Illinoisin sairaalan sulkeminen esittelee Ransomwaren eksistentiaalisen uhan

Illinoisin sairaalan päätös lopettaa toiminta myöhemmin tällä viikolla ainakin osittain johtuen vuoden 2021 kiristysohjelmahyökkäyksestä, joka lamautti toimintaa kuukausia, on jyrkkä muistutus joskus olemassa olevasta uhasta, jonka online-kiristyskampanjat voivat aiheuttaa.

Tämä pätee erityisesti pieniin ja maaseudun sairaaloihin, joissa on niukasti resursseja.

St. Margaret’s Health (SMH) testamentti pysyvästi kiinni sen sairaalat, klinikat ja muut tilat Spring Valleyssa ja Perussa, Ill., perjantaina 16. kesäkuuta palveltuaan yhteisöä 120 vuotta. Päätökseen johtivat useat tekijät, mukaan lukien COVID-19-pandemiaan liittyvät ennennäkemättömät kulut, sosiaaliseen etäisyyteen sidottujen tehtävien vähäiset potilasmäärät ja henkilöstöpula, jotka pakottivat terveydenhuoltojärjestelmän turvautumaan väliaikaisiin henkilöstötoimistoihin.

Helmikuun 2021 kiristysohjelmahyökkäyksellä sen järjestelmiin Spring Valleyssa oli kuitenkin iso rooli. ne vaikuttivat katastrofaalisesti sairaalan kykyyn periä maksuja vakuutusyhtiöiltä suoritetuista palveluista, ja hyökkäys pakotti sulkemaan sairaalan IT-verkon, sähköpostijärjestelmät, sen sähköisen sairauskertomusportaalin (EMR) ja muut verkkotoiminnot.

Vaikuttava tekijä

SMH:n laatu- ja yhteisöpalveluiden varatoimitusjohtaja Linda Burt sanoo, että hyökkäys kesti neljä kuukautta, jolloin työntekijöillä ei ollut pääsyä IT-järjestelmään, mukaan lukien sähköposti ja EMR-järjestelmä. 

"Meidän piti turvautua paperiin potilaskertomusten saamiseksi. Kesti useita kuukausia ja joillakin palvelulinjoilla lähes vuoden päästä takaisin verkkoon ja pystyi syöttämään maksuja tai lähettämään korvauksia", Burt sanoo. "Monissa vakuutussuunnitelmissa on oikea-aikaisia ​​ilmoituslausekkeita, joita ne eivät maksa, jos niitä ei tehdä. Joten korvausvaatimuksia ei lähetetty eikä maksuja tullut."

SMH on viimeisin tietoturva-analyytikon ja -tutkijan Adrian Sanabrian ylläpitämä luettelo organisaatioista, jotka olivat joutui lopettamaan toimintansa kyberhyökkäyksen vuoksi viimeisen kahden vuosikymmenen aikana. Luettelossa on tällä hetkellä 24 organisaatiota, joista monet ovat pieniä, useilla aloilla. Listalla olevien nimien joukossa on maksujenkäsittelyyritys CardSystems, joka suljettiin vuonna 2005 tietomurron seurauksena, joka paljasti noin 40 miljoonaan luottokorttiin liittyvän arkaluontoisen tiedon. turvallisuusyritys HBGary, joka kaatui vuonna 2011 sen jälkeen, kun hakkerit murtautuivat sen järjestelmiin ja vuotivat tietoja yrityksestä; ja Brookside ENT and Hearing Center, joka suljettiin vuonna 2019 kiristysohjelmahyökkäyksen seurauksena. Merkittävää on, että 10 Sanabrian listalla olevista kyberhyökkäyksistä liittyy kiristysohjelmiin, ja kaikki ne tapahtuivat vuoden 2014 jälkeen, jolloin kiristysohjelmat todella alkoivat lisääntyä.

St. Margaret's ei ole viimeinen kiristyshaittojen uhri

Joshua Corman, CISA:n entinen päästrategi ja nykyinen Clarotyn kyberturvallisuusstrategian varapuheenjohtaja, odottaa SMH:n tapahtumien tapahtuvan muille sairaaloille, erityisesti pienille ja maaseutualueilla sijaitseville sairaaloille. Corman, joka oli osa CISA COVID-19 -työryhmää, joka tutki mahdollisia korrelaatioita ylimääräisten sairaalakuolemien ja kiristysohjelmien välillä, sanoo, että eniten odotetaan suljettavia sairaaloita, jotka sijaitsevat kauimpana muista sairaaloista ja vaihtoehtoisista hoitovaihtoehdoista.

"Pienet ja maaseutusairaalat kohtaavat jo merkittäviä taloudellisia paineita [pandemian] viimeisten vuosien aikana, ja hyvin harvoilla on paljon käteisvaroja odottamattomia häiriöitä varten", Corman sanoo. "Ransomware-hyökkäykset voivat häiritä toimintaa viikoiksi ja kuukausiksi ja voivat siten edustaa olkia, joka katkaisee kamelin selän."

Pari tekijää saattaa pahentaa tilannetta. Usein monista pienistä, keskisuurista ja maaseudun sairaaloista puuttuu kokopäiväinen turvahenkilöstö. Heidän on myös vaikeampi saada verkkovakuutus, ja kun he tekevät, se voi maksaa enemmän pienemmällä kattavuudella. 

"Kongressi ja Valkoinen talo tutkivat helpotusta, ja se on jo kauan myöhässä", Corman sanoo. 

Sillä välin poliittisten päättäjien ja alan sidosryhmien on löydettävä keino nostaa kyberhygienian rimaa aineellisilla tavoilla ja tarjota taloudellista tukea pienempiä, kohderikkaita, mutta kyberköyhiä kokonaisuuksia varten. "Ransomware-hyökkäykset edustavat uutta, ihmisen aiheuttamaa, mutta materiaalista vaaraa, joka ansaitsee johtokunnan huomion", Corman sanoo. "Tämä vaara voi saada pienet ja maaseudun sairaalat sulkemaan."

Mike Hamilton, entinen Seattlen kaupungin CISO ja työskentelee tällä hetkellä samassa roolissa terveydenhuollon kyberturvallisuusyrityksessä Critical Insightissa, sanoo, että on epäselvää, oliko SMH:ta vastaan ​​tehty hyökkäys opportunistista vai kohdennettua. Kuitenkin jopa terveydenhuollon yksiköt Kuten SMH, joilla ei todennäköisesti ole kykyä maksaa lunnaita, vaikka he haluaisivat, voivat tulla kohteeksi, jos uhkatekijä tietää, että sillä on kybervakuutus, Hamilton sanoo. "Kun tiedetään, että organisaatioilla on kybervakuutus, uhkatoimijat voivat asettaa kiristyskysynnän juuri jälleenrakennus- ja elvytyskustannusten kynnyksen alle", hän huomauttaa.

Puolustaa valtion ja liittovaltion apua

Cormanin tavoin myös Hamilton pitää toimintaa häiritsevää kyberhyökkäystä eksistentiaalisena terveydenhuollon tarjoajille, jotka toimivat jo nyt pienellä marginaalilla.

Corman neuvoo ylläpitäjät ja ylin johto pienissä ja maaseudun terveydenhuoltojärjestelmissä puolustaakseen apua osavaltion ja liittovaltion viranomaisilta. "Riskien minimoimiseksi näiden järjestelmien tulisi käyttää alueellisia CISA- ja HHS-resursseja yhdessä FBI:n kanssa", Corman huomauttaa. He voivat myös keskittyä CISA-korjausten priorisoimiseen Tunnetut hyväksikäytetyt haavoittuvuudet ja hyödyntää joitain CISA:n tarjoamia ilmaisia ​​kyberturvallisuustyökaluja, kuten Kyberhygienian skannaus (CyHy) ja Cyber ​​Essentials.

Hamilton sanoo, että terveydenhuollon IT-tiimien on rajoitettava työntekijöiden pääsyä Internetiin terveydenhuoltoympäristöstä niin paljon kuin mahdollista. "Käytä analogiaa valvomosta, joka käyttää sähköä tuottavaa patoa – ei Internet-yhteyttä, piste", hän sanoo. "Useimmat hyökkäykset alkavat käyttäjän toimilla ja pääsyn rajoittamisella voi olla suuri vaikutus estoon."

• SEO-pohjainen sisällön ja PR-jakelu. Vahvista jo tänään.
• EVM Finance. Hajautetun rahoituksen yhtenäinen käyttöliittymä. Pääsy tästä.
• Quantum Media Group. IR/PR vahvistettu. Pääsy tästä.
• PlatoAiStream. Web3 Data Intelligence. Tietoa laajennettu. Pääsy tästä.
• Lähde: https://www.darkreading.com/attacks-breaches/illinois-hospital-closure-ransomware-existential-threat