Кібератака порушила роботу 2 лікарень Массачусетса

Компанія Heywood Healthcare повідомила, що продовжує обслуговувати стаціонарних пацієнтів у своїй лікарні Heywood Hospital на 134 ліжка в Гарднері, штат Массачусетс, і в лікарні критичного доступу Athol Hospital на 25 ліжок у сусідньому Атолі. Але лікарні не приймають пацієнтів екстреної медичної допомоги, яких транспортує швидка допомога. Також постраждали радіологічні та лабораторні служби.

Місцева служба швидкої допомоги, Central Massachusetts Emergency Medical Systems Corp. у Холдені, штат Массачусетс, на своїй сторінці у Facebook на вихідних повідомила громаду, що через те, що послуги комп’ютерної томографії в лікарнях Хейвуд і Атол «не працюватимуть до подальшого повідомлення», машини швидкої допомоги мають транспортувати пацієнтів з інсультом «до найближчої лікарні первинної медичної допомоги згідно зі списком первинних інсультних служб штату».

Також постраждали електронна пошта та телефони, повідомив працівник лікарні Хейвуд Media Group.

«Нещодавно в лікарні Хейвуд стався збій мережі, який, як було визначено, став результатом інциденту з кібербезпекою», — сказав представник лікарні Хейвуд у заяві Information Security Media Group.

«Після виявлення ми негайно активували наші протоколи реагування на інциденти та вимкнули уражені системи, щоб захистити нашу мережу та пацієнтів. Ми тісно співпрацюємо зі сторонніми експертами з кібербезпеки, щоб провести розслідування характеру та масштабу інциденту, і підтримуємо зв’язок із правоохоронними органами», — сказав речник. За її словами, розслідування “початкове і триває”.

«Наразі ми не приймаємо екстрені послуги швидкої допомоги та обмежені в наших радіологічних і лабораторних послугах. Наші амбулаторні кабінети, періопераційні та стаціонарні відділення продовжують працювати».

Лікарня Хейвуд не відповіла негайно на запит ISMG щодо додаткових деталей, у тому числі щодо повного масштабу постраждалих ІТ-систем, чи було задіяно шифрування програм-вимагачів або викрадання даних, чи вимагав зловмисник вимагати платіж і ступінь, до якого система охорони здоров’я вдавалася до використання ручних і паперових процесів.

Пацієнтам Heywood Medical Group пропонується звертатися із запитаннями щодо запису на прийом через портал для пацієнтів медичної практики. «Якщо ви не можете отримати доступ до порталу Athena, служба автовідповідача відкрита та доставлятиме повідомлення вашому провайдеру», — йдеться у дописі лікарні Хейвуд на своїй сторінці у Facebook.

Найпопулярніші цілі

Деструктивні атаки на лікарні стали більш звичним явищем, коли групи кіберзлочинців атакують їх за допомогою програм-вимагачів. Галузь охорони здоров’я, а також місцева влада та виробництво, є головними цілями для кібер-зловмисників, «і залишатимуться такими через їх критичність і нездатність працювати в разі збоїв», — сказав Майк Гамільтон, польовий CISO у охоронній фірмі Lumifi Cyber.

Фактично, нещодавнє дослідження Інституту Понемана та фірми з безпеки Proofpoint показало, що 93% організацій зазнали кібератак за останні 12 місяців і що 72% організацій охорони здоров’я повідомили про збої в обслуговуванні пацієнтів через ці атаки.

Місія медичних організацій, таких як лікарні, полягає в наданні допомоги пацієнтам, завдяки чому ці організації «швидше за все платитимуть вимоги здирництва, щоб повернутися до працездатності», сказав Гамільтон. «Цей цикл продовжує створювати спотворені стимули для кіберзлочинності, націленої на охоплені організації».

Дослідник Крістіан Бік з охоронної фірми Rapid7 пропонує подібну оцінку. «Лікарні та сектор охорони здоров’я в цілому стають все більш мішенями, оскільки етичні межі поступилися місцем ментальності, орієнтованій на отримання прибутку», — сказав він.

«Оскільки існує така кількість груп, усі просто хочуть підзаробити, а соціальні норми — навіть серед учасників загрози — які колись захищали галузь, явно вийшли з вікна».

Вплив кібератак на лікарні продовжує бути значним, часто призводячи до тривалих перебоїв у роботі та прямих ризиків для догляду за пацієнтами, сказав Дейв Бейлі, віце-президент із консультаційних послуг у консалтинговій компанії Clearwater з питань конфіденційності та безпеки охорони здоров’я.

«Хоча багато організацій охорони здоров’я вживають суттєвих заходів для зміцнення своєї безпеки та зменшення ризику, сектор все ще намагається встигати за ескалацією ландшафту загроз», — сказав він.

«Справжня стійкість залишається далекою метою, яка вимагатиме постійних інвестицій, модернізації та культурного зрушення в бік проактивної кібербезпеки».

Програми-вимагачі продовжують домінувати серед загроз, але тактика еволюціонувала – із подвійними та потрійними схемами здирництва, коротшим часом перебування та значно більшими збоями в роботі, сказав Бейлі. За словами Бейлі, фішинг, керований штучним інтелектом, робить «шахрайські повідомлення майже невідрізними від законних».

«Тим часом компроміси в ланцюзі поставок продовжують впливати на екосистеми охорони здоров’я, а кампанії з вимагання даних зростають, оскільки зловмисники взагалі відмовляються від шифрування, зосереджуючись натомість на крадіжці даних пацієнтів для отримання кредиту або перепродажу», — сказав Бейлі.

Крім програм-вимагачів, зловмисники все частіше використовують уразливості в пристроях безпеки, таких як VPN, брандмауери та периферійні пристрої, щоб отримати початковий доступ, сказав Бік.

Критичною проблемою є ескалація ризику ланцюга поставок, сказав він. «Враховуючи значну залежність охорони здоров’я від зовнішніх постачальників для виставлення рахунків, обробки зображень і керування даними, такі порушення підкреслюють нагальну потребу перевірити методи безпеки третіх сторін, обмежити привілеї доступу постачальників і стежити за викраденням даних за межі внутрішніх систем», — сказав він.

«Навіть добре захищені лікарні є вразливими, якщо заходи безпеки їхніх партнерів є неадекватними».

Вжиття заходів

Гамільтон рекомендує, щоб організації охорони здоров’я, включаючи лікарні, вжили кількох важливих заходів для покращення стану безпеки та стійкості, коли вони стикаються з потенційно руйнівними кіберінцидентами, такими як програми-вимагачі та інші атаки.

«Зрозумійте, що три поширені методи початкового доступу — це соціальна інженерія, використання вразливостей і зловживання обліковими даними, і вживайте заходів для пом’якшення цих методів», — сказав він. «Навчайте користувачів, перенесіть особисте використання на персональні пристрої, використовуйте ефективне керування обліковими даними та багатофакторну автентифікацію, а також розглядайте виправлення вразливостей з такою ж терміновістю, як інцидент, коли випускається виправлення для продуктів, що підключаються до Інтернету, або тих, що мають важливе значення для догляду за пацієнтами».

Бейлі пропонує організаціям охорони здоров’я глибше ознайомитись зі своїм ландшафтом ризиків за допомогою комплексного та постійного аналізу ризиків.

«Оскільки вони зміцнюють фундаментальні стовпи безпеки — захист, виявлення та реагування — вони також повинні просуватися до архітектури нульової довіри, моніторингу поведінки на основі штучного інтелекту та звичайних вправ із стійкості, які підтверджують ефективність їхніх засобів захисту та інвестицій».

Анна Квінн, тестувальник безпеки та дослідник Rapid7, сказала, що, виходячи з того, що її організація бачить з точки зору тестування безпеки, вона рекомендує організаціям охорони здоров’я також ретельно впроваджувати сегментацію.

«Забезпечте сильну сегментацію всіх пристроїв і систем, що надають медичну допомогу, щоб запобігти кіберзагрозам для цих пристроїв, а також гарантувати, що догляд за пацієнтами не буде перерваний у разі атаки», — сказала вона.

Крім того, вона пропонує запровадити подібний захист навколо будь-яких пристроїв безперебійного живлення, «щоб гарантувати, що зловмисники не можуть призвести до відключення електроенергії в критичних системах через доступ до ваших джерел живлення».