Атаки шифровальщиков на медицинские организации

Каждая кибератака на клинику или больницу может в прямом смысле стать угрозой жизни и здоровью. В 2020 году здравоохранению и так пришлось несладко, а действия киберпреступников стали дополнительным источником проблем. Одной из основных киберугроз для медицинских учреждений в прошлом году стали атаки шифровальщиков-вымогателей. Злоумышленники шифруют данные и/или запугивают руководство угрозами публикации данных — и рассчитывают таким образом получить выкуп.

Такая атака может вызвать множество разных проблем. Очевидно, что при этом компания не сможет оказывать медицинские услуги, пока нормальное функционирование не будет восстановлено, но это еще не все. Есть и более долгосрочные последствия — например, штрафы от регуляторов или иски от пациентов, персональные данные которых были украдены.

Резонансные инциденты с атаками на здравоохранение

Один из громких случаев прошлого года, хорошо иллюстрирующий масштаб, — атака вымогателя Ryuk на Universal Health Services (UHS) в сентябре прошлого года. Сеть включает 400 медучреждений в США, Великобритании и других странах. К счастью, пострадали не все больницы и клиники, но атака затронула учреждения UHS в Техасе, Вашингтоне, Флориде, Калифорнии, Аризоне… Инцидент произошел ранним воскресным утром: компьютеры пользователей не загружались, на некоторых появлялось требование о выкупе. Затронута была и телефонная сеть. В результате IT-служба попросила сотрудников работать по старинке, то есть без IT-сервисов. Конечно, это нарушило привычную жизнь клиники, в том числе помешало работе врачей, проведению лабораторных исследований и так далее. Некоторых пациентов пришлось перенаправить в другие больницы.

В официальном заявлении UHS отмечает, что данные, включая истории болезни, скомпрометированы не были, и информацию удалось восстановить из бэкапов. Однако в марте этого года компания опубликовала отчет, где сообщила, что эта атака обошлась ей в $67 млн. Сюда включены расходы на восстановление данных, упущенная прибыль из-за простоя и снижения потока пациентов и так далее.

А вот инцидент в Ascend Clinical — компании, специализирующейся на анализах для пациентов, которые страдают хронической болезнью почек, — привел к утечке данных свыше 77 000 тысяч больных. В этом случае известна причина заражения: один из сотрудников «неудачно» перешел по ссылке из фишингового письма. Проникнув в систему, злоумышленники добрались в том числе до персональных данных пациентов — имен, дат рождений и номеров соцстрахования.

Атака на Magellan Health, произошедшая в апреле 2020 года, привела к компрометации персональных данных как сотрудников, так и пациентов (по данным СМИ, она затронула 365 000 человек). Злоумышленникам каким-то образом удалось при помощи социальной инженерии выдать себя за одного из клиентов, получить доступ к внутренней сети, при помощи вредоносного софта перехватить учетные данные для доступа на сервер — и уже тогда зашифровать его.

Интересно, что при атаках на здравоохранение злоумышленники часто предпочитают шифровать и воровать данные именно с серверов, а не с рабочих станций. То же самое случилось с серверами Florida Orthopaedic Institute — злоумышленники зашифровали (предварительно похитив) данные 640 тысяч пациентов. После чего институт столкнулся с достаточно неприятным иском от компании, представляющей интересы пострадавших пациентов.

Это — некоторые из наиболее громких инцидентов, но ими список, конечно же, не ограничивается.

Как медицинским учреждениям защититься от шифровальщиков

Зловред может проникнуть в систему самыми разными путями: через вложения в электронной почте, фишинговые ссылки, зараженные веб-сайты. Злоумышленники могут похитить учетные данные для удаленного доступа, выманить их при помощи социальной инженерии или подобрать брутфорс-атакой.

Тут как никогда хорошо подходит медицинская аналогия: врачи часто говорят, что предупредить заболевание проще, чем лечить. Этот же принцип актуален и для защиты от шифровальщиков-вымогателей. Вот советы по «киберпрофилактике»:

• Все устройства должны быть защищены. И это не только компьютеры, как многие привыкли думать, но и служебные смартфоны, планшеты, терминалы для записи, информационные киоски, медицинское оборудование — абсолютно все, что имеет доступ в сеть компании и Интернет. Преступники оттачивают мастерство и могут использовать любую площадку для взлома, горизонтального распространения и дальнейших атак.
• Все устройства нужно своевременно обновлять. И опять же — речь не только о компьютерах. Не все задумываются об антивирусной защите, например, томографа, а ведь он тоже по сути вычислительная машина с операционной системой, в которой могут быть свои уязвимости. В идеале о вопросах безопасности надо задумываться еще на этапе выбора — как минимум уточнять у вендора, выпускает ли он обновления для своего софта.
• У медицинской компании обязательно должно быть решение для защиты электронной почты — медицинские организации получают множество писем, в том числе спама. К сожалению, среди спама встречается не только безобидный мусор, но и опасные вложения.
• Очень важно обучать всех сотрудников (подчеркнем — всех, включая врачей и медсестер) основам компьютерной грамотности. Все больше процессов так или иначе протекает в электронной форме, начиная с ведения медкарты и закачивая видеоконсультациями.Необходимо, чтобы осведомленность о киберугрозах была такой же частью рутины, как привычка надевать маску при процедурах.
• Многие современные атаки шифровальщиков проходят в «ручном режиме». То есть злоумышленники не рассылают вредоносы наобум, а целенаправленно ищут способ заразить компьютеры и серверы жертвы, зачастую применяя социальную инженерию. Иногда после проникновения в сеть они долго изучают инфраструктуру, выискивая наиболее ценные данные. Для выявления таких атак может оказаться недостаточно защиты конечных точек — возможно, имеет смысл обратиться к сторонним сервисам, которые смогут мониторить происходящее в вашей инфраструктуре удаленно.