Hoewel ransomware-groepen geen enkele branche hebben gespaard, hebben aanvallers de gezondheidszorg bovenaan hun favoriete doelwit gezet. De toename van het aantal ziekenhuizen dat het slachtoffer wordt van inbreuken, heeft geleid tot bezorgdheid bij toezichthouders en overheidsfunctionarissen die zijn overgegaan tot het doorvoeren van nieuw beleid en nieuwe wetgeving.
CommonSpirit, een van de grootste non-profit gezondheidszorgsystemen in de VS, plaatste een kennisgeving van inbreuk op de privacy op 1 december, waarschuwde dat 623,774 patiëntendossiers werden vrijgegeven na een inbreuk op 16 september. Het landelijke netwerk van 140 ziekenhuizen en meer dan 1,000 zorginstellingen in 21 staten bevestigde dat ransomware-aanvallers toegang hadden tot de patiëntendossiers, maar zei dat er momenteel geen bewijs is dat er misbruik is gemaakt van persoonlijke gegevens. De mogelijk getroffen patiënten waren degenen die werden behandeld bij CommonSpirit's Franciscan Medical Group en Franciscan Health in Washington. De vier ziekenhuizen staan nu bekend als Virginia Mason Franciscan Health, een dochteronderneming van CommonSpirit.
De huidige piek bouwt voort de toename van 35% van het totale aantal aanvallen vorig jaar op zorgaanbieders in vergelijking met 2020, volgens Critical Insight, een serviceprovider voor beheerde detectie en respons (MDR). Volgens Critical Insight troffen cyberaanvallen op zorgverleners vorig jaar 45 miljoen mensen, vergeleken met 34 miljoen in 2020 en 14 miljoen in 2018.
In oktober meldde het FBI Internet Crime Complaint Center (ICA) dat van de 16 kritieke infrastructuren de gezondheidszorg en de volksgezondheid verantwoordelijk zijn voor 25% van de ransomware-klachten. Het Amerikaanse ministerie van Volksgezondheid en Human Services (HHS) heeft in april een waarschuwing over Hive, een agressieve ransomware-groep die zich heeft gericht op zorgorganisaties.
Het HHS Health Sector Cybersecurity Coordination Center (HC3) merkte op dat bekend is dat Hive sinds juni 2021 actief is en “in die tijd zeer agressief is geweest in het aanvallen van de Amerikaanse gezondheidssector.”
Een andere recente hackergroep die zich richt op zorgverleners met ransomware is Daixin Team. In oktober sloot HHS zich aan bij de Cybersecurity and Infrastructure Agency (CISA) en de FBI met een waarschuwing dat Daixin-team achtervolgt zorgverleners actief met ransomware die gebruikmaakt van Babuk Locker, broncode die bestanden op VMware EXSi-servers versleutelt.
Volgens het advies versleutelt de ransomware van Daixin Team de elektronische medische dossiers, diagnostiek, beeldvorming en intranetdiensten van zorgverleners. De groep heeft ook persoonlijk identificeerbare informatie (PII) en patiëntgezondheidsinformatie (PHI) geëxfiltreerd en heeft losgeld afgeperst door te dreigen met het vrijgeven van die gegevens.
Impact van ransomware op de gezondheidszorg
Tijdens het Disruptieve innovators CIO Forum in New York eerder deze maand, een conferentie gericht op opkomende technologie voor de gezondheidszorg, een paneldiscussie over de toename van ransomware. "Ransomware is tegenwoordig waarschijnlijk het nummer 1 beveiligingsprobleem voor de meeste zorgorganisaties", zegt Christopher Kunney, SVP digitale innovatie bij Divurgent, een IT-adviesbureau voor zorgorganisaties.
Kunney, een van de panelleden, waarschuwde dat ransomware een groeiende dreiging in de gezondheidszorg zal blijven, "nu we de voetafdruk buiten de vier muren van het ziekenhuis uitbreiden en kijken naar zaken als virtuele zorg en andere technologieën die nu bovenop ons netwerk kunnen zitten." infrastructuur."
Saket Modi, die het panel modereerde en mede-oprichter en CEO is van Safe Security, merkte op dat een van de eerste bekende sterfgevallen toegeschreven aan ransomware, een pasgeboren baby in Alabama, vond vorig jaar plaats. “Een ransomware-aanval is niet langer alleen financieel en reputatieschade; het kan een daadwerkelijke impact hebben op het leven van mensen, 'zei Modi. Naast het risico van gegevensonderschepping, vormen ransomware-aanvallen een risico voor de levering van patiëntenzorg, vooral wanneer aanvallers toegang krijgen tot systemen die verantwoordelijk zijn voor het in leven houden van patiënten.
“We moeten ons realiseren dat cyberbeveiliging niet alleen om gegevensbeveiliging gaat; het is ook een kwestie van leven en dood,” voegde Michael Archuleta, CIO van Mt. San Rafael Hospital and Clinics in Trinidad, Colo, toe.
We merken op dat COVID zorgaanbieders de afgelopen jaren dwong om hun inspanningen op het gebied van digitale transformatie te versnellen, maar veel organisaties hebben de beveiligingsrisico's die samenhangen met de implementatietechnologie en -systemen die nu toegankelijk zijn, niet adequaat aangepakt.
"We leven in het digitale tijdperk van de gezondheidszorg en we moeten beginnen met het opnemen van initiatieven op het gebied van technologie die onze algehele ervaring en de patiëntresultaten verbeteren, maar die ook de hele organisatie vooruit helpen houden", aldus Archuleta.
Cyberbeveiligingswet voor de gezondheidszorg van 2022
Om de toenemende aanvallen tegen te gaan, sponsorde Rep. Jason Crow (D-CO) de Healthcare Cybersecurity Act. Het wetsvoorstel, dat in september werd ingediend, vereist dat CISA samenwerkt met HHS om de cyberbeveiliging in de gezondheidszorg te verbeteren.
Think de samenvatting van de rekening, zouden CISA en HHS middelen ter beschikking stellen "inclusief cyberdreigingsindicatoren en passende verdedigingsmaatregelen, beschikbaar voor federale en niet-federale entiteiten die informatie ontvangen via HHS-programma's."
Het wetsvoorstel roept CISA ook op om cyberbeveiligingstraining en herstelstrategieën te bieden aan degenen die gezondheidszorgdiensten bezitten of verlenen. Archuleta, de CIO van Mt. San Rafael Hospital and Clinics, zei dat 91% van de gerichte ransomware-aanvallen kwam van phishing-e-mails gericht aan werknemers, van wie velen onvoldoende training hebben gekregen. "We richten ons niet op het ontwikkelen van een menselijke firewall binnen onze organisatie", zei hij.
Ondertussen publiceerde senator Mark Warner (D-VA) een witboek over beleidsopties waarin de bestaande cyberbeveiligingsbedreigingen en mogelijke reacties van de federale overheid worden beschreven. De paper is gebaseerd op het onderzoek van Warners medewerkers en cyberbeveiligingsexperts en een breed scala aan opties voor de federale overheid om samen te werken met zorgaanbieders om hun cyberbeveiligingsmogelijkheden te verbeteren en een blauwdruk voor herstel na aanvallen.
"De gezondheidszorg is bijzonder kwetsbaar voor cyberaanvallen en de overgang naar betere cyberbeveiliging is tergend langzaam en ontoereikend geweest", aldus Warner. zei in een verklaring. "De federale overheid en de gezondheidssector moeten een evenwichtige aanpak vinden om de ernstige bedreigingen het hoofd te bieden, als partners met gedeelde verantwoordelijkheden."
