2023/10/06 17:11:46

Информационная безопасность в медицине


Содержание

2023

Власти США опубликовали правила кибербезопасности медицинского оборудования

27 сентября 2023 года Управление по санитарному надзору за качеством пищевых продуктов и медикаментов США (FDA) обнародовало руководство по кибербезопасности медицинского оборудования. Документ призван помочь разработчикам и производителям устройств для сферы здравоохранения соблюдать требования по обеспечению защиты своих изделий.

Говорится, что проблема кибербезопасности в медицинской сфере становится все более острой по мере того, как оборудование обрастает коммуникационными возможностями. Многие устройства поддерживают средства проводного и беспроводного обмена данными, а поэтому все чаще становятся мишенями для хакеров. Между тем вмешательство в работу таких приборов может обернуться самыми печальными последствиями — вплоть до гибели пациентов.

FDA обнародовало руководство по кибербезопасности медицинского оборудования

Расширение возможностей подключения привело к тому, что отдельные медицинские устройства становятся частью комплексных ИТ-систем в сфере здравоохранения. Такие платформы могут включать в себя серверы хранения данных, системы обработки информации, средства распространения обновлений программного обеспечения, а также другие взаимосвязанные компоненты. Таким образом, кибератака на один компонент может спровоцировать сбои в работе других и привести к ИТ-коллапсу.

В руководстве FDA рассматриваются различные аспекты обеспечения информационной безопасности медицинского оборудования. Это, в частности, средства аутентификации и авторизации, криптографические инструменты, вопросы обновления прошивки и софта, соблюдение требований конфиденциальности данных, запись событий, взаимосовместимость, использование сторонних программных модулей и пр. Устройства должны оцениваться производителем с точки зрения потенциальных уязвимых мест и слабых сторон. Рекомендации подготовлены с учетом более чем 1800 комментариев, полученных в рамках проработки проекта.[1]

Российские клиники подверглись массовой рассылке писем от мошенников

Российские медицинские учреждения столкнулись с рассылкой писем от мошенников, которые от имени Роскомнадзора требуют устранить «нарушения» в хранении персональных данных пациентов. Для этого они предлагают свои услуги, таким образом пытаясь получить полный доступ к чувствительной информации. Об этом 18 сентября 2023 года сообщила пресс-служба депутата ГосДумы РФ Антона Немкина.


«
При этом медорганизацией, которая получает данное письмо, своевременно и в полном объеме внесены все необходимые сведения, – приводят «Известия» слова юриста одной из организаций, получивших такое письмо.

»

Любые попытки выяснить подробности о «нарушениях» заканчиваются тем, что «представители коммерческих фирм» настаивают на необходимости заключить с ними договор, чтобы они самостоятельно вносили данные без нарушений. Такая схема позволяет преступникам получить доступ к сведениям, которые как раз и должны быть защищены законом «О персональных данных», после чего они организуют утечку информации об адресах, контактных данных, именах, возрасте, состоянии здоровья, составе семьи и диагнозах потребителей медицинских услуг, предупреждают эксперты. Кроме того, в руках мошенников оказываются чувствительные данные о здоровье пациентов клиник, которые они могут использовать для финансового мошенничества, шантажа, а также медицинского идентификационного мошенничества - когда кто-то получает услуги, выдавая себя за другого человека. Также полученные данные могут быть проданы на черном рынке.

В пресс-службе РКН напомнили, что официально направляют только адресные письма и только с почтовых ящиков в домене @rkn.gov.ru. При этом любое письмо оформляется на фирменном бланке. В ведомстве порекомендовали при получении сомнительных писем тщательно проверять автора и направившую организацию, а также, в случае сомнений, обратиться к ним за соответствующими разъяснениями.

Осторожность в таких случаях особенно важна не только для сохранности данных пациентов. Так, медучреждения могут не только понести финансовые и репутационные потери, но и столкнуться с административной ответственностью за неумышленное распространение персональных данных.

«
Медорганизация может быть подвергнута административной ответственности по ст. 13.11 КоАП РФ «Нарушение законодательства РФ в области персональных данных, - отметил адвокат КА «Юков и партнеры» Джамали Кулиев.
»

Утечки данных из медицинских организаций, на самом деле, являются наиболее опасными, предупреждает член комитета Госдумы по информационной политике, информационным технологиям и связи Антон Немкин.

«
Вследствие таких утечек в сеть или в руки мошенников попадают данные, публикация которых может сильно отразиться на человеке. Например, достоянием общественности может стать информация о каком-либо серьезном заболевании, которое человек тщательно скрывал даже от близких – на это бывают разные причины, нельзя отнимать у людей право на врачебную тайну. Мошенники также могут звонить жертве спровоцированной утечки и пытаться навязать лекарства или лечение, чтобы выманить деньги и оставить ни с чем. Поэтому медучреждениям стоит особенно внимательно относиться к информационной безопасности своих ресурсов, не экономить на оборудовании, а также стараться заниматься хотя бы минимальным просвещением своих сотрудников об основах сетевой безопасности. В противном случае не исключены многочисленные суды с пострадавшими клиентами и Роскомнадзором, что явно не отразится положительно на работе организации, - отметил депутат.
»

Кроме того, самим организациям также стоит предусмотреть наказание для тех, кто допустил утечку внутри медучреждения.

«
В таком случае у тех, кто работает с такой чувствительной категорией персональных данных, будет стимул делать свою работу более осознанно, грамотно действовать при столкновении с мошенниками и не подвергать опасностям ни себя, ни пациентов, ни медучреждение в целом, - добавил парламентарий.
»

Атака вируса-вымогателя на ИТ-системы Varian парализовала работу оборудования в больницах

В начале августа 2023 года компания Siemens Healthineers сообщила о том, что компьютерная инфраструктура ее дочерней организации Varian Medical Systems подверглась кибератаке, за которой стоит группировка вымогателей LockBit. Хакерское вторжение парализовало работу оборудования в медицинских учреждениях. Подробнее здесь.

Остановка отпуска льготных лекарств из-за хакерской атаки

Выдача льготных лекарственных препаратов в Приморском крае была приостановлена из-за взлома ИТ-системы аптечной сети. Об этом 14 июля в своем Telegram-канале написала министр здравоохранения региона Анастасия Худченко. Подробнее здесь.

Eisai стал жертвой вымогательской атаки

Японская фармацевтическая компания Eisai, специализирующаяся на разработке и производстве лекарств от рака, деменции и других заболеваний, на днях сообщила о том, что столкнулась с атакой программы-вымогателя, которая существенно повлияла на операции компании. Об этом стало известно 8 июня 2023 года. Подробнее Eisai_(Эйсай)#.2A2023:_.D0.9A.D0.B8.D0.B1.D0.B5.D1.80.D0.B0.D1.82.D0.B0.D0.BA.D0.B0здесь.

Немецкая фармкомпания Evotec отключила ИТ-инфраструктуру после кибератаки

7 апреля 2023 года немецкая фармацевтическая компания Evotec сообщила о кибератаке на свою ИТ-инфраструктуру. В результате хакерского вторжения пострадали различные системы, и специалистами было принято решение об их отключении от интернета. Подробнее здесь.

Tallahassee Memorial HealthCare отменила несрочные операции из-за кибератаки

2 февраля 2023 года стало известно о том, что американское медицинское учреждение Tallahassee Memorial HealthCare было вынуждено перенаправить пациентов в другие учреждения и отменить все неэкстренные хирургические процедуры после того, как на больницу была совершена кибератака. Подробнее здесь.

2022

FDA: У медоборудования нет даже базовой защиты от кибератак

В середине декабря 2022 года стало известно о том, что Управление по санитарному надзору за качеством пищевых продуктов и медикаментов США (FDA) настаивает на выделении дополнительного финансирования для улучшения кибербезопасности медицинских устройств. Проблема заключается в том, что такое оборудование зачастую не имеет даже базовой защиты от кибератак.

Увеличение количества цифровых устройств, используемых медицинскими учреждениями за последнее десятилетие, привело к соответствующему росту числа обнаруженных уязвимостей, затрагивающих самые разные системы — от инфузионных насосов до автономных роботов. В сентябре 2022 года ФБР предупредило, что такая ситуация открывает двери для киберпреступников и групп вымогателей, атакующих больницы и медицинские учреждения.

У медоборудования нет защиты от кибератак

Уязвимости выявлены в инсулиновых помпах, внутрисердечных дефибрилляторах, мобильных сердечных телеметрах, кардиостимуляторах и интратекальных обезболивающих насосах. Злоумышленники могут получить доступ к устройствам и изменить показания, ввести передозировку лекарств или «иным образом поставить под угрозу здоровье пациентов». Проблемы усугубляются отсутствием встроенных функций безопасности в таких приборах и невозможностью обновления. Специалисты говорят, что подобное положение дел неприемлемо на фоне постоянно растущего числа медицинских приборов, подключенных к компьютерной сети.

Отмечается, что количество уязвимостей будет только увеличиваться по мере усложнения программного обеспечения и оцифровки медицинских устройств. Но поставщики медоборудования не спешат решать проблемы, поскольку, как говорится, внесение кардинальных изменений в архитектуру приборов может быть слишком дорогостоящим и обременительным. В целом, усугубляющаяся ситуация в области безопасности медицинского оборудования представляет больший риск для здоровья пациентов, а также может обернуться огромными финансовыми потерями для медучреждений.[2]

Названы главные тренды в сфере кибербезопасности медоборудования

27 декабря 2022 года медпортал Becker's Healthcare обозначил главные тренды в сфере кибербезопасности медицинского оборудования: о них рассказали директора по информационной безопасности крупных учреждений в области здравоохранения.

Отмечается, что ситуация в названной области ухудшается. Проблема заключается в том, что медоборудование зачастую не имеет даже базовой защиты от кибератак. Уязвимости выявлены в самых разных приборах — от инсулиновых помп и внутрисердечных дефибрилляторов до кардиостимуляторов и роботизированной медтехники. А это не только открывает двери для атак на больницы, но и создаёт непосредственную угрозу жизни пациентов.

По словам экспертов, в медоборудовании отсутствует даже базовая киберзащита

В опросе участвовали директора по информационной безопасности центра Мичиганская медицина, некоммерческой сети здравоохранения Renown Health, а также систем здравоохранения Edward-Elmhurst Health, Miami Health System и Intermountain Healthcare.

Специалисты говорят, что киберпреступники при выборе целей в сфере здравоохранения всё чаще ориентируются на финансовые показатели мишени. Это потенциально позволяет получить максимальный выкуп в случае успешной атаки программы-вымогателя. Одна из тенденций заключается в том, что в 2022 году злоумышленники перешли от шифрования к полному уничтожению информации в компьютерной сети жертвы. Такой подход гарантирует, что у хакеров остаётся единственная копия файлов атакованной организации, что исключает любую возможность восстановления данных без оплаты.

«
Банды вымогателей смогли успешно использовать недостатки безопасности здравоохранения в большом объёме. Мы также наблюдаем тенденцию к уничтожению данных по сравнению с требованиями выкупа за расшифровку, — подчёркивает Стивен Рамирез (Steven Ramirez), директор по информационной безопасности Renown Health.
»

Отмечается, что медучреждениям следует сосредоточиться на основах безопасности с ранним обнаружением, контролем доступа, защитными механизмами и использовать новые технологии, такие как обман и искусственный интеллект. Но проблема может заключаться в недостаточном финансировании.

В сегменте здравоохранения по-прежнему преобладали взломы и атаки программ-вымогателей
«
«Поскольку доступные денежные средства для расходов на кибербезопасность в этом секторе сокращаются, поставщики должны рассмотреть способы привлечения и изучения реальных проблем отдельных компаний или учреждений, которым они уделяют приоритетное внимание», — отмечает Джек Куфал (Jack Kufahl), директор по информационной безопасности Мичиганской медицины.
»

Ещё одной тенденцией эксперты называют повысившуюся интенсивность кибератак в сфере здравоохранения. В частности, увеличилось количество мошеннических схем, связанных с фишингом. Выделяются также несколько других основных киберпреступных тактик: это атаки нулевого дня, атаки на цепочки поставок, многоступенчатые атаки, а также атаки на устройства Интернета вещей и медицинские приборы, подключенные к компьютерной сети.

В целом, как отмечается, в 2022 году в сегменте здравоохранения по-прежнему преобладали взломы и атаки программ-вымогателей, нацеленных на получение выкупа. Вместе с тем говорится о новых законодательных инициативах, защищающих конфиденциальность и безопасность данных пациентов.

«
«Преступные организации продолжают удваивать интенсивность атак на медицинские организации, нарушая их деятельность и вымогая прибыль. Хорошей новостью является то, что в партнёрстве между правительством Соединённых Штатов и отраслью здравоохранения наметился импульс в плане укрепления киберзащиты», — говорит Эрик Декер (Erik Decker), директор по информационной безопасности Intermountain Healthcare.[3]
»

В двух регионах Швеции люди несколько дней не могут получить медпомощь из-за кибератаки на городские ИТ-системы

В середине декабря 2022 года в шведских муниципалитетах Боргхольм и Мёрбилонга объявлена - кризисная ситуация, после кибератаки на их ИТ-системы. Граждане не могут получить медицинскую помощь, а врачи перешли на ручку и бумагу.

Было подтверждено вторжение в общую ИТ-систему, используемую двумя муниципалитетами, которые вместе составляют остров Эланд с населением чуть более 25 тыс. человек. Подробнее здесь.

Из-за кибератаки французская больница перестала работать и направляет пациентов в другие медучреждения

4 декабря 2022 года Министерство здравоохранения Франции раскрыло информацию о том, что хакерской атаке подвергся больничный комплекс в Версале, недалеко от Парижа. В результате взлома медицинское учреждение было вынуждено приостановить работу и перенаправить часть пациентов в другие больницы. Подробнее здесь.

Объем рынка систем защиты медоборудования оценен в $6,57 млрд

10 октября 2022 года аналитиками ResearchAndMarkets было опубликовано исследование, согласно которому, глобальный рынок безопасности медицинского оборудования составит $6,57 млрд. в 2022 году и, как ожидается, достигнет $9,85 млрд к 2027 году с темпами роста 8,43%.

По словам экспертов, динамика развития рынка является следствием сил, которые влияют на цены и поведение участников глобального рынка систем защиты медицинских изделий. Силы динамики рынка могут быть связаны как с макро-, так и с микроэкономическими факторами.

Кроме цен, спроса и предложения, существуют и другие факторы рыночной активности. Эмоциональный фактор человека также может определять решения, оказывать влияние на рынок и формировать рыночные сигналы.

В отчете были приведены следующие факторы динамики рынка защиты медоборудования:

  • Увеличение числа случаев кибератак и угроз в сфере здравоохранения
  • Растущий спрос на медицинские устройства с подключением
  • Благоприятное государственное регулирование
  • Рост численности гериатрического населения и последовательный рост в области лечения хронических заболеваний

Сдерживающие факторы:

Ограниченные бюджеты на безопасность в здравоохранении

Возможные перспективы:

  • Внедрение в сенсорные беспроводные мобильные медицинские устройства
  • Рост числа приобретений, партнерств и сотрудничества
  • Рост внедрения передовых облачных решений для обеспечения безопасности в здравоохранении

Проблемы, требующие решения:

  • Недостаточное внедрение систем защиты медицинского оборудования в развивающихся странах
  • Конечные устройства создают проблемы для кибербезопасности в здравоохранении

Крупнейшими производителями систем киберзащиты медицинской техники названы следующие компании:

Госпиталь в Париже атакован вирусом-вымогателем

25 августа 2022 года медицинский центр Centre Hospitalier Sud Francilien, расположенный в 28 км от центра Парижа, пострадал от рук хакеров - им удалось внедрить вирус-вымогатель в ИТ-системы учреждения. Центр обслуживает территорию с населением 600 тыс. человек из-за взлома медперсонал вынужден направлять пациентов в другие медицинские учреждения и откладывать плановые операции. Подробнее здесь.

Минздрав РФ создает центр информационной безопасности и импортозамещения ПО

22 июня 2022 года Министерство здравоохранения РФ объявило о создании подведомственного Центра информационной безопасности и импортозамещения программного обеспечения на базе ФГБУ «ЦНИИОИЗ». Подробнее здесь.

Путин подписал указ о создании отделов кибербезопасности в медорганизациях

В начале мая 2022 года президент России Владимир Путин подписал указ о создании отдельной кибербезопасности на объектах критической информационной инфраструктуры (КИИ), включая учреждения здравоохранения. Возглавить такие структуры должен один из заместителей руководителя организации. Его обязанности, а также функции отдела правительство утвердит в течение месяца.

Согласно документу, отделы кибербезопасности обязаны сотрудничать в ФСБ, обеспечить сотрудникам службы беспрепятственный доступ (в том числе удаленный) к информационным ресурсам для мониторинга, выполнять их указания, данные по итогам проверки.

Путин подписал указ о создании отделов кибербезопасности в медорганизациях

С 1 января 2025 года при обеспечении кибербезопасности учреждениям здравоохранения и другим объектам КИИ запрещено применять средства защиты данных, изготовленные в недружественных странах. Под запрет попадает также оборудование фирм, которые находятся под прямым или косвенным контролем недружественной страны, аффилированных с ним.

Разъяснения по вопросам применения указа дадут Минфин и Центробанк, следует из указа. Правительству поручено в течение 10 дней утвердить перечень лиц, находящихся под санкциями, и определить дополнительные критерии отнесения сделок к запрещенным.

Активность киберпреступников в отношении медицинских учреждений неуклонно растет. К 2022 году медицина входит в тройку лидеров по количеству разного рода кибератак, уступая только правительственным учреждениям и промышленности, вытеснив из топа банки и финансовые компании.

Разнообразие информационных систем в разных лечебно-профилактических учреждениях (ЛПУ), которые могут быть государственными, частными и ведомственными, ведет к тому, что применяются разные подходы к защите информации. Часто защита систем в ЛПУ фрагментирована, что осложняет их киберзащиту.[5]

Минздрав США готовится к атаке русских хакеров на больницы

Американское министерство здравоохранения выпустило ИТ-методичку для руководства больниц, клиник и других медучреждений, опасаясь, что хакеры, «поддерживаемые Россией», парализуют их цифровую инфраструктуру, сделав обслуживание пациентов невозможным. Об этом стало известно 25 марта 2022 года.

Доклад под названием «Киберконфликт между Россией и Украиной и потенциальные угрозы для сектора здравоохранения США» подготовил входящий в структуру министерства центр кибербезопасности. В документе перечислены потенциальные угрозы со стороны группировок, якобы связанных с РФ.

В списке на первом месте стоит группировка Conti, которая внедряет в корпоративные системы, в частности в секторе здравоохранения, программы-шифровальщики.

«
Группа Conti связана с более чем 400 кибератаками по всему миру, 300 из которых были направлены против американских организаций. Сумма выкупа может доходить до 25 млн долларов.
»

Известно, что в мае 2021 года Conti отключила сеть информационных технологий минздрава Ирландии, добившись возникновения сбоя в работе рентгеновских систем, задержек в тестировании на COVID-19 и так далее.

Среди прочих опасностей айтишники из минздрава США выделяют программу-вымогатель NotPetya (усовершенствованная версия сетевого червя Petya). Вирус распространяется по корпоративным сетям даже без помощи специалиста и способен приводить к полной утрате файлов. Первоначально NotPetya был направлен против Украины в июне 2017 года, а затем распространился по всему миру, негативно повлияв на деятельность крупных американских фармкомпаний и больниц, указано в докладе.

На стационары Северной Америки (в большей степени, чем на Европу и Азию) нацелены и вымогатели из группировок FIN12 и Ryuk. Ryuk с 2018 года нанесла ущерб как минимум 235 американским больницам, психиатрическим лечебницам и десяткам других медорганизаций. Ежегодная выручка FIN12 превышает 300 млн долларов.

Image:2022_03_25__03_9100_1648190116.jpg

Также в числе угроз названы вирусы HermeticWiper и WhisperGate, которые использовались для кибератак на украинские учреждения незадолго до старта военной спецоперации РФ. Американское ведомство без каких-либо доказательств приписывает совершённые взломы Москве.

Ведомство приводит список уязвимостей, которые используют «русские хакеры».

Image:2022_03_25__04_7234_1648190116.jpg

Американский минздрав рекомендует свести к минимуму кадровые пробелы в обеспечении ИТ-безопасности, улучшить защиту организаций в киберпространстве и постараться создать условия, при которых критически важные функции учреждений продолжали бы выполняться в случае, если технологические системы будут повреждены. В такой ситуации больницы должны иметь ресурсы, чтобы продержаться в течение четырёх-шести недель.

Также указано на необходимость повысить киберготовность и предупредить персонал о возросшем риске получения фишинговых электронных писем с вредоносным ПО. Организациям велено убедиться, что создано множество резервных копий данных, и использовать геоблокировку – запрет «на весь входящий и исходящий трафик из Украины и прилегающих стран»[6].

Больше 50% медицинских устройств в мире имеют критические уязвимости

В середине января 2022 года аналитики Cynerio выпустили отчет, в котором сообщили, что более половины подключенных к сетям медицинских устройств в больницах представляют угрозу безопасности из-за критических уязвимостей, которые потенциально могут поставить под угрозу обслуживание пациентов.

Согласно исследованию, 53% проанализированных подключенных к интернету медицинских устройств имеют известные уязвимости, а треть прикроватных устройств имеют критический риск. Cynerio проанализировала более 10 млн медицинских устройств в более чем 300 больницах и медицинских учреждениях по всему миру. В отчете предупреждается, что если хакеры получат доступ к этим медицинским устройствам, это повлияет на доступность услуг, конфиденциальность данных и даже безопасность пациентов.

Больше 50% медицинских устройств в мире имеют критические уязвимости
«
Здравоохранение является главной мишенью для кибератак, и даже несмотря на постоянные инвестиции в кибербезопасность, во многих медицинских устройствах, на которые полагаются больницы при лечении пациентов, остаются критические уязвимости. Больницам и системам здравоохранения не нужно больше данных - им нужны передовые решения, снижающие риски и дающие им возможность противостоять кибератакам, и нам, поставщикам услуг по обеспечению безопасности медицинского оборудования, пора сделать шаг вперед, - сказал технический директор и соучредитель Cynerio Дэниел Броуди (Daniel Brodie).
»

Из всех медицинских устройств, согласно отчету, инфузионные насосы являются наиболее распространенным устройством с той или иной уязвимостью в 73%. Если злоумышленникам удастся взломать насос для внутривенных вливаний, это напрямую повлияет на пациентов, поскольку насосы подключены к сети. Некоторые из причин этих уязвимостей связаны с относительно простыми вещами, такими как устаревшие программы. Кроме того, распространенным риском являются пароли по умолчанию, одинаковые для всей организации, тем более что такие слабые учетные данные по умолчанию защищают около 21% устройств.

Специалисты из Cynerio отмечают тот факт, что решением для уменьшения уязвимостей и снижения количества атак вымогательского программного обеспечения является сегментация сети. Разделив сеть больницы, можно устранить более 90% критических рисков, связанных с медицинским оборудованием.[7]

2021

Самой атакуемой отраслью года оказалось здравоохранение

1 февраля 2022 года компания Cisco Talos рассказала о главных событиях на рынке кибербезопасности в 2021 году.

2021 год выдался для группы по борьбе с киберугрозами Cisco Talos Incident Response (CTIR) весьма напряженным. На фоне пандемии, которая повлекла за собой ряд специфичных проблем ИБ, ей пришлось иметь дело с растущим кругом злоумышленников, промышляющих программами-вымогателями, занимаясь при этом крупными инцидентами безопасности, которые затронули организации по всему миру. Вместо выпуска привычного квартального отчета Cisco Talos сообщает о трендах в области ИБ за весь 2021 год.

  • Чаще других атакуемой отраслью на протяжении большей части прошлого года оказалось здравоохранение.
  • Главной угрозой прошлого года стали программы-вымогатели (шифровальщики).
  • Чаще всего атаки начинались с компрометации приложений, имеющих выход в Интернет, и фишинга.
  • CTIR имела дело с четырьмя серьезными инцидентами ИБ:

  • Из четырех перечисленных пока наиболее значительным для клиентов CTIR стали атаки, использовавшие уязвимости Microsoft Exchange; на начало февраля 2022 года они не прекращаются.

Основной целью злоумышленников в течение практически всего 2021 года было здравоохранение, лишь осенью на первое место вышли атаки против локальных администраций. После лавины атак на медицинские учреждения, зафиксированных в конце 2020 года, в Cisco Talos прогнозировали, что здравоохранение будет оставаться основной целью вымогателей и в 2021 году. В основном это обусловлено недостаточными средствами, которые медучреждения выделяют на кибербезопасность, а также достаточно высокими требованиями к отсутствию простоев (которые еще более ужесточились в связи с продолжающейся пандемией).

Среди всех угроз в 2021 года доминировали программы-вымогатели. В их использовании наблюдались два тренда: увеличение числа злоумышленников и рост применения коммерчески доступных продуктов и программ с открытым кодом.

Ряд изначальных уязвимостей Microsoft Exchange Server были обнародованы в 1- квартале, что сказалось на загрузке CTIR

В течение 2020 и в начале 2021 года чаще всего встречался шифровальщик Ryuk. Затем его активность начала постепенно снижаться, и во второй половине 2021 года он практически исчез. Ryuk был не единственным вымогателем, чья активность заметно стихла в 2021 году. Недавно также прекратили действовать или провели ребрендинг такие семейства, как Darkside, BlackMatter, REvil и Maze. Возможно, что именно из-за спада активности вымогателей-гигантов зимой произошел всплеск различных атак, причем ни одно семейство не повторялось дважды.

Одновременно с расширением круга злоумышленников, наблюдаемом в начале осени, возросло применение коммерческих продуктов, программ с открытым кодом и легитимных программ и компонентов операционной системы (living-off-the-land binaries, LOLBINS). Наиболее часто встречающиеся:

  • Cobalt Strike
  • ADFind
  • ADRecon
  • GMER
  • Bloodhound/Sharphound
  • Sharphound
  • PCHunter
  • 7-Zip
  • WinRAR
  • Windows Management Instrumentation
  • RDP
  • Rubeus
  • TeamViewer.

В 2021, как и в 2020 году, в большинстве организаций регистрация событий велась так, что во многих случаях установить с точностью начальный вектор атаки не представлялось возможным. Когда же начальный вектор удавалось определить с достаточной уверенностью, на первое место выходили фишинг и приложения, имеющие выход в Интернет.

Рост числа достигших цели атак связан в том числе с раскрытием ряда крупных уязвимостей программного обеспечения, используемого многими организациями. В частности, это несколько уязвимостей Microsoft Exchange, которые привели к необходимости проводить мероприятия по реагированию на инциденты во многих организациях.

В то же время, рост числа фишинговых атак может быть связан с тем, что они являются традиционным способом для начального заражения при использовании шифровальщиков, на которые приходилась большая часть угроз в течение 2021 года. Кроме того, осенью 2021 года выросло число компрометаций корпоративной электронной почты, что увеличило долю этого вектора в общей картине.

На фоне стресса, вызванного работой в условиях пандемии, и постоянно нарастающих и усугубляющихся угроз со стороны шифровальщиков группе CTIR пришлось заниматься четырьмя серьезными инцидентами, которые затронули организации во всем мире.

  • Декабрь 2020 года. Происходит изощренная атака на цепочку поставок, в ходе которой злоумышленники получили доступ к сетям жертв посредством внедрения трояна в обновления ПО SolarWinds Orion. Целью атаки были многочисленные крупные предприятия и госструктуры США.
  • Март 2021 года. CTIR занимается множественными атаками, связанными с рядом неустраненных уязвимостей Microsoft Exchange Server.
  • Июль 2021 года. Группа хакеров-вымогателей REvil атакует компанию Kaseya, которая разрабатывает ИТ-решения для поставщиков управляемых услуг (managed service providers, MSP). Т.к. целью REvil были провайдеры, которые управляют ИТ-услугами заказчиков, атака поразила как минимум 1500 организаций.
  • Декабрь 2021 года. Злоумышленники начинают сканировать и использовать критичную уязвимость удаленного исполнения кода в известной библиотеке Apache Foundation Log4j.

В 2021 году, в разгар атак программ-вымогателей, CTIR выступила с заявлением об отсутствии многофакторной аутентификации (МФА) как одном из главных препятствий на пути к обеспечению информационной безопасности предприятия. CTIR часто сталкивается с инцидентами, которые могли бы быть предотвращены при включении МФА на критичных сервисах. CTIR призывает организации внедрять МФА везде, где это возможно.

Около трети медорганизаций по всему миру допускают утечки данных пациентов во время сеанса телемедицины

Подавляюще большинство медицинских организаций, предоставляющих услуги телемедицины, используют для этого древнее оборудование с устаревшими операционными системами. По данным «Лаборатории Касперского», это несет прямой риск безопасности персональных данных пациентов. Об этом стало известно 30 декабря 2021 года. Подробнее здесь.

Минцифры, ФСБ и ФСТЭК одобрили проект концепции единой системы ИБ в здравоохранении. Какой она будет?

Минцифры, ФСБ и ФСТЭК согласовали проект концепции единой системы обеспечения информационной безопасности в сфере здравоохранения, разработанной Минздравом. Об этом в декабре 2021 года сообщил Александр Дубасов, советник директора ФГБУ ЦНИИОИЗ Минздрава[8]. Документ готовится к докладу министра.

В проекте концепции определены направления развития системы обеспечения ИБ, изложены принципы, подходы и требования к обеспечению защиты информации. Среди целей документа - разработка единых принципов и подходов к обеспечению защиты информации, внедрение отраслевых стандартов и методических рекомендаций.

Пока, говорит Александр Дубасов, Минздрав по части отраслевого регулирования в области ИБ находится на начальном пути. А фактическое состояние информационных ресурсов в здравоохранении является следствием исторически сложившегося децентрализованного подхода к созданию информационных систем, реализуемого в условиях ограниченности ресурсов. Оно характеризуется, в числе прочего, разнотипностью решаемых задач, разнообразием программных, технических решений, архитектур, консолидацией информации различного назначения, недостаточностью уровня обеспечения отказоустойчивости.

При разработке концепции закладывалась цель создать именно единую систему построения информационной безопасности на всех уровнях: федеральном, региональном, муниципальном (фото - Shutterstock)

Ключевым элементом, согласно проекту концепции, является создание отраслевого центра ИБ Минздрава на базе подведомственного учреждения, который будет выполнять функцию отраслевого центра ГосСОПКА. Это, в том числе, подразумевает мониторинг и реагирование на угрозы ИБ. Он будет взаимодействовать с другими ведомственными центрами ГосСОПКА и корпоративными центрами ИБ.

Центр будет организовывать и координировать деятельность участников единой системы ИБ в здравоохранении, привлекаться к осуществлению ведомственного контроля выполнения требований по защите информации в ИТ-системах, заказчиком либо оператором которых является Минздрав или его подведы.

Кроме того, центр будет следить за выполнением субъектами критической информационной инфраструктуры (КИИ) в здравоохранении требований регуляторов по защите объектов КИИ и обеспечению их функционирования, разрабатывать дополнительные требования по защите объектов КИИ в здраве, отраслевые стандарты и методические рекомендации.

Эта же структура будет выполнять функции отраслевого центра компетенций по ИБ в здравоохранении, участвовать в прогнозировании и анализе угроз ИБ в отраслевых системах, участвовать в расследовании инцидентов.

И ей же предстоит взаимодействовать с ФСБ и ФСТЭК по вопросам защиты информации в отраслевых ИТ-системах, а также осуществлять организацию и контроль качества подготовки ИБ-кадров в сфере здрава.

«
Когда мы прорабатывали концепцию, закладывалась цель создать именно единую систему построения информационной безопасности на всех уровнях: федеральном, региональном, муниципальном. И цель создания отраслевого центра заключается в том, чтобы это действительно был центр компетенций, который совместно со всеми участниками сможет построить единую систему и быть не просто регулятором, а помощником отрасли по защите информации, - пояснил Дубасов.
»

Советник директора ФГБУ ЦНИИОИЗ Минздрава говорит, что продолжается анализ по количеству объектов КИИ, которые попадут под мониторинг. И поскольку развитие центра предполагается на долгосрочную перспективу, количество взятых на мониторинг объектов КИИ будет увеличиваться постепенно.

«
Будет выстраиваться система взаимодействия со всеми, потому что в любом случае в части мониторинга отраслевой центр не вытянет всю отрасль, потому что она имеет колоссальный размер, - добавил Александр Дубасов.
»

В проекте концепции предусмотрен план развития центра на 3 года с увеличением штатной численности сотрудников. Однако данных о том, сколько всего центру оценочно понадобится сотрудников, и какой может быть бюджет проекта, советник директора ФГБУ ЦНИИОИЗ Минздрава не привел.

Хакеры получили доступ к 150 тыс. камер Verkada в больницах, полиции и компаниях по всему миру

В начале марта 2021 года хакеры взломали систему безопасности стартапа Verkada, который предлагает услуги по корпоративному видеонаблюдению. В результате атаки злоумышленники получили доступ к более чем 150 тыс. камер, включая камеры на заводах и складах Tesla, офисах Cloudflare, спортзалах Equinox, больницах, тюрьмах, школах, полицейских участках и собственных офисах Verkada. Подробнее здесь.

Хакеры из КНДР атаковали Pfizer для продажи подпольной вакцины от COVID-19

В середине февраля 2021 года северокорейские хакеры пытались взломать компьютерные системы фармацевтической компании Pfizer в поисках информации о вакцине и технологии лечения коронавирусной инфекции (COVID-19). Об этом стало известно 25 февраля 2021 года. Подробнее здесь.

На медучреждения в РФ впервые обрушились атаки вирусов-вымогателей

В начале февраля 2021 года стало известно о первых атаках вирусов-вымогателей на российские больницы. Хакеры используют такие вредоносные программы для шифрования пользовательских данных и кражи важных сведений, заявил замдиректора Национального координационного центра по компьютерным инцидентам (НКЦКИ, создан по приказу ФСБ для борьбы с угрозой хакерских атак на инфраструктуру России) Николай Мурашов.

По его словам, помимо того, что впервые зафиксированы случаи внедрения вирусов в информационную инфраструктуру медицинских учреждений, зафиксирован попытки аналогичных кибератак ресурсов Центризбиркома, Общественной палаты РФ и различных органов государственной власти. При этом о последствиях возможных взломов ИТ-систем больниц и других учреждений Мурашов не сообщил.

На российские медучреждения впервые обрушились атаки вирусов-вымогателей

По словам Мурашова, основные источники кибератак на российские ресурсы находятся за пределами страны — 67 тыс. зарубежных вредоносных ресурсов и 65 тыс. таких ресурсов в России заблокировал центр за год.

Атаки вирусов-вымогателей на медицинские организации ранее были замечены за пределами России. Так, хакеры, используя зловред такого типа, парализовали работу больницы Uniklinik в немецком Дюссельдорфе, закодировав информацию на 30 серверах этого учреждения. В результате сбоя умерла пациентка, которую перевезли в другой стационар. Uniklinik целую неделю не могла принимать больных и делать операции.

Ранее в «Лаборатории Касперского» зафиксировали серию целевых кибернападений на российские организации сферы здравоохранения. По данным компании, были атакованы до десяти крупных государственных учреждений в южных регионах России. Атакующие свободно говорят на русском языке, но территориально находятся за пределами страны, полагают в «Лаборатории Касперского».[9]

2020: Рост кибератак на российские медучреждения на 91%

В 2020 году число хакерских атак на российские медицинские учреждения увеличилось на 91% и составили 9% от общего количества таких киберинцидентов. Об этом свидетельствуют данные компании Positive Technologies, специализирующейся на технологиях обеспечения информационной безопасности.

По словам экспертов, организации здравоохранения опередили финансовый сектор по доле хакерских нападений. Согласно исследованию Positive Technologies, в медицине киберпреступники в первую очередь охотились за данными больниц, но также зарегистрированы атаки на разработчиков вакцин, лаборатории, фармкомпании и смежные предприятия.

Кибератаки на российские медучреждения за 2020 год выросли на 91%

Чтобы получить доступ к компьютерным сетям медучреждений, в 66% случаев злоумышленники использовали методы социальной инженерии вроде фишинговых писем. Непосредственно хакингом киберпреступники пользовались в 21% случаев. В остальных кейсах злоумышленники либо подбирали данные для авторизации, либо эксплуатировали веб-уязвимости, сообщили в Positive Technologies.

«
Самый распространенный паттерн хакерского поведения — это получение выкупа за расшифровку данных. Для медучреждений сбои в работе оборудования критичны, поэтому шанс получить требуемую сумму достаточно высок, — сказала Екатерина Килюшева (цитата по «Известиям»).
»

По ее словам, медицинские учреждения представляют интерес для охотников за данными пациентов. Хакеры могут продать их в даркнете другим преступникам либо потребовать от больницы отдельный выкуп за неразглашение. Когда среди клиентов взломанной оказывается знаменитость, шантажировать могут и звезду, добавила он.

По данным Positive Technologies, использование вредоносного ПО по-прежнему в тренде. В 2020 году количество подобных атак увеличилось на 54% по сравнению с 2019 годом.[10]

2019

Медицинские данные на черном рынке стоят больше банковских

Медицинские данные на черном рынке стоят больше банковских. Об этом в декабре 2019 года сообщили в «Лаборатории Касперского».

По словам экспертов, в даркнете будет появляться все больше объявлений о продаже медицинских данных, в том числе из медицинских карт и страховых полисов, поскольку такая информация считается ценным ресурсом для злоумышленников. Те могут использовать медданные для того, чтобы входить в доверие к пользователям, обманывать их самих или их родственников.

По мнению экспертов, в даркнете будет появляться все больше объявлений о продаже медицинских данных, в том числе информации из медицинских карт или страховых полисов.

Доступ к данным электронных медицинских карт может быть интересен не только для того, чтобы красть их. Например, хакеры могут вносить в них изменения, чтобы совершать целевые атаки и намеренно затруднять постановку диагнозов.

Рост числа атак на медицинские организации

В «Лаборатории Касперского» отмечают, что медицинские компании все чаще становятся жертвами программ-шифровальщиков. Это происходит по двум основным причинам:

  • недостаточно серьёзное восприятие рисков, связанных с цифровизацией, в индустрии здравоохранения;
  • отсутствие должного внимания к вопросам обучения сотрудников базовым навыкам кибербезопасности.

С начала 2019 года по декабрь в медицинских организациях по всему миру было атаковано каждое пятое устройство. По прогнозам «Лаборатории Касперского», число подобных атак будет расти, особенно в развивающихся странах, где только начинается процесс цифровизации таких услуг. В частности, будет все больше целевых атак с помощью программ-шифровальщиков, которые приводят к потере доступа к внутренним данным или ресурсам. Это чревато нарушениями в процессе постановки диагноза и даже лишением пациентов помощи, которая требуется немедленно.

Также в исследовании говорится о росте количества атак на научно-исследовательские медицинские институты и фармацевтические компании. Так, в 2019 году были атакованы 49% устройств в фармкомпаниях.[11]

Программа-шпион CloudMid атаковала российские организации из сферы здравоохранения

18 июля 2019 года «Лаборатория Касперского» сообщила, что российские организации из сферы здравоохранения столкнулись с целенаправленным кибершпионажем.

Эксперты «Лаборатории Касперского» зафиксировали серию целевых атак на российские организации из сферы здравоохранения. Инциденты произошли весной и в начале лета 2019 года, жертвами злоумышленников стали несколько учреждений в южных регионах России. Как выяснили аналитики, атакующие свободно говорят на русском языке, однако территориально находятся за пределами России. Основной целью злоумышленников был сбор данных финансового характера.

Заражение компьютеров в организациях, работающих в сфере здравоохранения, осуществлялось с помощью неизвестной ранее программы-шпиона CloudMid. Зловред рассылался по электронной почте и маскировался под VPN-клиент известной российской компании. Однако эта рассылка не была массовой: почтовые сообщения, содержащие программу-шпиона, получили лишь некоторые организации отдельных регионов, а это говорит о целевом характере атаки.

После установки в системе CloudMid приступал к сбору документов, хранящихся на заражённом компьютере. Для этого, в частности, зловред делал снимки экрана несколько раз в минуту. Эксперты «Лаборатории Касперского» обнаружили что атакующие собирают с зараженных машин информацию финансового характера: контракты, направления на дорогостоящее лечение, счета-фактуры и другие документы, которые так или иначе относятся к финансовой деятельности организаций здравоохранения.

«
Сфера здравоохранения начала интересовать киберзлоумышленников, в том числе организаторов сложных и скрытных целевых атак. Обнаруженная нами рассылка программы-шпиона CloudMid – очередное тому подтверждение. В данном случае атаки, хоть и не отличались хорошей технической проработанностью, но были целевыми, и злоумышленникам всё равно удалось получить желаемое. Именно поэтому организациям из сферы здравоохранения стоит уделить повышенное внимание вопросам кибербезопасности, в частности обучить сотрудников навыкам распознавания угроз, а также использовать надёжные защитные решения,
отметил Дмитрий Кузнецов, антивирусный эксперт «Лаборатории Касперского»
»

Решения «Лаборатории Касперского» распознают все известные образцы программы-шпиона CloudMid и защищают пользователей от этой угрозы.

2018: Хакеры научились изменять данные с вживленных медустройств

В августе 2018 года специалисты по информационной безопасности McAfee Advanced Threat Research провели на конференции по кибербезопасности демонстрацию того, как хакеры могут взломать сеть медицинской организации и фальсифицировать данные пациента с мониторирующих устройств в режиме реального времени.

Выявление этих уязвимостей стало первым шагом в переоценке безопасности сетевого протокола, используемого медицинскими устройствами. Исследователь группы McAfee Дуглас МакКи (Douglas McKee) выступил перед аудиторией и продемонстрировал, как можно представлять ложные данные о жизненно важных показателях: за пять секунд он заменил нормальную картину ритма сердца изолинией, свидетельствующей о смерти условного пациента. Само собой разумеется, что конечная цель этой демонстрации - улучшить безопасность устройств, а не предоставлять злоумышленникам новую цель для атаки.

Хакеры научились фальсифицировать жизненные показатели пациентов в реальном времени

МакКи сказал, что в отсутствие надлежащей идентификации мониторирующих устройств они могут быть легко заменены имитатором в сети. Большинство систем мониторинга пациентов состоят как минимум из двух основных компонентов: прикроватного монитора и центральной станции мониторинга.

Эти устройства подключены к проводной или беспроводной сети через TCP / IP (интернет-протокол). Центральная станция мониторинга собирает данные нескольких прикроватных мониторов, чтобы один врач мог наблюдать за несколькими пациентами. Именно связь между монитором и центральной станцией представляет основную уязвимость: взломав ее, исследователи смогли скачивать незашифрованные данные, а затем и изменять их. Подключив к сети вместо прикроватного монитора обычный компьютер, они сумели фальсифицировать жизненно-важные показатели пациента.

Исследователи отметили, что шифрование сетевого трафика между устройствами и идентификация резко увеличили бы сложность подобной атаки.[12]

2017

Siemens Healthcare устраняет уявзимости в ПЭТ-сканерах

7 августа 2017 года Siemens Healthineers анонсировала программное обновление для сканеров позитронно-эмиссионной томографии. Компания устраняет уязвимости, которые теоретически могли использовать хакеры для взлома этого медицинского оборудования. Подробнее здесь.

Число пострадавших от хакеров медучреждений в США выросло в 4 раза

Число американских медицинских учреждений, пострадавших от хакерских атак, выросло в четыре раза. Такие данные приводят Министерство здравоохранения и социальных служб США (U.S. Department of Health and Human Services).

Как показано на графике ниже, в период с 2010 по 2015 годы наблюдалась критически опасная тенденция для медицинских учреждений: если количество больниц и клиник, которые пострадали от кибернападений, росло линейно и было небольшим в течение пяти лет (8 в 2010 году и 30 в 2015-м), то число обслуживающихся в этих медучреждениях людей, которых могла коснуться эта проблема, увеличивалось экспоненциально. В 2015 году таких пациентов в США насчитывалось около 5,3 млн против 589,5 тыс. годом ранее. В 2010 году от действий хакеров пострадали около 61,7 тыс. человек.

График роста числа медицинских учреждений и пациентов, потенциально пострадавших от действий хакеров в США в период с 2010 по 2015 года, данные Министерство здравоохранения и социальных служб

Тенденция стремительного роста аудитории, сталкивающейся с кибератаками, эксперты объясняют растущим внедрением электронных медкарт, увеличением числа медицинского оборудования и устройств Интернета вещей, подключаемых к больничным сетям. Кроме того, сказывается распространение вирусов, мешающих работе не только компьютеров, но и медицинских аппаратов.

Как отмечает сайт AuntMinnie.com, киберзащита оборудования для медицинской визуализации имеет более высокую важность, чем в случае с другой медтехникой, поскольку МРТ-сканеры и другие подобные диагностические аппараты хранят защищенные медицинские данные и напрямую взаимодействуют системами электронных медицинских карт и PACS. Устройства, работающие с медицинскими изображениями, становятся все более привлекательной целью для хакеров, поскольку они являются точкой доступа к наиболее ценным активам медучреждений.

«
В радиологии принято отрицать то, что аппараты для медицинской визуализации не нуждаются в защите. Такое мировоззрение нужно искоренять, — заявил Энтони Зайбер (Anthony Seibert), доктор наук, профессор и заместитель руководителя кафедры радиологической информатики в Калифорнийском университете в Дейвисе.[13]
»

Смотрите также

Новые технологии в здравоохранении



Примечания