Sementara kelompok ransomware tidak luput dari industri apa pun, penyerang telah menempatkan sektor perawatan kesehatan di atas target pilihan mereka. Lonjakan rumah sakit yang menjadi korban pelanggaran telah menimbulkan kekhawatiran di antara regulator dan pejabat pemerintah yang telah bergerak untuk mendorong melalui kebijakan dan undang-undang baru.
CommonSpirit, salah satu sistem perawatan kesehatan nirlaba terbesar di AS, memposting a pemberitahuan pelanggaran privasi pada 1 Desember, memperingatkan bahwa 623,774 catatan pasien terungkap setelah pelanggaran pada 16 September. Jaringan nasional dari 140 rumah sakit dan lebih dari 1,000 fasilitas perawatan di 21 negara bagian mengonfirmasi bahwa penyerang ransomware mengakses catatan pasien, tetapi mengatakan saat ini tidak ada bukti bahwa informasi pribadi telah disalahgunakan. Pasien yang berpotensi terkena dampak adalah mereka yang dirawat di Kelompok Medis Fransiskan CommonSpirit dan Kesehatan Fransiskan di Washington. Keempat rumah sakit tersebut sekarang dikenal sebagai Virginia Mason Franciscan Health, afiliasi CommonSpirit.
Lonjakan saat ini terus berlanjut peningkatan 35% tahun lalu dalam serangan keseluruhan pada penyedia layanan kesehatan dibandingkan dengan tahun 2020, menurut Critical Insight, penyedia layanan deteksi dan respons terkelola (MDR). Menurut Critical Insight, serangan siber terhadap penyedia layanan kesehatan memengaruhi 45 juta orang tahun lalu, dibandingkan dengan 34 juta pada 2020 dan 14 juta pada 2018.
Pada bulan Oktober, Pusat Pengaduan Kejahatan Internet FBI (ICA) melaporkan bahwa di antara 16 infrastruktur penting, sektor kesehatan dan kesehatan masyarakat menyumbang 25% keluhan ransomware. Departemen Kesehatan dan Layanan Kemanusiaan (HHS) AS pada bulan April mengeluarkan a peringatan tentang Hive, grup ransomware agresif yang menargetkan organisasi layanan kesehatan.
Pusat Koordinasi Keamanan Siber Sektor Kesehatan HHS (HC3) mencatat bahwa Hive diketahui telah beroperasi sejak Juni 2021, dan “pada saat itu telah sangat agresif dalam menargetkan sektor kesehatan AS.”
Grup peretas baru lainnya yang muncul yang menargetkan penyedia layanan kesehatan dengan ransomware adalah Tim Daixin. Pada bulan Oktober, HHS bergabung dengan Cybersecurity and Infrastructure Agency (CISA) dan FBI dengan peringatan penasehat itu Tim Daixin secara aktif mengejar penyedia layanan kesehatan dengan ransomware yang menggunakan Babuk Locker, kode sumber yang mengenkripsi file di server VMware EXSi.
Ransomware Tim Daixin mengenkripsi catatan kesehatan elektronik, diagnostik, pencitraan, dan layanan intranet penyedia layanan kesehatan, menurut penasehat tersebut. Grup tersebut juga telah mengekstraksi informasi identitas pribadi (PII) dan informasi kesehatan pasien (PHI) dan telah memeras uang tebusan dengan mengancam akan merilis data tersebut.
Dampak Ransomware pada Layanan Kesehatan
Selama Inovator yang Mengganggu Forum CIO di New York awal bulan ini, konferensi yang berfokus pada teknologi baru untuk industri perawatan kesehatan, diskusi panel membahas lonjakan ransomware. “Ransomware sekarang mungkin menjadi masalah keamanan No.1 bagi sebagian besar organisasi layanan kesehatan saat ini,” kata Christopher Kunney, SVP inovasi digital di Divurgent, firma penasihat TI untuk organisasi layanan kesehatan.
Kunney, salah satu panelis, memperingatkan ransomware akan tetap menjadi ancaman yang semakin besar dalam perawatan kesehatan “saat kami memperluas jejak di luar empat dinding rumah sakit dan kami melihat hal-hal seperti perawatan virtual, dan teknologi lain yang sekarang dapat berada di atas jaringan kami. infrastruktur."
Saket Modi, yang memoderasi panel dan salah satu pendiri dan CEO Safe Security, mencatat bahwa salah satunya kematian pertama yang diketahui dikaitkan dengan ransomware, bayi yang baru lahir di Alabama, terjadi tahun lalu. “Serangan ransomware tidak lagi hanya soal finansial dan reputasi; itu dapat berdampak nyata bagi kehidupan orang-orang,” kata Modi. Selain risiko eksfiltrasi data, serangan ransomware merupakan risiko pengiriman perawatan pasien, terutama saat penyerang mengakses sistem yang bertanggung jawab menjaga pasien tetap hidup.
“Kita harus menyadari bahwa keamanan siber bukan hanya tentang keamanan data; ini juga masalah hidup dan mati,” tambah Michael Archuleta, CIO Rumah Sakit dan Klinik Mt. San Rafael di Trinidad, Colo.
Memperhatikan bahwa COVID memaksa penyedia layanan kesehatan untuk mempercepat upaya transformasi digital mereka dalam beberapa tahun terakhir, banyak organisasi belum secara memadai menangani risiko keamanan yang terkait dengan penerapan teknologi dan sistem yang sekarang dapat diakses.
“Kita hidup di era digital perawatan kesehatan, dan kita perlu mulai menggabungkan inisiatif hasil teknologi yang lebih meningkatkan pengalaman kita secara keseluruhan dan meningkatkan hasil pasien dengan lebih baik, tetapi juga menjaga keamanan seluruh organisasi untuk bergerak maju,” kata Archuleta.
Undang-Undang Keamanan Siber Kesehatan tahun 2022
Ingin membendung serangan yang meningkat, Rep. Jason Crow (D-CO) mensponsori Healthcare Cybersecurity Act. RUU tersebut, yang diperkenalkan pada bulan September, mengharuskan CISA untuk berkolaborasi dengan HHS guna meningkatkan keamanan siber di industri perawatan kesehatan.
Menurut ringkasan tagihan, CISA dan HHS akan menyediakan sumber daya “termasuk indikator ancaman dunia maya dan tindakan pertahanan yang sesuai, tersedia untuk entitas federal dan nonfederal yang menerima informasi melalui program HHS.”
RUU itu juga menyerukan CISA untuk memberikan pelatihan keamanan siber dan strategi remediasi kepada mereka yang memiliki atau menyediakan layanan perawatan kesehatan. Archuleta, CIO Rumah Sakit dan Klinik Mt. San Rafael, mengatakan hal itu 91% dari serangan ransomware yang ditargetkan berasal dari email phishing yang ditujukan kepada karyawan, banyak di antaranya belum menerima pelatihan yang memadai. “Kami tidak berfokus pada pengembangan firewall manusia di dalam organisasi kami,” katanya.
Sementara itu, Senator Mark Warner (D-VA) menerbitkan a kertas putih pilihan kebijakan yang merinci ancaman keamanan siber yang ada dan tanggapan potensial dari pemerintah federal. Makalah ini mengacu pada penelitian staf Warner dan pakar keamanan dunia maya dan serangkaian opsi luas bagi pemerintah federal untuk berkolaborasi dengan penyedia layanan kesehatan untuk meningkatkan kemampuan perlindungan dunia maya mereka dan cetak biru untuk pulih dari serangan.
“Sektor perawatan kesehatan sangat rentan terhadap serangan siber, dan transisi ke keamanan siber yang lebih baik sangat lambat dan tidak memadai,” Warner mengatakan dalam sebuah pernyataan. “Pemerintah federal dan sektor kesehatan harus menemukan pendekatan yang seimbang untuk menghadapi ancaman yang mengerikan, sebagai mitra dengan tanggung jawab bersama.”
