Szpitale walczą z epidemią cyberataków ransomware

Przeczytaj także: Ewolucja cyberataków i cyberbezpieczeństwa. Jak atakujący i obrońcy uczą się od siebie nawzajem?

Ataki na instytucje opieki zdrowotnej mogą być szczególnie niebezpieczne dla stabilności życia społecznego. To nie tylko obawa o dane pacjentów, lecz o systemy komunikacji pomiędzy placówkami zdrowia, logistyki i rozmieszczania pacjentów w szpitalach. Od kilku lat jesteśmy świadkami poważnych ataków ransomware na te instytucje i łańcuchy dostaw.

Coraz więcej usług jest dostarczanych online, dlatego zakłócenia spowodowane takimi atakami mogą być wyjątkowo szkodliwe dla naszych danych i niebezpieczne dla naszego życia – ostrzega Wojciech Głażewski, dyrektor firmy Check Point Software Technologies w Polsce.

W styczniu 2023 roku naukowcy z University of Minnesota i University of Florida opracowali dokładną analizę częstotliwości cyberataków ransomware na organizacje opieki zdrowotnej. Według badania, roczna liczba ataków podwoiła się z 43 do 91, podczas gdy liczba wykradzionych poufnych danych pacjentów wzrosła ponad 11-krotnie, z około 1,3 miliona w 2016 r. do ponad 16,5 miliona w 2021 r. W tych atakach około połowa organizacji opieki zdrowotnej szczęśliwie była w stanie przywrócić kopie zapasowe.

Według ekspertów 95% kradzieży tożsamości pochodzi ze skradzionej dokumentacji medycznej (Get Astra). Głównymi powodami, dla których przestępcy atakują branżę medyczną, jest chęć zdobycia pieniędzy (95%) poprzez sprzedaż poufnych danych osobowych (2022 Parachute).

Światowa branża opieki zdrowotnej wciąż obserwuje rosnącą liczbę ataków, które mają wpływ na opiekę nad pacjentem, wielomilionowe koszty odzyskiwania danych i ujawnienie danych pacjentów w dziesiątkach milionów — potwierdza Leon Lerman, dyrektor generalny Cynerio, firmy współpracującej z Check Point Software.

Zdaniem ekspertów obecna podatność służby zdrowia na cyberataki wynika z faktu, iż branża ta w przeszłości nie inwestowała w cyberbezpieczeństwo tak intensywnie jak inne branże. Zamiast tego większość zasobów słusznie koncentrowała się na poprawie opieki nad pacjentami i ratowaniu życia. A skala zagrożenia jest zaskakująca – już w 2022 roku miało miejsce 707 incydentów naruszenia bezpieczeństwa danych, w których skradziono 51,9 mln danych osobowych. Nic dziwnego, że sektor opieki zdrowotnej jest tak powszechnym celem (Independent.Co.UK).
Od początku 2023 roku branża opieki zdrowotnej doświadczyła najwięcej naruszeń danych a koszty były najwyższe od 12 lat. Koszty naruszeń danych w służbie zdrowia w 2023 r. osiągnęły średnio 9,3 mln USD na incydent, co oznacza wzrost o 29,5% w porównaniu z 2020 r. Wszystkie inne branże odnotowały łączną medianę strat w wysokości 3,86 mln USD w 2020 r. i 4,24 mln USD w 2021 r. (Compliancy Group).

Rosnące zagrożenie zaniepokoiło europejskie władze a Agencja Unii Europejskiej ds. Cyberbezpieczeństwa (ENISA) wezwała w lipcu 2023 r. do natychmiastowych działań ze strony państw członkowskich. W raporcie na temat krajobrazu cyberzagrożeń dla sektora zdrowia, ENISA uznała ataki ransomware – odpowiedzialne za 54% wszystkich cyberataków cybernetycznych - za kluczowe zagrożenie dla unijnego sektora zdrowia. Z analiz wynika, że europejski sektor opieki zdrowotnej doświadczył znacznej liczby incydentów, przy czym szpitale poniosły największy ciężar, zgłaszając 42% incydentów. Ponadto celem ataków były władze, organy i agencje ds. zdrowia (14%) oraz przemysł farmaceutyczny (9%).

Sytuacja w Polsce nie odstaje od światowych trendów. Wyłudzenia pieniędzy, szantaże, podszywanie się pod inne osoby i blokowanie systemu – szpitale w 2022 r. odnotowały ponad 3-krotne zwiększenie się liczby cyberataków. W zeszłym roku zgłoszono 43 takie zdarzenia – w 2021 r. było ich zaledwie 13 (dane Ministerstwa Cyfryzacji i zespołu reagowania w Naukowej i Akademickiej Sieci Komputerowej). Ataki te były głównie związane z wysyłaniem wiadomości elektronicznych z plikami zainfekowanymi szkodliwym oprogramowaniem – podszywano się też pod osoby decyzyjne w szpitalach i nakłaniano do przelania pieniędzy.

Skala problemu powoli wymyka się spod kontroli a Polska i jej placówki zdrowia coraz częściej pojawiają się na mapie celów hakerów – zwracają uwagę eksperci firmy Check Point Research.

W lutym 2023 roku, szpitale w Holandii, Wielkiej Brytanii oraz innych europejskich zostały zaatakowane przez rosyjskich hakerów - poinformowała agencja AFP.

Do cyberataków przyznała się grupa cyberprzestępców KillNet. Hakerzy mieli również celować w polskie placówki medyczne i Ministerstwo Zdrowia.

W tym samym czasie doszło do spektakularnego ataku, który wywołał problem wewnętrznego systemu Centralnego Szpitala Klinicznego w Łodzi - przestała działać strona internetowa oraz skrzynka mailowa placówki. W oficjalnym komunikacie CSK potwierdziła, że doszło do cyberataku.

Wcześniej, w listopadzie 2022 roku Instytut Centrum Zdrowia Matki Polki (ICZMP) w Łodzi padł ofiarą cyberataku, po którym zdecydowano się na wyłączenie wszystkich systemów informatycznych.

W obliczu rosnących cyberataków w 2022 roku szpitale miały otrzymać z NFZ od 270 do 900 tysięcy złotych, na podniesienie poziomu bezpieczeństwa systemów teleinformatycznych. Za te pieniądze mogły kupić oprogramowania, systemy antywirusowe, a także przeprowadzić szkolenia pracowników.

Według danych ENISA ransomware jest jednym z głównych zagrożeń dla służby zdrowia (54% incydentów). Tendencja ta prawdopodobnie się utrzyma. Tylko 27% ankietowanych organizacji z sektora opieki zdrowotnej ma dedykowany program obrony przed oprogramowaniem ransomware. Kierując się korzyściami finansowymi, cyberprzestępcy wymuszają okup zarówno od placówek zdrowotnych, jak i pacjentów, grożąc ujawnieniem poufnych danych osobowych.

Dane pacjentów, w tym elektroniczna dokumentacja medyczna, były najczęściej atakowanymi zasobami (30%). Blisko połowa wszystkich cyberataków (46%) miała na celu kradzież lub wyciek danych organizacji zdrowotnych.

Za większość ataków (53%) odpowiadali motywowani finansowo cyberprzestępczy. W czasie pandemii doszło do wielu przypadków wycieku danych z systemów i laboratoriów badawczych związanych z COVID-19 w różnych krajach UE. Jako główne przyczyny tych wycieków zidentyfikowano błąd ludzki i złe praktyki w zakresie bezpieczeństwa, w tym błędne konfiguracje. Incydenty te wyraźnie przypominają o znaczeniu procedur w zakresie cyberbezpieczeństwa.

Ataki na łańcuchy dostaw i dostawców usług opieki zdrowotnej spowodowały zakłócenia lub straty dla organizacji zdrowotnych (7%). ENISA ujawniła, że organizacje opieki zdrowotnej zgłosiły największą liczbę incydentów bezpieczeństwa związanych z lukami w oprogramowaniu lub sprzęcie, przy czym 80% respondentów podało luki w zabezpieczeniach jako przyczynę ponad 61% incydentów związanych z bezpieczeństwem.

Wydarzenia geopolityczne i aktywność haktywistów doprowadziły na początku 2023 r. do gwałtownego wzrostu liczby innego rodzaju cyberataków typu DDoS (Distributed Denial of Service) dokonywanych przez prorosyjskie grupy atakujące szpitale i placówki zdrowia (9% wszystkich incydentów).

W raporcie ENISA zwrócono również uwagę na poniesione straty finansowe – oszacowano, że średni koszt poważnego incydentu związanego z bezpieczeństwem w sektorze opieki zdrowotnej w Europie wynosi 300 000 euro.