תוקפים מפעילים לחץ ניכר על מגזר הבריאות כרגע, שולטים במחזור החדשות ומעמידים את תוכנות הכופר והתקפות סייבר אחרות בראש סדר העדיפויות. תעשיית הבריאות מהווה מטרה אטרקטיבית עבור פושעי סייבר, עם ממוצע של 1,463 התקפות בשבוע (עלייה של 74% בהשוואה לשנת 2021). במשך שתים עשרה השנים האחרונות, עלות הפרת אבטחה בתחום הבריאות הייתה גבוהה יותר מכל תעשייה אחרת, והגיעה ל-10.1 מיליון דולר בשנת 2022. וככל שיותר מערכות בריאות יעברו לטכנולוגיות דיגיטליות ומחוברות, התקפות אלו יגדלו עוד יותר.
למה לפגוע במערכות הבריאות?
ישנן מספר סיבות לכך שתוקפים מתמקדים בתחום הבריאות. הראשונה, כמובן, היא שכאשר חיי אדם נמצאים בסכנה, ארגונים המכוונים לפגיעה נוטים יותר לשלם את הכופר כדי שיוכלו לחזור לפעילות עסקית רגילה - שהיא למעשה מתן טיפול דחוף קריטי, לידת תינוקות ומתן טיפול מתמשך לחולים פגיעים. עצם שיבוש הפעילות בסביבות אלה עלול להיות מסכן חיים.
באונטריו, בית חולים חווה אובדן של תשתיות , כולל שירותים חיוניים כמו חשמל, מים ומערכות IT קריטיות. בית החולים כינה זאת אירוע "קוד אפור", ופעל לספק שירותי בית חולים קריטיים אך קרא לחולים עם מצבים פחות דחופים לחפש אפשרויות טיפול חלופיות. גם לאחר שידוך מתקפת הסייבר, מערכת בית החולים צפויה להיתקל בקשיים בחזרה לפעילות רגילה.
ימים ספורים קודם לכן, מתקפה על מערכת בריאות בפלורידה גרמה לחברת Tallahassee Memorial HealthCare (TMH) להשבית את מערכות ה-IT שלה ולהשעות הליכים שאינם דחופים. ההשפעות נרחבות על מערכת הבריאות הפרטית ללא מטרות רווח, המספקת בתי חולים לטיפול אקוטי, בתי חולים פסיכיאטריים, 38 מרפאות רפואיות מסונפות ומרכזי טיפול מיוחדים מרובים בפלורידה ובג'ורג'יה.
על פי סוכנות אבטחת הסייבר והתשתיות של ארה"ב (CISA) מוקדם יותר השנה, פעולות כופר של צפון קוריאה סחטו כספים והשתמשו בהם כדי לתמוך בסדרי העדיפויות והיעדים הלאומיים של ממשלת צפון קוריאה. התקפות אלה מכוונות לבריאות הציבור ולמגזרי תשתית קריטיים אחרים. CISA ציינה כי ההאקרים השתמשו בזנים מרובים של תוכנות זדוניות להצפנת קבצים כדי לתקוף את מערכות הבריאות של דרום קוריאה וארה"ב, בנוסף ללוקרים שפותחו באופן פרטי.
בנוסף לגורמים מדינתיים המממנים פעולות ממשלתיות באמצעות מתקפות כופר, קבוצת האקרים בשם KillNet מכוונת באופן פעיל נגד מגזר הבריאות בארה"ב באמצעות מתקפות סייבר מבוזרות (DDoS), מציין מרכז התיאום בסייבר-אבטחת המגזר הבריאותי. קבוצה זו מכוונת למדינות התומכות באוקראינה, ופוגעת בהן במתקפות מניעת שירות מבוזרות הגורמות להפסקות שירות הנמשכות שעות או ימים. עיכובים אלה עלולים לגרום לעיכובים בתורים, השבתה של מערכות EHR קריטיות והסטת אמבולנסים למערכות בריאות אחרות. ככל שהמלחמה באוקראינה נמשכת, מגזר הבריאות בארה"ב חייב להיות ערני עוד יותר במאמציו למנוע איומי סייבר.
איך תוקפים חודרים פנימה?
מערכות בריאות הן מערכות אקולוגיות מורכבות להפליא. רכישות קטנות יותר של בתי חולים, יישומי ענן ו-SaaS המוקצים ללא פיקוח של צוות האבטחה, מכשירים רפואיים מחוברים ואלפי עד מאות אלפי נכסים דיגיטליים, כל אלה יוצרים משטח תקיפה שיכול להיות מאתגר לניהול. יחד עם זאת, ישנן פגיעויות רבות ולא ידועות שתמיד יהיו קיימות ומונפות להתקפות יום אפס, מה שהופך כל מערכת שלא תוקנת לסיכון גדול להפליא.
עם כל כך הרבה נקודות גישה למידע ביטוחי ונתוני מטופלים, צוותי IT מתקשים לאבטח את כולם. מה שמסבך עוד יותר את העניינים הוא שרופאים, פיזיותרפיסטים, עוזרי רופא, אחיות ומטופלים עצמם מקיימים כיום אינטראקציה עם עשרות נקודות קצה, אך אנשים אלה הם לעתים רחוקות משתמשים מתוחכמים. הם עשויים לשתף סיסמאות או להשתמש בסיסמאות שקל לנחש, ומעטים צפויים להשתמש ביכולות אימות רב-גורמי ביעילות. אישורים פגומים ואימות זהות רופף מציעים לתוקפים נתיב לרשתות, ליישומים ולנתונים של מערכת הבריאות.
הפחתת פוטנציאל והשפעת התקפה
העולם מחובר יותר ויותר, ותוכניות ופרוטוקולים של אבטחה צריכים להסתגל למציאות זו. מערכות בריאות יכולות להיערך להתקפות על ידי יישום תוכניות תגובה מוגדרות ומנוסות היטב למקרה של התקפה. ביצוע תרגילי אבטחת סייבר סדירים כדי להבטיח שהפרוטוקולים מתואמים היטב ומעודכנים יכול לסייע לצוותי אבטחה להיערך להתקפות שנראות בלתי נמנעות.
בעוד שתקציבים ומשאבי כוח אדם עשויים להיות מוגבלים, השקעה בטכנולוגיית אפס אמון נוספת יכולה להפחית משמעותית את שטח האיום. תעשיית הבריאות מסתמכת במידה רבה על דוא"ל לתקשורת יומיומית ועל פורטלים של יישומי אינטרנט לשיתוף והעלאת קבצים ונתוני מטופלים. עם זאת, שני אלה מהווים סיכונים משמעותיים לתוקפני כופר, גניבת נתונים, בעיות תאימות ועוד. פתרונות אפס אמון לדוא"ל והעלאת קבצים הממנפים ניקוי נתונים , מניעת אובדן נתונים פרואקטיבית להסרת נתונים רגישים וסריקה מרובת עם מנועי אנטי-וירוס מרובים כבר מסייעים להפחית משמעותית את הסיכון לתוכנות זדוניות ולתקיפות אפס-יום.
יישום בקרת גישה מסוג אפס אמון עבור סביבות מורכבות אלו יכול גם לאפשר למשתמשים פחות מתוחכמים לבצע בדיקות אבטחה בצורה חלקה בהתאם למדיניות האבטחה של הארגון לפני מתן גישה למערכת. באמצעות גישת רשת מסוג אפס אמון, מוסדות בריאות יכולים לאבטח גישה בענן, מרחוק ובמקום, לקבל נראות מיידית לגבי מי מחובר לרשת, לזהות פגיעויות ולפרוס תיקונים אוטומטיים, ולאכוף תאימות ועדכונים של נקודות קצה בעת הצורך. מניעת גישה בלתי מורשית לנתוני ארגון יכולה גם לסייע לארגונים לעמוד בדרישות HIPAA לאבטחה והגנה על נתוני מטופלים רגישים מפני תוקפים.
התאוששות מהתקפה
הכנה למתקפה היא הדרך החשובה ביותר שבה ארגון יכול להתאושש במהירות ממתקפת סייבר. מכיוון שלכל מערכת בריאות יש צרכים ומשאבים ספציפיים, חיוני לערב מנהלים, מומחי אבטחה ו-IT, צוותים משפטיים וצוותי תקשורת ביצירת תהליך תגובה לאירועים בר-ישים ובבדיקה. זיהוי מוקדם של פעילות חשודה וחקירתה הם צעד ראשון חשוב, כמו גם מתן אפשרות ל-EDR מתמשך. בין אם מדובר בצוות תגובה חיצוני לאירועים או במשאבים פנימיים, חיוני לבצע ניתוח טכני כדי לזהות את סיבת האירוע וליזום את תוכנית ה-IR ולאפשר פתרונות גיבוי בנקודות הקצה. בלימת התוקפים תוך איסוף נתונים פורנזיים לחקירות מתמשכות היא חשובה, כמו גם הודעה לרשויות אכיפת החוק המקומיות, המדינתיות והפדרליות. צוותי המשפט, ה-IT והתקשורת חייבים לעבוד יחד כדי להבטיח עמידה בתקנות ולהגביל את ההשפעה המשפטית והתדמיתית הפוטנציאלית של אירוע קריטי.
היקף המתקפה משפיע על תהליך ההתאוששות ועל דרישות הדיווח על הפרצות. לאחר שסוגרו מתקפות הכופר או ה-DDoS, ארגונים חייבים לשחזר נתונים מגיבויים ולטפל בכל פערי אבטחה. באמצעות הלקחים שנלמדו מהמתקפה, מערכות בריאות יכולות להתאים את תוכנית ה-IR שלהן וליישם טקטיקות ופתרונות אבטחה כדי להקל על הזיהוי ובלימת התקפות עתידיות מהר יותר.
רוצה ללמוד איך OPSWAT יכול לעזור?
