji, aby mogły działać w przypadku wystąpienia katastrofy.
  • Dodatkowe czynniki stresogenne: Dodatkowe problemy, takie jak COVID-19, pożary i inne klęski żywiołowe, mogą skrócić czas i odsunąć na bok potrzebę wykonywania aktualizacji, tworzenia kopii zapasowych lub myślenia o czymś, co wiąże się z bezpieczeństwem cybernetycznym. Te czynniki stresogenne i inne powody są często określane jako "mamy ważniejsze rzeczy do zrobienia".
  • Zagrożenia dla bezpieczeństwa internetu przedmiotów
  • Wiele urządzeń medycznych, które badają i monitorują pacjenta, jest podłączonych do Internetu. Uważamy je za część Internetu przedmiotów (IoT). Ta grupa urządzeń ma swój własny zestaw zagrożeń bezpieczeństwa, zwłaszcza jeśli chodzi o informacje umożliwiające identyfikację osób (PII).

W każdym przypadku wskazane jest zbadanie, czy ustawienia urządzeń pozwalają na podejście do nich przez intranet, a nie przez internet. W miarę możliwości ułatwia to zabezpieczenie urządzenia przed nieautoryzowanym dostępem i utrzymanie poufnych danych w granicach bezpieczeństwa.

Systemy dziedziczenia
Systemy medyczne pochodzą od różnych dostawców i w każdym szpitalu można znaleźć wiele różnych typów. Każdy z nich ma swój własny cel, przewodnik użytkownika i system aktualizacji. Dla wielu starszych systemów, działającą zasadą będzie nie majstrować przy nim, jeśli działa. Strach przed awarią systemu przeważa nad koniecznością instalacji najnowszych poprawek. I możemy odnosić się do tego stanu umysłu z wyjątkiem sytuacji, gdy jest on stosowany do aktualizacji zabezpieczeń w podłączonym systemie.

Stres związany z katastrofą
Okay, nadchodzi nasza kolejna wzmianka o COVID-19-I know, ale jest to czynnik, którego nie możemy ignorować.

Niedawna globalna pandemia przyczynia się do braku czasu, który personel IT w wielu organizacjach opieki zdrowotnej czuje, że ma. To samo dotyczy wielu innych katastrof, które wymagają wprowadzenia rozwiązań awaryjnych.

W niektórych przypadkach zbudowano całe specjalistyczne kliniki, aby poradzić sobie z ofiarami COVID-19 i zastąpić utraconą przepustowość w innych katastrofach, takich jak pożary i zjeżdżalnie ziemi.

Ważniejsze sprawy pod ręką?
Trudno przecenić znaczenie "triage" w systemie opieki zdrowotnej. Pracownicy służby zdrowia, tacy jak pielęgniarki i lekarze, prawdopodobnie praktykują go na co dzień, nadając priorytet najbardziej krytycznym potrzebom pacjentów na zasadzie sekundowej.

Nie powinno dziwić, że triaging ma swoje miejsce także w administracji IT. Placówki opieki zdrowotnej powinny określić, które systemy wymagają natychmiastowej uwagi, a które mogą czekać.

Co ciekawe, CISO szpitala, który ucierpiał w wyniku ataku na okup, został oskarżony w niektórych niemieckich mediach o zaniedbania. Organy ścigania w Niemczech posuwają się naprzód, próbując zarówno zidentyfikować osoby stojące za atakiem okupującym, jak i potencjalnie oskarżyć je o niedbałe zabójstwo z powodu śmierci kobiety.

Chociaż nie możemy winić CISO za śmierć kobiety, może nadejść czas, kiedy nieodpowiednie bezpieczeństwo i jego skutki mogą nieść ze sobą karę dla osób odpowiedzialnych.

Okupy w szczególności
Okupujące oprogramowanie w niemieckim przypadku zostało zidentyfikowane jako DoppelPaymer i zostało zasadzone wewnątrz organizacji przy użyciu podatności CVE-2019-19781 w sieciach VPN Citrix.

W nowszych wiadomościach dowiedzieliśmy się, że szpitale UHS w USA zostały dotknięte przez okup Ryuk.

Należy również pamiętać, że koszty ataku na okup są często niedoceniane. Ludzie mają tendencję do patrzenia tylko na rzeczywistą kwotę żądanego okupu, ale dodatkowe koszty są często znacznie wyższe.

Przywrócenie wszystkich dotkniętych systemów w organizacji i przywrócenie ich do stanu pełnej operacyjności zajmuje wiele godzin. W organizacji, która przychodzi przygotowana, czas potrzebny na odbudowę będzie krótszy. Posiadanie planu odbudowy i odpowiednich kopii zapasowych, które są łatwe do wdrożenia, może usprawnić proces powrotu do biznesu. Innym ważnym zadaniem jest ustalenie, jak to się stało i jak zatkać dziurę, aby to się nie powtórzyło. Ponadto, konieczne może być dokładne zbadanie, czy napastnik nie zostawił za sobą żadnego backdooru.

Jest rozwiązanie
Bezpieczeństwo prawdopodobnie nigdy nie osiągnie jakości wodoszczelnej, więc oprócz zapewnienia jak największego bezpieczeństwa naszej infrastrukturze, a zwłaszcza jej istotnym elementom, musimy również myśleć perspektywicznie i planować działania w przypadku naruszenia przepisów. Niezależnie od tego, czy jest to naruszenie danych, czy atak, który sparaliżuje ważne części naszych systemów, chcemy być przygotowani. Wiedząc, co robić i w jakim porządku, możemy zaoszczędzić mnóstwo czasu podczas odzyskiwania danych po awarii. Posiadanie narzędzi i kopii zapasowych pod ręką to drugi krok w ograniczaniu szkód i pomocy w szybkim odzyskiwaniu danych.

Podsumowując, będziecie potrzebować:

  • Plany naprawcze dla różnych scenariuszy: naruszenia danych, ataki na okup, nazywasz to
  • Kopie zapasowe plików, które są niedawne i łatwe do wdrożenia lub inny rodzaj metody backupu
  • Systemy rezerwowe, które mogą przejąć kontrolę nad krytycznymi systemami, gdy są uszkodzone
  • Szkolenia dla zainteresowanych osób, a przynajmniej możliwość zapoznania ich z etapami planów naprawczych
  • I wreszcie, co nie mniej ważne, nie zapomnij skupić się na prewencji. Najlepszą rzeczą w planie naprawczym jest to, że nigdy go nie potrzebujesz.

Trzymajcie się, wszyscy!

 

Komentarze (0)

Zostaw komentarz