ผู้ให้บริการด้านการแพทย์และโรงพยาบาลภายใต้การโจมตีของแรนซัมแวร์

แม้ว่ากลุ่มแรนซั่มแวร์จะไม่ละเว้นอุตสาหกรรมใด ๆ แต่ผู้โจมตีได้ทำให้ภาคการดูแลสุขภาพเป็นเป้าหมายสูงสุดที่พวกเขาต้องการ การเพิ่มขึ้นของโรงพยาบาลที่ตกเป็นเหยื่อการละเมิดทำให้เกิดความกังวลในหมู่หน่วยงานกำกับดูแลและเจ้าหน้าที่ของรัฐที่เคลื่อนไหวเพื่อผลักดันนโยบายและกฎหมายใหม่

CommonSpirit หนึ่งในระบบการรักษาพยาบาลที่ไม่แสวงหากำไรที่ใหญ่ที่สุดในสหรัฐอเมริกา โพสต์ ประกาศการละเมิดความเป็นส่วนตัว เมื่อวันที่ 1 ธันวาคม เตือนว่าประวัติผู้ป่วย 623,774 รายการถูกเปิดเผยหลังจากการละเมิดเมื่อวันที่ 16 กันยายน เครือข่ายทั่วประเทศของโรงพยาบาล 140 แห่งและสถานพยาบาลกว่า 1,000 แห่งใน 21 รัฐยืนยันว่าผู้โจมตีแรนซัมแวร์เข้าถึงบันทึกของผู้ป่วย แต่กล่าวว่าขณะนี้ยังไม่มีหลักฐาน ว่ามีการใช้ข้อมูลส่วนบุคคลในทางที่ผิด ผู้ป่วยที่อาจได้รับผลกระทบคือผู้ที่รับการรักษาที่ Franciscan Medical Group ของ CommonSpirit และ Franciscan Health ในวอชิงตัน ปัจจุบันโรงพยาบาลทั้งสี่แห่งเป็นที่รู้จักในชื่อ Virginia Mason Franciscan Health ซึ่งเป็นบริษัทในเครือ CommonSpirit

เข็มปัจจุบันสร้างขึ้นบน การโจมตีโดยรวมเพิ่มขึ้น 35% ในปีที่แล้ว ในผู้ให้บริการด้านสุขภาพเมื่อเทียบกับปี 2020 ตามข้อมูลของ Critical Insight ซึ่งเป็นผู้ให้บริการตรวจจับและตอบสนองที่มีการจัดการ (MDR) จากข้อมูลของ Critical Insight การโจมตีทางไซเบอร์ต่อผู้ให้บริการด้านสุขภาพส่งผลกระทบต่อบุคคล 45 ล้านคนในปีที่แล้ว เทียบกับ 34 ล้านคนในปี 2020 และ 14 ล้านคนในปี 2018

ในเดือนตุลาคม ศูนย์รับเรื่องร้องเรียนอาชญากรรมทางอินเทอร์เน็ตของเอฟบีไอ (ICA) รายงานว่าในบรรดาโครงสร้างพื้นฐานที่สำคัญ 16 แห่งนั้น ภาคการดูแลสุขภาพและสาธารณสุข 25% ของการร้องเรียนเกี่ยวกับแรนซัมแวร์. กระทรวงสาธารณสุขและบริการมนุษย์ของสหรัฐฯ (HHS) ในเดือนเมษายนได้ออก คำเตือนเกี่ยวกับไฮฟ์ซึ่งเป็นกลุ่มแรนซัมแวร์เชิงรุกที่มีเป้าหมายเป็นองค์กรด้านการดูแลสุขภาพ

ศูนย์ประสานงานความปลอดภัยทางไซเบอร์ของ HHS Health Sector (HC3) ระบุว่า Hive เป็นที่ทราบกันดีว่าเริ่มดำเนินการตั้งแต่เดือนมิถุนายน 2021 และ "ในช่วงเวลานั้นมีความก้าวร้าวอย่างมากในการกำหนดเป้าหมายภาคสาธารณสุขของสหรัฐฯ"

กลุ่มแฮ็กเกอร์อีกกลุ่มหนึ่งที่เพิ่งเปิดตัวซึ่งกำหนดเป้าหมายผู้ให้บริการด้านสุขภาพด้วยแรนซัมแวร์คือ Daixin Team ในเดือนตุลาคม HHS เข้าร่วม Cybersecurity and Infrastructure Agency (CISA) และ FBI พร้อมคำเตือนคำแนะนำว่า ไดซินทีม กำลังติดตามผู้ให้บริการด้านสุขภาพด้วยแรนซัมแวร์ที่ใช้ Babuk Locker ซึ่งเป็นซอร์สโค้ดที่เข้ารหัสไฟล์ในเซิร์ฟเวอร์ VMware EXSi

แรนซั่มแวร์ของ Daixin Team เข้ารหัสบันทึกสุขภาพอิเล็กทรอนิกส์ การวินิจฉัย ภาพ และบริการอินทราเน็ตของผู้ให้บริการด้านการแพทย์ กลุ่มนี้ยังได้สกัดข้อมูลส่วนบุคคลที่สามารถระบุตัวตนได้ (PII) และข้อมูลสุขภาพของผู้ป่วย (PHI) และขู่กรรโชกเรียกค่าไถ่โดยขู่ว่าจะเปิดเผยข้อมูลดังกล่าว

ผลกระทบของ Ransomware ต่อการดูแลสุขภาพ

ในระหว่าง ผู้สร้างนวัตกรรมก่อกวน ฟอรัม CIO ในนิวยอร์กเมื่อต้นเดือนนี้ การประชุมที่เน้นเรื่องเทคโนโลยีเกิดใหม่สำหรับอุตสาหกรรมการดูแลสุขภาพ การอภิปรายแบบกลุ่มกล่าวถึงการเพิ่มขึ้นของแรนซัมแวร์ “แรนซัมแวร์น่าจะเป็นปัญหาด้านความปลอดภัยอันดับ 1 สำหรับองค์กรด้านการดูแลสุขภาพในปัจจุบัน” คริสโตเฟอร์ คุนนีย์ รองประธานอาวุโสฝ่ายนวัตกรรมดิจิทัลของ Divurgent บริษัทที่ปรึกษาด้านไอทีสำหรับองค์กรด้านการดูแลสุขภาพกล่าว

Kunney หนึ่งในผู้ร่วมอภิปรายเตือนว่าแรนซั่มแวร์จะยังคงเป็นภัยคุกคามที่เพิ่มขึ้นในด้านการดูแลสุขภาพ “ในขณะที่เราขยายขอบเขตออกไปนอกกำแพงทั้งสี่ของโรงพยาบาล และเรามองไปที่สิ่งต่าง ๆ เช่น การดูแลเสมือนจริง และเทคโนโลยีอื่น ๆ ที่สามารถอยู่ด้านบนของเครือข่ายของเรา โครงสร้างพื้นฐาน”

Saket Modi ผู้ดูแลการอภิปรายและเป็นผู้ร่วมก่อตั้งและซีอีโอของ Safe Security ตั้งข้อสังเกตว่าหนึ่งใน การตายครั้งแรกที่รู้จัก เกิดจากแรนซัมแวร์ที่เกิดในอลาบามาเมื่อปีที่แล้ว “การโจมตีด้วยแรนซัมแวร์ไม่ได้เป็นเพียงเรื่องการเงินและชื่อเสียงอีกต่อไป มันสามารถมีผลกระทบอย่างแท้จริงต่อชีวิตของผู้คน” Modi กล่าว นอกจากความเสี่ยงต่อการถูกขโมยข้อมูลแล้ว การโจมตีด้วยแรนซัมแวร์ยังเสี่ยงต่อการให้การดูแลผู้ป่วย โดยเฉพาะอย่างยิ่งเมื่อผู้โจมตีเข้าถึงระบบที่รับผิดชอบในการรักษาชีวิตผู้ป่วย

“เราต้องตระหนักว่าความปลอดภัยในโลกไซเบอร์ไม่ใช่แค่การรักษาความปลอดภัยของข้อมูลเท่านั้น นอกจากนี้ยังเป็นเรื่องของชีวิตและความตายอีกด้วย” Michael Archuleta, CIO ของ Mt. San Rafael Hospital and Clinics ในเมือง Trinidad, Colo กล่าวเสริม

เมื่อสังเกตว่า COVID บังคับให้ผู้ให้บริการด้านการแพทย์ต้องเร่งความพยายามในการเปลี่ยนผ่านสู่ดิจิทัลในช่วงไม่กี่ปีที่ผ่านมา หลายองค์กรยังไม่ได้จัดการกับความเสี่ยงด้านความปลอดภัยที่เกี่ยวข้องกับเทคโนโลยีการใช้งานและระบบที่สามารถเข้าถึงได้อย่างเพียงพอ

“เราอยู่ในยุคดิจิทัลของการดูแลสุขภาพ และเราจำเป็นต้องเริ่มรวมเอาผลลัพธ์ด้านเทคโนโลยีความคิดริเริ่มที่ปรับปรุงประสบการณ์โดยรวมของเราให้ดีขึ้นและปรับปรุงผลลัพธ์ของผู้ป่วยให้ดียิ่งขึ้น แต่ยังรักษาความปลอดภัยทั้งองค์กรให้ก้าวไปข้างหน้าด้วย” Archuleta กล่าว

พระราชบัญญัติการรักษาความมั่นคงปลอดภัยทางไซเบอร์ของ Healthcare ปี 2022

เพื่อสกัดกั้นการโจมตีที่เพิ่มขึ้น ตัวแทน Jason Crow (D-CO) สนับสนุนกฎหมาย Healthcare Cybersecurity Act ร่างกฎหมายที่เปิดตัวในเดือนกันยายนกำหนดให้ CISA ร่วมมือกับ HHS เพื่อปรับปรุงความปลอดภัยทางไซเบอร์ในอุตสาหกรรมการดูแลสุขภาพ

ตามที่ สรุปบิล, CISA และ HHS จะจัดหาทรัพยากร “รวมถึงตัวบ่งชี้ภัยคุกคามทางไซเบอร์และมาตรการป้องกันที่เหมาะสม ซึ่งมีให้สำหรับหน่วยงานของรัฐบาลกลางและที่ไม่ใช่ของรัฐบาลกลางที่ได้รับข้อมูลผ่านโปรแกรม HHS”

ร่างกฎหมายยังเรียกร้องให้ CISA จัดให้มีการฝึกอบรมด้านความปลอดภัยในโลกไซเบอร์และกลยุทธ์การแก้ไขแก่ผู้ที่เป็นเจ้าของหรือให้บริการด้านการดูแลสุขภาพ Archuleta, CIO ของ Mt. San Rafael Hospital and Clinics กล่าวว่า 91% ของการโจมตีด้วยแรนซัมแวร์แบบกำหนดเป้าหมาย มาจากอีเมลฟิชชิ่งที่ส่งตรงถึงพนักงาน ซึ่งหลายคนไม่ได้รับการฝึกอบรมที่เพียงพอ “เราไม่ได้มุ่งเน้นไปที่การพัฒนาไฟร์วอลล์ของมนุษย์ภายในองค์กรของเรา” เขากล่าว

ในขณะเดียวกัน วุฒิสมาชิกมาร์ค วอร์เนอร์ (D-VA) ได้เผยแพร่ เอกสารไวท์เปเปอร์ตัวเลือกนโยบาย ที่ให้รายละเอียดภัยคุกคามความปลอดภัยทางไซเบอร์ที่มีอยู่และการตอบสนองที่อาจเกิดขึ้นจากรัฐบาลกลาง บทความนี้รวบรวมงานวิจัยของเจ้าหน้าที่และผู้เชี่ยวชาญด้านความปลอดภัยทางไซเบอร์ของ Warner และชุดตัวเลือกมากมายสำหรับรัฐบาลกลางในการร่วมมือกับผู้ให้บริการด้านสุขภาพเพื่อปรับปรุงความสามารถในการป้องกันทางไซเบอร์และพิมพ์เขียวสำหรับการกู้คืนจากการโจมตี

“ภาคส่วนการดูแลสุขภาพมีความเสี่ยงเป็นพิเศษต่อการโจมตีทางไซเบอร์ และการเปลี่ยนไปสู่การรักษาความปลอดภัยทางไซเบอร์ที่ดีขึ้นนั้นช้าและไม่เพียงพออย่างเจ็บปวด” วอร์เนอร์ กล่าวในการแถลง. “รัฐบาลกลางและภาคส่วนด้านสุขภาพต้องหาแนวทางที่สมดุลเพื่อรับมือกับภัยคุกคามที่น่ากลัว ในฐานะหุ้นส่วนที่มีความรับผิดชอบร่วมกัน”