Sluiting ziekenhuis Illinois toont existentiële dreiging van ransomware aan

Het besluit van een ziekenhuis in Illinois om later deze week de activiteiten stop te zetten, op zijn minst gedeeltelijk vanwege een ransomware-aanval uit 2021 die de activiteiten maandenlang lamlegde, herinnert ons sterk aan de soms existentiële dreiging die online afpersingscampagnes kunnen vormen.

Dat geldt vooral voor kleine en landelijke ziekenhuizen met beperkte middelen.

St. Margaret's Health (SMH) zal dat doen permanent gesloten haar ziekenhuizen, klinieken en andere faciliteiten in Spring Valley en Peru, Illinois op vrijdag 16 juni, na 120 jaar de gemeenschap te hebben gediend. Meerdere factoren hebben tot dit besluit geleid, waaronder ongekende kosten in verband met de COVID-19-pandemie, lage patiëntenaantallen als gevolg van social distancing-mandaten en personeelstekorten waardoor het gezondheidszorgsysteem een ​​beroep moest doen op tijdelijke uitzendbureaus.

Maar de ransomware-aanval van februari 2021 op de systemen in Spring Valley speelde een grote rol; ze hadden een catastrofale invloed op het vermogen van het ziekenhuis om betalingen te innen van verzekeraars voor verleende diensten, en de aanval dwong een sluiting van het IT-netwerk van het ziekenhuis, de e-mailsystemen, het portaal voor elektronische medische dossiers (EMR) en andere webactiviteiten af.

Een bijdragende factor

Linda Burt, vice-president kwaliteit en gemeenschapsdiensten van SMH, zegt dat de aanval vier maanden heeft geduurd, waarin werknemers geen toegang hadden tot het IT-systeem, inclusief e-mail en het EMR-systeem. 

“Voor medische dossiers moesten we onze toevlucht nemen tot papier. Het duurde vele maanden, en bij sommige servicelijnen bijna een jaar, voordat ik weer online was en eventuele kosten kon invoeren of claims kon indienen”, zegt Burt. “Veel van de verzekeringsplannen hebben clausules voor tijdige indiening die, als ze niet worden gedaan, niet zullen worden uitbetaald. Er zijn dus geen claims verzonden en er is geen betaling binnengekomen.”

SMH is de laatste die op de lijst staat die beveiligingsanalist en onderzoeker Adrian Sanabria bijhoudt van organisaties die dat wel deden gedwongen failliet te gaan vanwege een cyberaanval in de afgelopen twee decennia. De lijst omvat momenteel 24 – veelal kleine – organisaties in meerdere sectoren. Een van de namen op de lijst is het betalingsverwerkingsbedrijf CardSystems, dat in 2005 werd gesloten na een datalek waarbij gevoelige gegevens van zo'n 40 miljoen creditcards openbaar werden gemaakt; beveiligingsbedrijf HBGary dat in 2011 failliet ging nadat hackers in zijn systemen hadden ingebroken en informatie over het bedrijf hadden gelekt; en Brookside ENT and Hearing Center, dat in 2019 werd gesloten na een ransomware-aanval. Het is veelbetekenend dat tien van de cyberaanvallen op de lijst van Sanabria verband houden met ransomware, en deze vonden allemaal plaats na 10, toen de ransomware echt begon toe te nemen.

St. Margaret's zal niet het laatste slachtoffer van ransomware zijn

Joshua Corman, voormalig hoofdstrateeg van de CISA en huidige vice-president van de cyberveiligheidsstrategie bij Claroty, verwacht dat wat er bij SMH is gebeurd, ook met andere ziekenhuizen zal gebeuren, vooral kleinere en ziekenhuizen in landelijke gebieden. Corman, die deel uitmaakte van een CISA COVID-19-taskforce die onderzoek deed naar de mogelijke correlatie tussen overmatige sterfgevallen in ziekenhuizen en ransomware, zegt dat de ziekenhuizen waarvan het meest wordt verwacht dat ze zullen sluiten, de ziekenhuizen zijn die het verst verwijderd zijn van andere ziekenhuizen en alternatieve zorgopties.

“Kleine ziekenhuizen en ziekenhuizen op het platteland worden al geconfronteerd met aanzienlijke financiële spanningen als gevolg van de laatste paar jaar van [de] pandemie, en slechts weinigen hebben veel contante reserves voor ongeplande verstoringen”, zegt Corman. “Ransomware-aanvallen kunnen de bedrijfsvoering weken tot maanden ontwrichten en kunnen daarom de druppel zijn die de emmer doet overlopen.”

Een aantal factoren kunnen de situatie verergeren. Vaak hebben veel kleine, middelgrote en landelijke ziekenhuizen geen fulltime beveiligingspersoneel. Ze hebben ook moeilijker een cyberverzekering af te sluiten, en als ze dat wel doen, kan het meer kosten voor minder dekking. 

“Het Congres en het Witte Huis onderzoeken hulp, en dat had al veel eerder moeten gebeuren”, zegt Corman. 

In de tussentijd moeten beleidsmakers en belanghebbenden uit de sector een manier vinden om de lat voor cyberhygiëne op materiële manieren hoger te leggen en financiële steun te bieden aan kleinere, doelwitrijke, maar cyberarme entiteiten. “Ransomware-aanvallen vertegenwoordigen een nieuw, door de mens veroorzaakt, maar materieel gevaar dat aandacht op bestuursniveau verdient”, zegt Corman. “Dit gevaar zou ertoe kunnen leiden dat kleinere en landelijke ziekenhuizen worden gesloten.”

Mike Hamilton, voormalig CISO van de stad Seattle en momenteel in dezelfde rol bij cybersecuritybedrijf Critical Insight in de gezondheidszorg, zegt dat het onduidelijk is of de aanval op SMH opportunistisch of doelgericht van aard was. Echter zelfs zorginstellingen Zoals SMH, die waarschijnlijk niet in staat zijn om losgeld te betalen, ook al zouden ze dat willen, kunnen een doelwit worden als de dreigingsactor weet dat hij een cyberverzekering heeft, zegt Hamilton. “Door te weten dat organisaties een cyberverzekering hebben, kunnen bedreigingsactoren de vraag naar afpersing net onder de drempel voor de kosten van wederopbouw en herstel plaatsen”, merkt hij op.

Pleiten voor staats- en federale hulp

Net als Corman beschouwt ook Hamilton een cyberaanval die de bedrijfsvoering verstoort als existentieel voor zorgaanbieders die toch al met kleine marges opereren.

Corman adviseert bestuurders en het topmanagement bij kleinere en landelijke gezondheidszorgsystemen om te pleiten voor hulp van staats- en federale autoriteiten. “Om de risico’s te helpen minimaliseren, moeten deze systemen hun regionale CISA- en HHS-middelen samen met de FBI inzetten”, merkt Corman op. Ze kunnen zich ook concentreren op het prioriteren van het patchen van CISA's Bekende misbruikte kwetsbaarheden en profiteer van enkele van de gratis cyberbeveiligingstools die CISA biedt, zoals Cyberhygiënescannen (CyHy) en Cyberbenodigdheden.

Hamilton zegt dat IT-teams in de gezondheidszorg de toegang van medewerkers tot internet vanuit een zorgomgeving zoveel mogelijk moeten beperken. “Gebruik de analogie van een controlekamer die een dam bedient die stroom opwekt – geen internettoegang, punt uit”, zegt hij. “De meeste aanvallen beginnen met actie van de gebruiker en het beperken van die toegang kan een buitensporig effect hebben op de preventie.”

• Door SEO aangedreven content en PR-distributie. Word vandaag nog versterkt.
• EVM Financiën. Uniforme interface voor gedecentraliseerde financiën. Toegang hier.
• Quantum Media Groep. IR/PR versterkt. Toegang hier.
• PlatoAiStream. Web3 gegevensintelligentie. Kennis versterkt. Toegang hier.
• Bron: https://www.darkreading.com/attacks-breaches/illinois-hospital-closure-ransomware-existential-threat