攻擊者目前對醫療保健行業施加了相當大的壓力,主導了新聞週期,並將勒索軟體和其他網路攻擊放在首位。醫療保健行業對網路犯罪分子來說是一個有吸引力的目標,平均每周發生 1,463 次攻擊 (與 2021 年相比增加了 74%)。在過去的 12 年裡, 醫療保健漏洞的成本 一直高於任何其他行業,到 2022 年達到 1010 萬美元。隨著越來越多的衛生系統轉向數位和互聯技術,這些攻擊將進一步增加。
為什麼要打擊醫療保健系統?
攻擊者專注於醫療保健有幾個原因。當然,首先,當人的生命處於危險之中時,目標組織更有可能支付贖金,以便他們能夠恢復正常的業務營運——這實際上是提供關鍵的緊急護理、接生嬰兒以及為弱勢患者提供持續護理。僅僅中斷這些環境中的操作可能會危及生命。
在安大略省, 一家醫院失去了公用事業,包括電力、水和危重等必需品 IT 系統。該醫院稱這是「灰色代碼」事件,致力於提供關鍵的醫院服務,但敦促病情較輕的患者尋求替代護理選擇。即使在網路攻擊平息後,醫院系統在恢復正常營運方面也可能會遇到挑戰。
就在幾天前, 對佛羅里達州衛生系統的 襲擊導致塔拉哈西紀念醫療保健 (TMH) 採取了 IT 系統離線並暫停非緊急程式。這些影響對私人、非營利性醫療保健系統的影響範圍很廣,該系統在佛羅里達州和喬治亞州提供急症護理醫院、精神病醫院、38 家附屬醫師診所以及多個專科護理中心。
根據美國網路安全和基礎設施安全域(CISA)今年早些時候的說法,朝鮮 的勒索軟體行動 正在勒索資金,並利用它們來支持北韓政府的國家級優先事項和目標。這些攻擊的目標是公共衛生和其他關鍵基礎設施部門。CISA表示,除了私人開發的儲物櫃外,駭客還使用多種檔加密惡意軟體來攻擊韓國和美國的醫療保健系統。
衛生部門網路安全協調中心指出,除了民族國家行為者透過勒索軟體攻擊為政府運作提供資金外,一個名為 KillNet 的駭客組織一直在積極 針對美國醫療保健部門 進行分散式拒絕服務 (DDoS) 網路攻擊。該組織以支持烏克蘭的國家為目標,透過分散式拒絕服務攻擊來打擊他們,導致持續數小時或數天的服務中斷。這些延誤可能會導致預約延誤、關鍵 EHR 系統的停機以及救護車被轉移到其他衛生系統。隨著烏克蘭戰爭的持續,美國醫療保健部門在防止網路威脅方面必須更加警惕。
攻擊者如何進入?
衛生系統是極其複雜的IT生態系統。小型醫院收購、在沒有安全團隊監督的情況下配置的雲和S應用程式、互聯醫療設備以及數千到數十萬個數字資產都造成了難以管理的攻擊面。除此之外,還有許多未知的漏洞將始終存在並被用於零時差攻擊,這使得任何未打補丁的系統都面臨難以置信的巨大風險。
由於保險資訊和患者資料的存取點如此之多,IT 團隊難以保護所有這些存取點。更複雜的是,醫生、實體治療師、醫師助理、護士和患者本身現在正在與數十個端點進行交互,但這些人很少是老練的使用者。他們可能會共享密碼或使用容易猜到的密碼,很少有人可能有效地使用多因素身份驗證功能。洩露的憑據和鬆散的身份驗證為攻擊者提供了進入衛生系統網路、應用程式和資料的途徑。
緩解攻擊潛力和影響
世界的聯繫日益緊密,安全計劃和協定需要適應這一現實。衛生系統可以透過制定明確定義和實踐的應對計劃來為攻擊做好準備,以防發生攻擊。定期進行網路安全演習,以確保協議協調良好且最新,可以説明安全團隊為看似不可避免的攻擊做好準備。
雖然預算和人力資源可能有限,但投資於額外的零信任技術可以大大減少威脅面。醫療保健行業嚴重依賴電子郵件進行日常通訊,並依賴 網路應用程式門戶來共用和上傳檔和患者資料。然而,這兩者都會給勒索軟體、資料盜竊、合規問題等帶來重大風險。零信任電子郵件和檔案上傳解決方案利用資料清理、主動資料外洩防護來刪除敏感資料,以及使用多個反惡意軟體引擎進行多防毒引擎掃描,這些解決方案已經有助於大大降低惡意軟體和零時差攻擊的風險。
為這些複雜的環境實施 零信任存取控制 還可以使不太複雜的使用者在授予系統存取許可權之前,能夠根據組織的安全策略無縫地執行安全檢查。透過零信任網路存取,醫療機構可以保護雲、遠端和本地存取,即時瞭解連接到網路的人員,檢測漏洞並部署自動補丁,並在必要時強制執行端點合規性和更新。防止對公司資料進行未經授權的存取還可以説明組織滿足 HIPAA 要求,以保護敏感的患者資料免受攻擊者的攻擊。
從攻擊中恢復
為攻擊做好準備是組織從網路攻擊中快速恢復的最重要方式。由於每個衛生系統都有特定的需求和資源,因此必須讓高管、安全和 IT 專家、法律團隊和溝通團隊創建可操作且經過測試的事件回應流程。及早檢測可疑活動並對其進行調查是重要的第一步,並且啟用持久的 EDR。無論這涉及外部事件回應團隊還是內部資源,都必須執行技術分析以確定事件原因並啟動 IR 計劃並在端點上啟用備份解決方案。在為正在進行的調查蒐集取證資料的同時遏制攻擊者很重要,通知地方、州和聯邦執法機構也很重要。法律, IT,通訊團隊必須共同努力,確保符合法規要求,並限制重大事件對法律和聲譽的潛在影響。
攻擊的範圍會影響恢復過程和違規通知要求。一旦勒索軟體或 DDoS 攻擊被根除,組織必須從備份中恢復資料並解決任何安全漏洞。利用從攻擊中吸取的經驗教訓,衛生系統可以調整其 IR 計劃並制定策略和安全解決方案,以便更容易檢測並更快地遏制未來的攻擊。
想瞭解如何操作 OPSWAT 可以幫忙嗎?
