Mens ransomware-grupper ikke har skånet nogen industri, har angribere sat sundhedssektoren i toppen af deres foretrukne mål. Den stigning i antallet af hospitaler, der bliver ofre for overtrædelser, har givet anledning til bekymring blandt tilsynsmyndigheder og embedsmænd, der har flyttet sig for at gennemtvinge nye politikker og lovgivning.
CommonSpirit, et af de største nonprofit-sundhedssystemer i USA, udsendte en meddelelse om brud på privatlivets fred den 1. december med advarsel om, at 623,774 patientjournaler blev afsløret efter et brud den 16. september. Det landsdækkende netværk af 140 hospitaler og over 1,000 plejefaciliteter i 21 stater bekræftede, at ransomware-angribere fik adgang til patientjournalerne, men sagde, at der i øjeblikket ikke er beviser. at personoplysninger blev misbrugt. De potentielt berørte patienter var dem, der blev behandlet på CommonSpirit's Franciscan Medical Group og Franciscan Health i Washington. De fire hospitaler er nu kendt som Virginia Mason Franciscan Health, et CommonSpirit-tilknyttet selskab.
Den nuværende spids bygger videre sidste års stigning på 35 % i det samlede angreb på sundhedsudbydere sammenlignet med 2020, ifølge Critical Insight, en udbyder af managed detection and response (MDR). Ifølge Critical Insight påvirkede cyberangreb på sundhedsudbydere 45 millioner individer sidste år sammenlignet med 34 millioner i 2020 og 14 millioner i 2018.
I oktober rapporterede FBI Internet Crime Complaint Center (ICA), at blandt 16 kritiske infrastrukturer står sundhedssektoren og den offentlige sundhedssektor for 25 % af ransomware-klagerne. Det amerikanske Department of Health and Human Services (HHS) udstedte i april en advarsel om Hive, en aggressiv ransomware-gruppe, der har målrettet sundhedsorganisationer.
HHS Health Sector Cybersecurity Coordination Center (HC3) bemærkede, at Hive vides at have været i drift siden juni 2021, og "i den tid har været meget aggressiv med at målrette mod den amerikanske sundhedssektor."
En anden nyligt opstået hackergruppe, der retter sig mod sundhedsudbydere med ransomware, er Daixin Team. I oktober sluttede HHS sig til Cybersecurity and Infrastructure Agency (CISA) og FBI med en rådgivende advarsel om, at Daixin Team forfølger aktivt sundhedsudbydere med ransomware, der bruger Babuk Locker, kildekode, der krypterer filer i VMware EXSi-servere.
Daixin Teams ransomware krypterer sundhedsudbyderes elektroniske sundhedsjournaler, diagnostik, billedbehandling og intranettjenester, ifølge vejledningen. Gruppen har også eksfiltreret personligt identificerbare oplysninger (PII) og patientsundhedsoplysninger (PHI) og har afpresset løsesummer ved at true med at frigive disse data.
Indvirkning af Ransomware på sundhedsvæsenet
Under Disruptive innovatører CIO Forum i New York tidligere på måneden, en konference med fokus på ny teknologi til sundhedsindustrien, en paneldiskussion omhandlede stigningen i ransomware. "Ransomware er nu sandsynligvis det første sikkerhedsproblem for de fleste sundhedsorganisationer i dag," sagde Christopher Kunney, SVP for digital innovation hos Divurgent, et it-rådgivningsfirma for sundhedsorganisationer.
Kunney, en af paneldeltagerne, advarede om, at ransomware fortsat vil være en voksende trussel i sundhedsvæsenet, "i takt med at vi udvider fodaftrykket uden for hospitalets fire vægge, og vi ser på ting som virtuel pleje og andre teknologier, der nu kan sidde oven på vores netværk infrastruktur.”
Saket Modi, der modererede panelet og er medstifter og administrerende direktør for Safe Security, bemærkede, at en af de første kendte dødsfald tilskrives ransomware, en nyfødt i Alabama, fandt sted sidste år. “Et ransomware-angreb er ikke længere kun økonomisk og omdømme; det kan have en reel indflydelse på menneskers liv,” sagde Modi. Udover risikoen for dataeksfiltrering er ransomware-angreb en risiko for leveringen af patientpleje, især når angribere får adgang til systemer, der er ansvarlige for at holde patienter i live.
“Vi er nødt til at indse, at cybersikkerhed ikke kun handler om datasikkerhed; det er også et spørgsmål om liv og død,” tilføjede Michael Archuleta, CIO på Mt. San Rafael Hospital og Clinics i Trinidad, Colo.
Når vi bemærker, at COVID tvang sundhedsudbydere til at accelerere deres digitale transformationsindsats i de seneste år, har mange organisationer ikke i tilstrækkelig grad adresseret sikkerhedsrisiciene forbundet med implementeringsteknologien og -systemerne, der nu er tilgængelige.
"Vi lever i sundhedsvæsenets digitale tidsalder, og vi er nødt til at begynde at inkorporere initiativer, teknologiresultater, der bedre forbedrer vores overordnede oplevelse og forbedrer patienternes resultater, men også sikrer hele organisationen fremad," sagde Archuleta.
Healthcare Cybersecurity Act af 2022
For at dæmme op for de voksende angreb sponsorerede Rep. Jason Crow (D-CO) Healthcare Cybersecurity Act. Lovforslaget, der blev indført i september, ville kræve, at CISA samarbejder med HHS for at forbedre cybersikkerheden i sundhedssektoren.
Ifølge lovforslagets resumé, CISA og HHS ville levere ressourcer "inklusive cybertrusselsindikatorer og passende forsvarsforanstaltninger, tilgængelige for føderale og ikke-føderale enheder, der modtager information gennem HHS-programmer."
Lovforslaget opfordrer også CISA til at levere cybersikkerhedstræning og afhjælpningsstrategier til dem, der ejer eller leverer sundhedsydelser. Archuleta, CIO for Mt. San Rafael Hospital og Clinics, sagde det 91 % af målrettede ransomware-angreb kom fra phishing-e-mails rettet mod medarbejdere, hvoraf mange ikke har modtaget tilstrækkelig uddannelse. "Vi fokuserer ikke på at udvikle en menneskelig firewall i vores organisation," sagde han.
I mellemtiden udgav senator Mark Warner (D-VA) en hvidbog om politiske muligheder der beskriver eksisterende cybersikkerhedstrusler og potentielle reaktioner fra den føderale regering. Papiret trækker på Warners personale og cybersikkerhedseksperters forskning og et bredt sæt af muligheder for den føderale regering til at samarbejde med sundhedsudbydere for at forbedre deres cyberbeskyttelseskapaciteter og en plan for at komme sig efter angreb.
"Sundhedssektoren er unikt sårbar over for cyberangreb, og overgangen til bedre cybersikkerhed har været smerteligt langsom og utilstrækkelig," Warner sagde i en erklæring. "Den føderale regering og sundhedssektoren skal finde en afbalanceret tilgang til at imødegå de alvorlige trusler som partnere med delt ansvar."
