Những kẻ tấn công đang gây áp lực đáng kể lên lĩnh vực chăm sóc sức khỏe ngay bây giờ, thống trị chu kỳ tin tức và đặt ransomware và các cuộc tấn công mạng khác lên hàng đầu. Ngành y tế đặt mục tiêu hấp dẫn cho tội phạm mạng, trung bình 1.463 cuộc tấn công mỗi tuần (tăng 74% so với năm 2021). Trong mười hai năm qua, chi phí cho một vụ vi phạm chăm sóc sức khỏe cao hơn bất kỳ ngành nào khác, đạt 10,1 triệu USD vào năm 2022. Và khi nhiều hệ thống y tế chuyển sang các công nghệ kỹ thuật số và kết nối, các cuộc tấn công này sẽ gia tăng hơn nữa.
Tại sao lại tấn công hệ thống chăm sóc sức khỏe?
Có một số lý do khiến những kẻ tấn công tập trung vào chăm sóc sức khỏe. Đầu tiên, tất nhiên, là khi cuộc sống của con người gặp nguy hiểm, các tổ chức bị nhắm mục tiêu có nhiều khả năng trả tiền chuộc để họ có thể trở lại hoạt động kinh doanh bình thường - thực sự là cung cấp dịch vụ chăm sóc khẩn cấp quan trọng, sinh em bé và cung cấp dịch vụ chăm sóc liên tục cho những bệnh nhân dễ bị tổn thương. Đơn giản chỉ cần làm gián đoạn các hoạt động trong các cài đặt này có thể đe dọa tính mạng.
Ở Ontario, một bệnh viện đã bị mất các tiện ích, bao gồm các nhu cầu thiết yếu như điện, nước và các thiết bị quan trọng IT Hệ thống. Gọi đây là sự kiện "Code Grey", bệnh viện đã làm việc để cung cấp các dịch vụ quan trọng của bệnh viện nhưng kêu gọi bệnh nhân có tình trạng ít khẩn cấp hơn tìm kiếm các lựa chọn chăm sóc thay thế. Ngay cả sau khi cuộc tấn công mạng lắng xuống, hệ thống bệnh viện có thể sẽ gặp khó khăn trong việc trở lại hoạt động bình thường.
Chỉ vài ngày trước đó, một cuộc tấn công vào hệ thống y tế Florida đã khiến Tallahassee Memorial HealthCare (TMH) phải hủy bỏ IT hệ thống ngoại tuyến và tạm dừng các thủ tục không khẩn cấp. Các tác động này rất rộng đối với hệ thống chăm sóc sức khỏe tư nhân, phi lợi nhuận cung cấp các bệnh viện chăm sóc cấp tính, bệnh viện tâm thần, 38 cơ sở thực hành bác sĩ trực thuộc và nhiều trung tâm chăm sóc chuyên khoa ở Florida và Georgia.
Theo Cơ quan An ninh Cơ sở hạ tầng và An ninh mạng Hoa Kỳ (CISA) hồi đầu năm nay, các hoạt động ransomware của Triều Tiên đã tống tiền và sử dụng chúng để hỗ trợ các ưu tiên và mục tiêu cấp quốc gia của chính phủ Triều Tiên. Những cuộc tấn công này nhắm vào sức khỏe cộng đồng và các cuộc tấn công khác cơ sở hạ tầng trọng yếu Lĩnh vực. CISA chỉ ra rằng các tin tặc đã sử dụng nhiều loại phần mềm độc hại mã hóa tệp để tấn công các hệ thống chăm sóc sức khỏe của Hàn Quốc và Hoa Kỳ ngoài các tủ khóa do tư nhân phát triển.
Ngoài các tác nhân quốc gia tài trợ cho các hoạt động của chính phủ thông qua tấn công ransomware, một nhóm hacker có tên KillNet đã tích cực nhắm mục tiêu vào lĩnh vực chăm sóc sức khỏe của Hoa Kỳ bằng các cuộc tấn công mạng từ chối dịch vụ phân tán (DDoS), Trung tâm Điều phối An ninh mạng Ngành Y tế lưu ý. Nhóm này nhắm mục tiêu vào các quốc gia hỗ trợ Ukraine, tấn công họ bằng các cuộc tấn công từ chối dịch vụ phân tán gây ra tình trạng ngừng dịch vụ kéo dài hàng giờ hoặc nhiều ngày. Những sự chậm trễ đó có thể dẫn đến sự chậm trễ cuộc hẹn, thời gian chết cho các hệ thống EHR quan trọng và xe cứu thương được chuyển hướng đến các hệ thống y tế khác. Khi cuộc chiến ở Ukraine kéo dài, ngành y tế Mỹ phải thận trọng hơn nữa trong nỗ lực ngăn chặn các mối đe dọa trên mạng.
Làm thế nào để kẻ tấn công xâm nhập?
Hệ thống y tế vô cùng phức tạp IT hệ sinh thái. Mua lại bệnh viện nhỏ hơn, các ứng dụng đám mây và SaaS được cung cấp mà không có sự giám sát của nhóm bảo mật, các thiết bị y tế được kết nối và hàng ngàn đến hàng trăm nghìn tài sản kỹ thuật số đều tạo ra một bề mặt tấn công có thể khó quản lý. Cùng với đó, có rất nhiều lỗ hổng chưa biết sẽ luôn tồn tại và được tận dụng cho các cuộc tấn công zero-day, khiến bất kỳ hệ thống chưa được vá nào trở thành rủi ro cực kỳ lớn.
Với rất nhiều điểm truy cập vào thông tin bảo hiểm và dữ liệu bệnh nhân, IT Các đội đấu tranh để đảm bảo tất cả. Vấn đề phức tạp hơn nữa, các bác sĩ, nhà trị liệu vật lý, trợ lý bác sĩ, y tá và chính bệnh nhân hiện đang tương tác với hàng chục điểm cuối, nhưng những cá nhân này hiếm khi là người dùng tinh vi. Họ có thể chia sẻ mật khẩu hoặc sử dụng mật khẩu dễ đoán và ít người có khả năng sử dụng khả năng xác thực đa yếu tố một cách hiệu quả. Thông tin đăng nhập bị xâm phạm và xác minh danh tính lỏng lẻo cung cấp cho kẻ tấn công một đường dẫn vào mạng, ứng dụng và dữ liệu của hệ thống y tế.
Giảm thiểu tiềm năng và tác động của cuộc tấn công
Thế giới ngày càng kết nối, và các kế hoạch và giao thức bảo mật cần phải thích ứng với thực tế này. Các hệ thống y tế có thể chuẩn bị cho các cuộc tấn công bằng cách đưa ra các kế hoạch ứng phó được xác định rõ ràng và thực hành trong trường hợp xảy ra một cuộc tấn công. Tiến hành các bài tập an ninh mạng thường xuyên để đảm bảo rằng các giao thức được phối hợp tốt và cập nhật có thể giúp các nhóm bảo mật chuẩn bị cho các cuộc tấn công dường như không thể tránh khỏi.
Mặc dù ngân sách và nguồn lực nhân sự có thể bị hạn chế, nhưng đầu tư vào công nghệ zero-trust bổ sung có thể làm giảm đáng kể bề mặt mối đe dọa. Ngành chăm sóc sức khỏe phụ thuộc rất nhiều vào email để liên lạc hàng ngày và cổng ứng dụng web để chia sẻ và tải lên các tệp và dữ liệu bệnh nhân. Tuy nhiên, cả hai điều này đều gây ra rủi ro lớn cho ransomware, đánh cắp dữ liệu, các vấn đề tuân thủ và hơn thế nữa. Các giải pháp tải lên tệp và email không tin cậy tận dụng vệ sinh dữ liệu, chủ động ngăn mất dữ liệu để xóa dữ liệu nhạy cảm và đa quét với nhiều trình quét phòng chống mã độc đã giúp giảm đáng kể nguy cơ phần mềm độc hại và các cuộc tấn công zero-day.
Việc triển khai kiểm soát truy cập zero-trust cho các môi trường phức tạp này cũng có thể cho phép người dùng ít phức tạp hơn có một cách liền mạch để thực hiện kiểm tra bảo mật phù hợp với chính sách bảo mật của tổ chức trước khi cấp quyền truy cập vào hệ thống. Thông qua truy cập mạng zero-trust, các tổ chức chăm sóc sức khỏe có thể bảo mật quyền truy cập đám mây, từ xa và tại chỗ, có được khả năng hiển thị tức thì về những người được kết nối với mạng, phát hiện lỗ hổng và triển khai các bản vá tự động, đồng thời thực thi tuân thủ và cập nhật điểm cuối khi cần thiết. Ngăn chặn truy cập trái phép vào dữ liệu của công ty cũng có thể giúp các tổ chức đáp ứng các yêu cầu HIPAA để bảo mật và bảo vệ dữ liệu bệnh nhân nhạy cảm khỏi những kẻ tấn công.
Phục hồi sau một cuộc tấn công
Chuẩn bị cho một cuộc tấn công là cách quan trọng nhất mà một tổ chức có thể phục hồi nhanh chóng sau một cuộc tấn công mạng. Bởi vì mỗi hệ thống y tế có nhu cầu và nguồn lực cụ thể, điều cần thiết là phải liên quan đến giám đốc điều hành, an ninh và IT Các chuyên gia, nhóm pháp lý và nhóm truyền thông trong việc tạo ra một quy trình ứng phó sự cố có thể hành động và đã được thử nghiệm. Phát hiện sớm hoạt động đáng ngờ và điều tra nó là bước đầu tiên quan trọng, cũng như EDR lâu dài được kích hoạt. Cho dù điều này liên quan đến nhóm ứng phó sự cố bên ngoài hay nguồn lực nội bộ, điều cần thiết là phải thực hiện phân tích kỹ thuật để xác định nguyên nhân của sự cố và bắt đầu kế hoạch IR và kích hoạt các giải pháp dự phòng trên các điểm cuối. Ngăn chặn những kẻ tấn công trong khi thu thập dữ liệu pháp y cho các cuộc điều tra đang diễn ra là rất quan trọng, cũng như thông báo cho các cơ quan thực thi pháp luật địa phương, tiểu bang và liên bang. Pháp lý, ITvà các nhóm truyền thông phải làm việc cùng nhau để đảm bảo rằng các quy định đang được đáp ứng và để hạn chế tác động pháp lý và uy tín tiềm ẩn của một sự cố nghiêm trọng.
Phạm vi của cuộc tấn công ảnh hưởng đến quá trình khôi phục và các yêu cầu thông báo vi phạm. Khi cuộc tấn công ransomware hoặc DDoS đã bị xóa, các tổ chức phải khôi phục dữ liệu từ các bản sao lưu và giải quyết mọi lỗ hổng bảo mật. Sử dụng các bài học kinh nghiệm từ cuộc tấn công, các hệ thống y tế có thể điều chỉnh kế hoạch IR của họ và đưa ra các chiến thuật và giải pháp bảo mật để giúp phát hiện dễ dàng hơn và nhanh hơn để ngăn chặn các cuộc tấn công trong tương lai.
Bạn muốn tìm hiểu cách thực hiện OPSWAT có thể giúp đỡ?
