מתקפות סייבר המיועדות למתקנים רפואיים (04.23.24)
למרות שמספר אירועי אבטחת הסייבר בתחום הרפואי גדל במהירות, ארגונים רבים עדיין לא נוקטים צעדים רציניים נגד פושעי סייבר. זה קורה למרות שהתוקפים מכוונים לא רק לנכסים פיננסיים, אלא למה שהם חיי אדם נוראיים הרבה יותר.
בואו נראה איך הדברים מתנהלים בביטחון המוסדות הרפואיים ומה מצפה לנו מחר. / p>
בימינו האקרים מתעניינים מאוד בענף הבריאות. המגיפה משכה כל כך הרבה רמאים לאזור זה, כי אין ספק שהם יודעים הכל עלינו.
למרבה הצער, בחלק מהמקרים יש נפגעים חמורים. לפני מספר חודשים, התקפת כופר על מתקן רפואי גרמה למותו של חולה.
פעולותיהם של רשעים גורמות נזק כספי עצום לארגוני הבריאות. בשנת 2016 העריך פרוטנוס את ההפסדים הכספיים מהפרות אבטחת מידע למוסדות רפואיים בארה"ב ב -6.2 מיליארד דולר. מיזמי אבטחת הסייבר חזו כי תעשיית הבריאות תוציא במשותף יותר מ -65 מיליארד דולר על מוצרי ושירותי אבטחת סייבר בין 2017 ל -2021, ובשנת 2019 תחום זה יפגע מהתקפות סייבר פי 2-3 מאחרים. בשנים האחרונות, נתוני האירועים במגזר זה צמחו באופן אקספוננציאלי.
על פי משרד הבריאות והשירותים האנושיים של ארה"ב, בשנת 2019 היו 510 מקרים של הפרות נתונים רפואיים, שהם 196% יותר מאשר בשנת 2018. על פי נתוני מעבדת קספרסקי, כל מכשיר חמישי הותקף בארגונים רפואיים ברחבי העולם בשנת 2019. קספרסקי צופה שנתון זה ימשיך לגדול, בעיקר בגלל זיהומי כופר.
מדוע האקרים תוקפים בתי חולים?אילו דברים מביאים פושעי סייבר למגזר הבריאות? ראשית כל, קלות היישום של התקפות. מוסדות רפואיים משתמשים לרוב במערכות IT מיושנות ולעיתים נדירות מעדכנים תוכנות כלשהן. לכן, פתרונות אלה מכילים מאות נקודות תורפה המסוכנות המספקות גישה גם לאותם האקרים שאינם כשירים במיוחד והיו מעורבים מוקדם יותר רק בפעולות זדוניות קלות. מתברר כי עלות יישום התקפות נמוכה ביותר כאן ובהתחשב בנוכחות נתוני מטופלים אטרקטיביים, גורם זה הופך להיות מכריע.
מלבד זאת, לעיתים קרובות ארגונים רפואיים אינם בעלי צוות אבטחת סייבר מנוסה. הפרות נתונים מתגלות לעיתים קרובות כאשר מאגרי מידע נמכרים בשוק השחור או פשוט מתפרסמים לציבור. ל- 6% היו קציני אבטחת מידע ראשיים - CISOs.
היעדר מומחי IT מוכשרים אינו מאפשר למוסדות רפואיים להתמודד עם משבר פתאומי (למשל, כאשר וירוס מצפין את כל הנתונים ורמאים דורשים כופר להחזיר את הנתונים.) במצבים כאלה, בתי חולים מעדיפים לשלם להאקרים. , להחזיר את הגישה ולהימנע מפרסום. הם אינם מבינים כי פעולה זו יוצרת מוטיבציה רבה יותר עבור תוקפים.
ערך הנתונים הרפואיים הולך וגדל. על פי מחקר של מעבדת קספרסקי, עלות המידע הרפואי ברשת האפל גבוהה מזו של פרטי כרטיס הבנק. חברת Cybersecurity Ventures מעריכה כי התיק הרפואי של חולה גנוב יכול לעלות עד 60 דולר לרשומה (פי 10 עד 20 ממידע על כרטיסי אשראי.)
החזקת מידע פרטי זה מסייע לפושעי רשת לרמות אנשים וקרוביהם. בנוסף, האקרים יכולים לשנות רשומות רפואיות כדי להקשות על אבחנת המחלה. הם עשויים גם לסחוט חולים על ידי איום לחשוף נתוני מחלות.
בנוסף, פושעי סייבר מעוניינים במידע אודות עלויות הטיפול, בהן הם יכולים להשתמש למטרותיהם, למשל, כדי להעריך את הכספים העומדים לרשות השותפים והלקוחות במרפאה.
מה הכי מתקיפים האקרים?על פי נתוני img פתוח, מרבית הבעיות באבטחת המידע של ארגונים רפואיים בשנת 2019 היו קשורות למערכות דוא"ל והתקפות פישינג. גישה לשירותי מוסדות רפואיים הפתוחים לחיבור מבחוץ. וקטור התקפות זה מכוון לניצול פרוטוקול RDP, המשמש לרוב לגישה מרחוק וחשוב מאוד במהלך מגיפה.
מהותה של שיטה זו היא שתוקפים מחפשים חשבונות עובדים מוגנים חלש לפרוץ אותם, לקבל גישה לשירותים ציבוריים של החברה ולחדור להיקף. כתוצאה מכך, הם עשויים לא רק לגנוב נתונים אלא גם להפעיל תוכניות זדוניות.
לתוצאות התקפות סייבר על מערכות רפואיותלתקיפות על מגזר הבריאות יש השלכות קשות. בפרט, מחקר של מומחים בריטים מצא כי התקפה אחת בלבד של נגיף הכופר WannaCry, המכוונת לפגיעות במערכת ההפעלה Windows, עלתה לבתי חולים בבריטניה כמעט 100 מיליון ליש"ט וגרמה להפרעה משמעותית בטיפול בחולים, כולל ביטול של כמעט 19 אלף פגישות ניתוחים מתוכננים לפחות שליש ממתקני שירותי הבריאות הלאומיים בבריטניה ושמונה אחוזים מהרופאים הכלליים.
מומחי הספרים השחורים חישבו כי ההפסד הכספי המשוער כתוצאה מהפרות נתונים בבתי חולים בארה"ב בשנת 2019 עמד בממוצע על 423 דולר לכל כניסה. הם גם סקרו 58 מנהלי שיווק של ארגוני בריאות גדולים. הם גילו כי במהלך 18 החודשים האחרונים הם הוציאו בין 51 ל -100 אלף דולר בכדי למנוע את ההשלכות של פרסומים שליליים שנגרמו כתוצאה מדליפות נתונים וגניבות מידע.
האירועים הגרועים ביותר שעוררה התערבות האקרים בעבודתם של מתקנים רפואיים קשורים למקרי מוות בחולים. חוקרים מאוניברסיטת ונדרבילט לקחו רשימה של הפרות נתוני בריאות שהורכבו על ידי משרד הבריאות ושירותי האנוש (HHS) והשתמשו בה לניתוח שיעורי התמותה בקרב חולים ביותר מ -3,000 בתי חולים. חוקרים מצאו כי לאחר אירועים כאלה במאות בתי חולים שנבדקו מדי שנה, היו 36 מקרי מוות נוספים לכל 10 אלף התקפי לב. בפרט, במרכזים רפואיים בהם התרחשו הפרעות כאלה, לקחו לחולים עם חשד להתקפי לב לקבל אלקטרוקרדיוגרמה.
נציגי אחד מבתי החולים בגרמניה, מרפאת האוניברסיטה בדיסלדורף, אמרו שהם יכולים לא לסייע למטופל מאחר שמחשבי המוסד נדבקו בנגיף כופר. האישה נפטרה בדרך לבית חולים בעיר אחרת.
מסקנהמוסדות רפואיים צריכים להבין שמספרן ומורכבותם של מתקפות סייבר רק יגדל. ככל שהם מנסים לפתור בעיות אבטחת מידע בכוחות עצמם, מבלי לפרסם תקריות בפומבי, כך הם יהיו גרועים יותר.
כרגע, התקפות על מתקנים רפואיים גוררות לא רק מיליוני הפסדים כספיים אלא גם מקרי מוות אנושיים. במהלך המגיפה המצב רק יחמיר.
בנוסף, מומחים בטוחים כי בעתיד הקרוב יגדל מספר האירועים הקשורים למכשירים רפואיים שונים בבתי חולים ובמרכזי אבחון עם גישה לאינטרנט. / p>
הדיגיטליזציה של שירותי הרפואה הולכת וגוברת. יותר ויותר תוכנות ומערכות מידע משמשות. גם הפופולריות והביקוש לשירותי רפואה גוברים. כל הגורמים הללו פותחים הזדמנויות רבות יותר עבור האקרים, והם בהחלט ישתמשו בהם.
מודעות ביטחונית תהיה גורם מפתח עבור מוסדות רפואיים בחמש השנים הקרובות. ממשלות, מוסדות רפואיים גדולים ומרפאות קטנות צריכות לאחד מאמצים, למשוך מומחי IT מוסמכים ולפתוח דיאלוג לפיתרון בעיות יחד.
סרטון יוטיוב: מתקפות סייבר המיועדות למתקנים רפואיים
04, 2024