Банды программ-вымогателей знают, как получить больше денег при минимальных усилиях. Они выбирают свои цели, исходя из слабой защиты и вероятности оплаты. Выбор целей таким образом позволяет им тратить наименьшее количество времени на внедрение и обеспечивает максимально возможную норму прибыли. Организации, оказывающие медицинские услуги (HDO), соответствуют обоим этим критериям. HDOS исторически недостаточно тратили на кибербезопасность и IoT-безопасность, что приводило к слабой защите сети. Эти слабые средства защиты в сочетании с низкой вероятностью простоя приводят к тому, что HDOS с большей вероятностью заплатят выкуп за восстановление операций, чем другие отрасли.
Эти выплаты выкупа – крупный бизнес для киберпреступников. Недавний отчет Becker’s Health IT показывает, что HDOS заплатили 100 миллионов долларов банде программ-вымогателей Conti. 7 сентября ФБР предъявило обвинения девяти членам банды, предложив вознаграждение в миллионы долларов за их поимку. HDO в США были обычной целью Conti, которая в 2022 году подняла шум из-за своей заявленной лояльности российскому правительству и последующей утечки документов.
Помимо затрат на восстановление, атака программ-вымогателей наносит невероятный ущерб работе HDO, а также уходу за пациентами. Операции часто отменяются или переносятся, а пациентов переводят в другие места из-за дополнительных задержек в получении медицинской помощи. Более того, даже если HDOs заплатят выкуп, нет гарантии, что киберпреступники действительно удалят украденные данные. Некоторые продают отфильтрованные данные в темной сети даже после того, как возвращают их своей жертве HDO. Таким образом, потеря данных является лишь одним из последствий успешного инцидента.
Другие включают:
- Повышенный уровень смертности – По данным исследования Института Понемон, смертность от кибератак увеличивается на 20%. В HDOS, подвергшихся кибератаке или инциденту, чаще гибнут люди, что не является хорошей новостью для доверия к системе.
- Ущерб репутации и недоверие в сообществе – Справедливо или нет, но люди не доверяют HDO, подвергшимся кибератаке. Распространение данных о пациентах порождает представление об отсутствии безопасности, а это означает, что люди часто избегают врачей высокой квалификации, которые пережили инцидент.
- Увеличенные затраты на восстановление – Согласно отчету IBM, по оценкам, восстановление HDOs после кибератаки обходится в 10,1 миллиона долларов за каждый инцидент, без учета любых платежей программ-вымогателей. Это самая высокая стоимость восстановления из всех отраслей, включенных в исследование IBM. Всплеск атак на HDOS в 2023 году также не способствует увеличению затрат.
- Возможные издержки регулирования – Больница договорилась с регулирующими органами на сумму 250 000 долларов, чтобы избежать рисков наложения штрафов и расширенных коллективных исков. HIPAA и CCPA – это лишь несколько нормативных актов, о которых HDO следует беспокоиться с точки зрения нормативных последствий. Государственные регулирующие органы также могут подать в суд после инцидента, если они заявят, что HDOS сделали недостаточно для защиты критически важных медицинских данных.
Эти последствия успешной утечки данных представляют реальный риск для HDO в современной среде безопасности Интернета вещей, что продемонстрировала недавняя атака программ-вымогателей на Prospect Medical.
Prospect Medical: реальные последствия кибератаки
Prospect Medical Holdings управляет 16 больницами и более чем 165 клиниками и амбулаторными учреждениями в Калифорнии, Коннектикуте, Пенсильвании и Род-Айленде. 3 августа 2023 года стало известно, что атака программы-вымогателя на сеть Prospect Medical затронула несколько населенных пунктов по всей стране.
Перспективные предприятия в Коннектикуте и Пенсильвании перешли на устаревшие телефонные системы и бумажные записи, поскольку они работали над восстановлением работы в режиме онлайн в течение нескольких недель после атаки. Пострадавшие учреждения также перенесли плановые операции на несколько недель после инцидента.
Согласно CybersecurityDive, ответственность за атаку взяла на себя группа программ-вымогателей как услуга Rhysida. Они предложили данные, украденные у Prospect Medical, за 1,3 миллиона долларов в темной Сети, или 50 биткоинов, и утверждали, что у них есть более 1 терабайта украденных данных и база данных SQL, содержащая 1,3 терабайта данных.
Репутационные издержки этой атаки могут быть существенными. Согласно отчету Forbes, 46% компаний понесли потери репутации в результате кибератак. Для HDO атака, подобная той, с которой столкнулась Prospect Medical, может привести к штрафам от HIPAA или IRS, а также к уменьшению числа пациентов, бронирующих нештатные операции или другие назначения медицинской помощи. Потери репутации трудно поддаются количественной оценке, но могут быть существенными.
Scripps Health в 2021 году подверглась кибератаке, которая привела к потере доходов на 113 миллионов долларов и увеличению расходов несколько месяцев спустя. Трудно сказать, произошло ли это из-за того, что люди решили не обращаться за медицинской помощью в учреждения Scripps, или из-за продолжающихся затрат на восстановление, но реальность такова, что единственный успешный инцидент с вымогателями продолжает влиять на HDO спустя много месяцев после устранения технологических последствий. В случае с Prospect Medical невозможно сказать, какими будут окончательные финансовые и репутационные издержки, до тех пор, пока не пройдет несколько месяцев.
HDOS Не могут позволить себе ничего не делать, когда дело доходит до безопасности Интернета вещей
HDOs находятся на острие финансового ножа. Их доходы упали во время пандемии COVID-19 и только недавно начали улучшаться, и, согласно отчету больницы Беккера, в марте 2023 года операционная маржа впервые более чем за год упала до минимума. Согласно тем же данным, эта крайне низкая операционная рентабельность означает, что 30% всех сельских больниц, около 646 в Соединенных Штатах, в настоящее время находятся под угрозой закрытия. Одна кибератака может вывести из строя одно из этих небольших предприятий.
Учитывая эту тяжелую финансовую ситуацию, в дополнение к прямым негативным финансовым последствиям кибератаки, HDOS необходимо защитить свои критически важные системы, чтобы гарантировать, что они смогут продолжать функционировать. Доходы и операционные риски слишком велики, чтобы эти организации могли их игнорировать. Что еще более важно, многие сельские учреждения здравоохранения являются единственными на многие километры в любом направлении. Препятствование работе одной окружной или сельской больницы оказывает огромное негативное влияние на доступ к медицинскому обслуживанию для целых районов страны.
Ситуацию усложняет тот факт, что количество инцидентов продолжает расти: согласно недавнему исследованию Ponemon Cybersecurity in Healthcare, 89% HDO подвергаются в среднем 43 атакам в течение 12 месяцев. HDO вряд ли могут позволить себе ничего не делать или– точнее, продолжать вести обычный бизнес, когда речь заходит о безопасности Интернета вещей. Не из-за огромного числа субъектов угроз, нацеленных на здравоохранение, и огромного риска негативных последствий для результатов лечения пациентов и их финансовой состоятельности.
К настоящему моменту должно быть ясно, что затраты на успешную кибератаку выходят далеко за рамки чисто денежных. HDOS могут быть оштрафованы за выплату выкупа, им могут грозить штрафы за нарушение конфиденциальности пациентов, а также они могут столкнуться с судебными исками от пациентов, лечение которых было прервано из-за атаки. Очевидно, что существуют серьезные издержки, связанные с растущей волной вредоносных программ, атакующих больницы и HDOS.
HDOS Нужен риск-ориентированный подход
HDOS не могут продолжать занижать расходы на безопасность Интернета вещей. К сожалению, их бюджеты настолько ограничены, когда речь заходит о защите критически важной инфраструктуры, что им часто приходится обходиться меньшим, чем их аналогам в других отраслях. Расходы HDO на технологии совершенно справедливо направлены на улучшение результатов лечения пациентов и улучшение общего ухода. Так что же делать команде кибербезопасности, когда риски взлома продолжают расти, а бюджет – нет?
Ответ заключается в применении риск-ориентированного подхода к безопасности Интернета вещей. Это предполагает устранение наибольшего риска с наименьшими усилиями со стороны членов вашей команды, ориентированных на безопасность. Риск-ориентированный подход включает регулярное сканирование уязвимостей сетевой инфраструктуры для выявления дыр в безопасности Интернета вещей, а также определение приоритетности обнаруженных слабых мест, чтобы гарантировать, что в первую очередь будут решены наиболее опасные проблемы. Многие программы для обеспечения безопасности интернета вещей могут создавать только без учета рисков список работ, которые необходимо выполнить для устранения уязвимостей. При подходе, ориентированном на риск, когда “наиболее рискованные” – это те, которые с наибольшей вероятностью приведут к катастрофическому инциденту, HDOs могут эффективно снизить вероятность успеха субъекта угрозы.
Компания Asimily была основана для того, чтобы отодвинуть индустрию безопасности Интернета вещей от прежних подходов и перейти к подходу, ориентированному на риск. Благодаря ключевым возможностям в области управления запасами подключенных медицинских устройств, а также приоритизации обнаруженных уязвимостей на основе риска, Asimily позволяет командам HDO IoT security применять методологию безопасности Интернета вещей на основе риска, которая сделает их более безопасными в долгосрочной перспективе.
Сегодня на рынке HDOS сталкиваются со значительными препятствиями в области информационной безопасности. Из-за низкой операционной рентабельности, нехватки навыков и ресурсов, а также потока кибератак среднестатистической медицинской организации приходится учитывать множество проблем. Однако не все потеряно, даже несмотря на взрыв устройств IoMT и трудности, связанные с обеспечением более широкого охвата атак.
Комплексный подход к обеспечению безопасности этой инфраструктуры, основанный на учете рисков, позволяет HDOs экономить средства, повышать уровень безопасности и в целом повышать устойчивость инфраструктуры. С Asimily HDOs могут обрести уверенность в том, что их устройства IoMT находятся на учете и защищены от кибератак. Количество подключенных устройств в больницах быстро растет, и у каждого есть свое уникальное средство атаки. Решение Asimily выявляет проблемы и помогает заказчикам устранять риски для обеспечения наилучшей безопасности Интернета вещей для HDOS независимо от размера.