Die Schließung eines Krankenhauses in Illinois zeigt die existenzielle Bedrohung durch Ransomware

Die Entscheidung eines Krankenhauses in Illinois, den Betrieb später in dieser Woche einzustellen, zumindest teilweise aufgrund eines Ransomware-Angriffs im Jahr 2021, der den Betrieb monatelang lahmlegte, ist eine deutliche Erinnerung an die manchmal existenzielle Bedrohung, die Online-Erpressungskampagnen darstellen können.

Das gilt insbesondere für ressourcenschwache kleine und ländliche Krankenhäuser.

St. Margaret's Health (SMH) wird es tun dauerhaft geschlossen seine Krankenhäuser, Kliniken und anderen Einrichtungen in Spring Valley und Peru, Illinois, an diesem Freitag, dem 16. Juni, nachdem er 120 Jahre lang der Gemeinde gedient hat. Mehrere Faktoren führten zu dieser Entscheidung, darunter beispiellose Kosten im Zusammenhang mit der COVID-19-Pandemie, geringe Patientenzahlen aufgrund von Auflagen zur sozialen Distanzierung und Personalmangel, der das Gesundheitssystem dazu zwang, auf Zeitarbeitsfirmen angewiesen zu sein.

Aber der Ransomware-Angriff auf die Systeme in Spring Valley im Februar 2021 spielte eine große Rolle; Sie hatten katastrophale Auswirkungen auf die Fähigkeit des Krankenhauses, Zahlungen von Versicherern für erbrachte Dienstleistungen einzuziehen, und der Angriff erzwang eine Abschaltung des IT-Netzwerks, der E-Mail-Systeme, des Portals für elektronische Krankenakten (EMR) des Krankenhauses und anderer Webvorgänge.

Ein beitragender Faktor

Linda Burt, SMH-Vizepräsidentin für Qualität und Community Services, sagt, der Angriff habe vier Monate gedauert, in denen die Mitarbeiter keinen Zugriff auf das IT-System, einschließlich E-Mail und das EMR-System, gehabt hätten. 

„Für Krankenakten mussten wir auf Papier zurückgreifen. Es dauerte viele Monate und in einigen Servicelinien sogar fast ein Jahr, bis wir wieder online waren und Gebühren eingeben oder Ansprüche versenden konnten“, sagt Burt. „Viele der Versicherungspläne haben Klauseln zur rechtzeitigen Einreichung, wenn sie nicht eingehalten werden, zahlen sie nicht. Es wurden also keine Anträge gestellt und keine Zahlungen eingegangen.“

SMH ist das jüngste Mitglied auf der Liste der Organisationen, die der Sicherheitsanalyst und Forscher Adrian Sanabria führt aufgrund eines Cyberangriffs aus dem Geschäft gedrängt in den letzten zwei Jahrzehnten. Die Liste umfasst derzeit 24 Organisationen – viele davon klein – aus mehreren Sektoren. Zu den Namen auf der Liste gehört das Zahlungsabwicklungsunternehmen CardSystems, das 2005 nach einem Datenverstoß geschlossen wurde, bei dem sensible Daten von etwa 40 Millionen Kreditkarten offengelegt wurden; das Sicherheitsunternehmen HBGary, das 2011 Pleite ging, nachdem Hacker in seine Systeme eingebrochen waren und Informationen über das Unternehmen preisgegeben hatten; und das Brookside ENT and Hearing Center, das 2019 nach einem Ransomware-Angriff geschlossen wurde. Bezeichnenderweise stehen zehn der Cyberangriffe auf der Liste von Sanabria im Zusammenhang mit Ransomware, und alle davon ereigneten sich nach 10, als die Ransomware-Angriffe wirklich zunahmen.

St. Margaret’s wird nicht das letzte Ransomware-Opfer sein

Joshua Corman, ehemaliger CISA-Chefstratege und derzeitiger Vizepräsident für Cybersicherheitsstrategie bei Claroty, geht davon aus, dass das, was bei SMH passiert ist, auch anderen Krankenhäusern passieren wird, insbesondere kleineren und solchen in ländlichen Gebieten. Corman, der Teil einer CISA-COVID-19-Arbeitsgruppe war, die den möglichen Zusammenhang zwischen übermäßigen Todesfällen in Krankenhäusern und Ransomware untersuchte, sagt, dass die Krankenhäuser, von denen am meisten mit Schließungen zu rechnen ist, diejenigen sind, die am weitesten von anderen Krankenhäusern und alternativen Versorgungsmöglichkeiten entfernt liegen.

„Kleine und ländliche Krankenhäuser sind in den letzten Jahren der Pandemie bereits mit erheblichen finanziellen Belastungen konfrontiert, und nur sehr wenige verfügen über große Bargeldreserven für ungeplante Störungen“, sagt Corman. „Ransomware-Angriffe können den Betrieb wochen- und monatelang stören und daher der Tropfen sein, der das Fass zum Überlaufen bringt.“

Einige Faktoren könnten die Situation verschlimmern. In vielen kleinen, mittelgroßen und ländlichen Krankenhäusern fehlt es oft an Vollzeit-Sicherheitspersonal. Außerdem fällt es ihnen schwerer, eine Cyber-Versicherung abzuschließen, und wenn doch, kann es sein, dass sie mehr kostet und weniger Schutz bietet. 

„Der Kongress und das Weiße Haus prüfen Erleichterungen, und das ist längst überfällig“, sagt Corman. 

In der Zwischenzeit müssen politische Entscheidungsträger und Branchenakteure einen Weg finden, die Messlatte für Cyber-Hygiene materiell höher zu legen und kleinere, zielreiche, aber cyberarme Unternehmen finanziell zu unterstützen. „Ransomware-Angriffe stellen eine neue, vom Menschen verursachte, aber wesentliche Gefahr dar, die die Aufmerksamkeit auf Vorstandsebene verdient“, sagt Corman. „Diese Gefahr könnte dazu führen, dass kleinere und ländliche Krankenhäuser geschlossen werden.“

Mike Hamilton, ehemaliger CISO der Stadt Seattle und derzeit in derselben Funktion beim Cybersicherheitsunternehmen Critical Insight im Gesundheitswesen, sagt, es sei unklar, ob der Angriff auf SMH opportunistischer oder gezielter Natur sei. Allerdings sogar Gesundheitseinrichtungen wie SMH, die wahrscheinlich nicht in der Lage sind, ein Lösegeld zu zahlen, selbst wenn sie es wollten, können zum Ziel werden, wenn der Bedrohungsakteur weiß, dass er über eine Cyberversicherung verfügt, sagt Hamilton. „Das Wissen, dass Organisationen über eine Cyber-Versicherung verfügen, ermöglicht es Bedrohungsakteuren, die Erpressungsnachfrage knapp unter dem Schwellenwert für die Kosten für Wiederaufbau und Wiederherstellung festzulegen“, stellt er fest.

Eintreten für staatliche und bundesstaatliche Unterstützung

Wie Corman betrachtet auch Hamilton einen Cyberangriff, der den Betrieb stört, als existenziell für Gesundheitsdienstleister, die bereits mit geringen Gewinnspannen arbeiten.

Corman berät Administratoren und Top-Management in kleineren und ländlichen Gesundheitssystemen, um sich für die Unterstützung staatlicher und bundesstaatlicher Behörden einzusetzen. „Um das Risiko zu minimieren, sollten diese Systeme ihre regionalen CISA- und HHS-Ressourcen zusammen mit dem FBI einbeziehen“, bemerkt Corman. Sie können sich auch auf die Priorisierung des Patchens von CISAs konzentrieren Bekannte ausgenutzte Schwachstellen und nutzen Sie einige der kostenlosen Cybersicherheitstools, die CISA anbietet, wie z Cyber-Hygiene-Scanning (CyHy) und Cyber-Grundlagen.

Laut Hamilton müssen IT-Teams im Gesundheitswesen den Zugriff der Mitarbeiter auf das Internet aus einer Gesundheitsumgebung so weit wie möglich einschränken. „Verwenden Sie die Analogie eines Kontrollraums, der einen Staudamm betreibt, der Strom erzeugt – kein Internetzugang, Punkt“, sagt er. „Die meisten Angriffe beginnen mit Benutzeraktionen und die Einschränkung dieses Zugriffs kann einen übergroßen Effekt auf die Prävention haben.“

• SEO-gestützte Content- und PR-Distribution. Holen Sie sich noch heute Verstärkung.
• EVM-Finanzen. Einheitliche Schnittstelle für dezentrale Finanzen. Hier zugreifen.
• Quantum Media Group. IR/PR verstärkt. Hier zugreifen.
• PlatoAiStream. Web3-Datenintelligenz. Wissen verstärkt. Hier zugreifen.
• Quelle: https://www.darkreading.com/attacks-breaches/illinois-hospital-closure-ransomware-existential-threat