Povećanje sajber napada na zdravstvo
Sve je veći fokus ransomware napada na zdravstveni sektor kako industrija digitalizira procese i koristi aplikacije za komunikaciju s pacijentima i dobavljačima. Podaci o istoriji bolesti i dijagnozi možda su najprivatnije i najosjetljivije informacije kojima nepouzdana osoba može pristupiti.
Napadači i grupe ransomware-a to znaju i stoga ne samo da kriptiraju podatke, već i prijete da će ih javno objaviti, s očiglednim reputacijskim i pravnim posljedicama za organizaciju, kao i narušavanjem povjerenja javnosti.
Neki operateri ransomware-a čak su se specijalizirali za napade na pružaoce zdravstvenih usluga - uključujući grupe kao što su Maui, zloglasna Conti grupa i Karakurt banda.
Nedavni ransomware napad na američku bolnicu McKinney ilustruje rizike: Karakurt banda (vjerovatno ruska) ukrala je 360 gigabajta fajlova iz bolnice, a hakeri sada tvrde da imaju fakture, ugovore, računovodstvo, skenirane recepte, kartice pacijenata i finansijske dokumente uključujući revizorske izvještaje. Taktika dvostruke iznude je vrlo popularna u napadima na zdravstvenu zaštitu: ne samo da napadač šifrira datoteke, već prijeti i da će javnosti objaviti osjetljive informacije. Bolnica je odlučila da ne plati otkup nakon konsultacija sa stručnjacima za sajber sigurnost jer nema garancije da će dobiti novac, ali to predstavlja noćnu moru za mnoge bivše i sadašnje pacijente koje bolnica opslužuje.
Većina napada na zdravstvene organizacije iskorištava inherentno povjerenje i neograničen pristup koji se daje korisnicima i uređajima zaštićenim tradicionalnom sigurnošću zasnovanom na perimetru. Loše osiguran daljinski pristup je široko rasprostranjen (npr. RDP bez jakog MFA) i prakse upravljanja identitetom su zastarjele. Jednom kada se probije perimetar pristupa, napadači obično imaju lakši put s obzirom na implicitno povjerenje u mnoge aplikacije organizacije, kao i kritične sistemske i mrežne usluge kao što je Microsoft Active Directory.
Kako bi spriječile potencijalnu štetu, bolnice i zdravstvene ustanove moraju poboljšati upravljanje identitetom i ukloniti implicitno povjerenje koje se daje korisnicima, aplikacijama i uređajima nakon što se napadač autentifikuje (obično putem phishinga). Ključna riječ koju ovdje treba slijediti je naravno ZTNA (zero trust network access) koji provjerava korisnički identitet, zdravlje uređaja i politiku pristupa prije nego što odobri pristup mrežnim resursima. ZTNA povezuje korisnike samo na vrlo specifične aplikacije ili sisteme, a ne na cijelu mrežu, što je trenutno zadana postavka u većini organizacija.