Закрытие больницы в Иллинойсе демонстрирует экзистенциальную угрозу со стороны программ-вымогателей

Решение больницы Иллинойса прекратить работу позже на этой неделе, по крайней мере частично, из-за атаки с использованием программы-вымогателя в 2021 году, которая на несколько месяцев парализовала работу больницы, является суровым напоминанием о иногда существующей угрозе, которую могут представлять кампании онлайн-вымогательства.

Это особенно актуально для небольших и сельских больниц с ограниченными ресурсами.

Здоровье Святой Маргариты (SMH) будет навсегда закрыть свои больницы, клиники и другие учреждения в Спринг-Вэлли и Перу, штат Иллинойс, в эту пятницу, 16 июня, после 120 лет служения обществу. К такому решению привели многочисленные факторы, в том числе беспрецедентные расходы, связанные с пандемией COVID-19, низкий объем пациентов, связанный с требованиями социального дистанцирования, а также нехватка персонала, которая вынудила систему здравоохранения полагаться на агентства по временному подбору персонала.

Но большую роль сыграла атака программы-вымогателя на ее системы в Спринг-Вэлли в феврале 2021 года; они  катастрофически повлияли на способность больницы получать платежи от страховщиков за оказанные услуги, а атака привела к отключению ИТ-сети больницы, систем электронной почты, портала электронных медицинских записей (EMR) и других веб-операций.

Способствующий фактор

Вице-президент SMH по качеству и общественным услугам Линда Берт говорит, что атака длилась четыре месяца, в течение которых сотрудники не имели доступа к ИТ-системе, включая электронную почту и систему EMR. 

«Нам пришлось прибегнуть к бумаге для медицинских записей. Потребовалось много месяцев, а в некоторых службах почти год, чтобы снова подключиться к сети и получить возможность вводить какие-либо платежи или отправлять претензии», — говорит Берт. «Во многих страховых планах есть положения о своевременной подаче деклараций, которые, если не выполнить, они не выплатят. Таким образом, никаких претензий не было отправлено, и никакие платежи не поступили».

SMH — последняя компания, попавшая в список организаций, которые ведет аналитик и исследователь безопасности Адриан Санабриа. вынужден покинуть бизнес из-за кибератаки за последние два десятилетия. В настоящее время в список входят 24 организации (многие из них небольшие) из разных секторов. Среди имен в списке — компания по обработке платежей CardSystems, которая закрылась в 2005 году после утечки данных, в результате которой были раскрыты конфиденциальные данные, связанные примерно с 40 миллионами кредитных карт; охранная фирма HBGary, которая потерпела крах в 2011 году после того, как хакеры взломали ее системы и утекли информацию о компании; и Бруксайдский центр ЛОР и слуха, который закрылся в 2019 году из-за атаки программы-вымогателя. Примечательно, что 10 кибератак в списке Санабрии связаны с программами-вымогателями, и все они произошли после 2014 года, когда количество программ-вымогателей действительно начало расти.

Церковь Святой Маргариты не будет последней жертвой вируса-вымогателя

Джошуа Корман, бывший главный стратег CISA и нынешний вице-президент по стратегии кибербезопасности в Claroty, ожидает, что то, что произошло в SMH, произойдет и с другими больницами, особенно с небольшими и расположенными в сельской местности. Корман, который входил в рабочую группу CISA по борьбе с COVID-19, которая изучала потенциальную корреляцию между повышенным уровнем смертности в больницах и программами-вымогателями, говорит, что больше всего ожидается закрытие больниц, которые расположены дальше всего от других больниц и альтернативных вариантов лечения.

«Небольшие и сельские больницы уже сталкиваются со значительными финансовыми трудностями из-за последних нескольких лет пандемии, и очень немногие из них имеют большие резервы наличных средств на случай незапланированных сбоев», — говорит Корман. «Атаки программ-вымогателей могут нарушить работу на недели и месяцы и, следовательно, могут стать той соломинкой, которая сломает спину верблюда».

Несколько факторов могут усугубить ситуацию. Зачастую во многих небольших, средних и сельских больницах не хватает штатного персонала службы безопасности. Им также сложнее получить киберстрахование, а когда они это сделают, оно может стоить дороже при меньшем покрытии. 

«Конгресс и Белый дом рассматривают возможность оказания помощи, и это давно назрело», — говорит Корман. 

В то же время политикам и заинтересованным сторонам отрасли необходимо найти способ существенно поднять планку кибергигиены и предоставить финансовую помощь более мелким, богатым на цели, но бедным в киберпространстве организациям. «Атаки программ-вымогателей представляют собой новую искусственную, но существенную угрозу, заслуживающую внимания на уровне Совета директоров», — говорит Корман. «Эта опасность может привести к закрытию небольших и сельских больниц».

Майк Гамильтон, бывший директор по информационной безопасности города Сиэтла и в настоящее время занимающий ту же должность в компании Critical Insight, занимающейся кибербезопасностью в сфере здравоохранения, говорит, что неясно, носила ли атака на SMH оппортунистический или целенаправленный характер. Однако даже учреждения здравоохранения По словам Гамильтона, такие компании, как SMH, которые, вероятно, не имеют возможности заплатить выкуп, даже если бы захотели, могут стать мишенью, если злоумышленник знает, что у него есть киберстрахование, говорит Гамильтон. «Знание того, что у организаций есть киберстрахование, позволяет злоумышленникам установить спрос на вымогательство чуть ниже порога стоимости восстановления и восстановления», — отмечает он.

Пропаганда государственной и федеральной помощи

Как и Корман, Гамильтон также считает кибератаки, которые нарушают работу компаний, жизненно важными для поставщиков медицинских услуг, которые и без того работают с небольшой прибылью.

Корман советует администраторы и топ-менеджмент в небольших и сельских системах здравоохранения, чтобы выступать за помощь со стороны властей штата и федерального правительства. «Чтобы минимизировать риск, эти системы должны задействовать региональные ресурсы CISA и HHS, а также ФБР», — отмечает Корман. Они также могут сосредоточиться на определении приоритетов исправлений CISA. Известные эксплуатируемые уязвимости и воспользоваться некоторыми бесплатными инструментами кибербезопасности, которые предлагает CISA, такими как Кибергигиеническое сканирование (CyHy) и Cyber ​​Essentials.

Гамильтон говорит, что ИТ-командам здравоохранения необходимо максимально ограничить доступ сотрудников к Интернету из среды здравоохранения. «Используйте аналогию с диспетчерской, которая управляет плотиной, генерирующей электроэнергию, — без доступа в Интернет, и точка», — говорит он. «Большинство атак начинаются с действий пользователя, и ограничение доступа может оказать огромное влияние на предотвращение».

• SEO-контент и PR-распределение. Получите усиление сегодня.
• ЭВМ Финанс. Единый интерфейс для децентрализованных финансов. Доступ здесь.
• Квантум Медиа Групп. ИК/PR усиление. Доступ здесь.
• ПлатонАйСтрим. Анализ данных Web3. Расширение знаний. Доступ здесь.
• Источник: https://www.darkreading.com/attacks-breaches/illinois-hospital-closure-ransomware-existential-threat