מלחמת אבטחת הסייבר הגוברת בענף הבריאות

מְחַבֵּר: Lewis Jackson
תאריך הבריאה: 12 מאי 2021
תאריך עדכון: 23 יוני 2024
Anonim
Webinar | Cybersecurity Threats & Challenges in Healthcare Industry
וִידֵאוֹ: Webinar | Cybersecurity Threats & Challenges in Healthcare Industry

תוֹכֶן


מקור: Scanrail / Dreamstime.com

להסיר:

ענף הבריאות צריך להגדיל ולהרחיב את אמצעי האבטחה שלהם בכדי לעמוד באיומים ההולכים וגדלים.

כאשר אנו מסתכלים אחורה על שנת 2016 מנקודת מבט של אבטחת סייבר, אנו מוצאים שני מגמות מוגדרות:

  • התפשטות של תוכנות כופר פטריות עד שהפכה לתעשייה של מיליארד דולר
  • המיקוד הספציפי של ארגונים בתחום הבריאות על ידי האקרים להשגת מידע על בריאות המטופלים לצורך רווחיות

התקפות Ransomware על ארגוני בריאות

דוגמה מוחלטת לשני המגמות התרחשה בפברואר 2016, במתקפת הכישורים הרבים המתוקשרים על המרכז הרפואי הפרסביטריאני בהוליווד בדרום קליפורניה. ההתקפה יצאה בסגנון הקלאסי הרגיל, לחיצה על קישור במוטבע על ידי עובד בית חולים. הפעולה הפשוטה הזו אפשרה לתוכנה הזדונית לחדור לרשת ולהתחיל בתהליך ההצפנה שלה לאורך מספר ממגורות נתונים. זמן קצר לאחר מכן, צוותי ה- IT נאלצו לכבות את הרשת ואנשי צוות בית החולים הוגבלו לשימוש בעט ונייר לצורך ניהול רישום רפואי בסיסי. מאות חולים הוסטו לבתי חולים אחרים הסמוכים ורוב ההליכים הרפואיים בוטלו. חלק ממחלקות השירות הרפואי בבית החולים הושבתו לחלוטין. לאחר שהביעו את טענתם, ואחרי משא ומתן רב, נענו מנהלי בתי החולים ושילמו כופר של 17 אלף דולר.


אף על פי שאירוע זה גנב כותרות רבות, מדובר בהתרחשות אחת בלבד במגמה הולכת וגוברת. במהלך אותו חודש נפגעו בתי חולים מהנדרסון, קנטאקי ועד ניוס, גרמניה בהתקפות דומות. דפוס התקפות זה נמשך בשאר ימות השנה. במהלך הרבעון האחרון של 2016 דיווח המרכז הרפואי של קק מ- USC על התקפות של כישורי כופר בשניים מבתי החולים שלהם כמו גם בשישה אתרים נפרדים של מרכז עמוד השדרה של ניו ג'רזי.

ההערכה היא כי 88 אחוז מההתקפות של תוכנות כופר במהלך הרבעון השני של 2016 הופנו לארגוני שירותי בריאות. האיום הוא כה נוגע לכך שג'וסלין סמואלס, מנהל משרד HHS לזכויות האזרח, אמר:

"אחד האיומים הנוכחיים הגדולים ביותר על פרטיות מידע הבריאות הוא הפשרה הרצינית ביושרה ובזמינות של נתונים הנגרמים כתוצאה מהתקפות סייבר זדוניות במערכות מידע אלקטרוניות בנושא בריאות, למשל באמצעות תוכנות רנסומ."

למרבה המזל, הנזק שנגרם ברוב התקפות הכלי הקשה הללו מוגבל לשבתה זמנית בלבד ולדימוי ציבורי מוכתם. למרבה הצער, יש חששות גדולים יותר שתעשיית הבריאות צריכה לדאוג להם.

האקר DarkOverLord

במהלך קיץ 2016, המידע הבריאותי האישי של יותר מ- 655,000 איש נפגע בשלישיית התקפות של האקר שפועל תחת השם "The DarkOverLord", מומחה לשעבר של תוכנות רנסומיות, שבחר כעת לרדוף אחר ההישגים הגבוהים משחק של גניבת רשומות מידע מוגן על בריאות או PHI. ההאקר ניגש לשלוש החברות באמצעות ספק SaaS אליו נרשמו. הגדול מבין השלושה התקפות הוטל נגד מרפאה גדולה באטלנטה, ג'ורג'יה, שהביאה להחרמת 397,000 רישומי חולים, כולל ביטוח בריאות ראשוני ומשני ומספרי פוליסות. הפרה שנייה הביאה לרכישת 210,000 רשומות שכללו מספרי ביטוח לאומי. הפרות אלה התגלו כאשר ה- DarkOverLord יצר קשר עם שלושת הארגונים כדי להתריע בפנין על הפרות, תוך הצגת צילומי מסך המציגות דגימות נתונים שהוצבו באתר בשם RealDealMarket. אתר חסר מצפון זה נמצא באינטרנט האפל והוא פורטל נפוץ המשמש את פושעי הסייבר למכירת, רכישה והחלפה של הכל כולל כרטיסי אשראי גנובים, רישומי בריאות מטופלים ואפילו סמים. ה- DarkOverLord איים על שלושת הארגונים בכוונה למכור את הנתונים הגנובים לכל המרבה במחיר, אלא אם כן שילמו כל אחד $ 1 לכל רשומה גנובה בתשלום. נכון לעכשיו לא נערך עדכון רשמי בשאלה האם החברות שילמו את דמי הסחיטה.


ההתקפות על חברות הבריאות הולכות וגדלות

התקפות אלה הן אך ורק ייצוג קטן של הפרצות הרבות שהתרחשו במהלך השנים האחרונות בתעשיית הבריאות. למעשה, 80 אחוז מבכירי התעשייה שנסקרו על ידי KPMG אמרו כי טכנולוגיית המידע שלהם נפגעה בשנת 2015. כדוגמה למספר ההולך וגובר של ההתקפות הממוקדות, מעריכים ארגון המחקר הביטחוני Ponemon מכון כי התקפות פליליות על מערכות מידע בתחום הבריאות עלו ב 125 אחוז. בין 2010 ל 2015. למעשה, חמש מתוך שמונה הפרצות הבריאות הגדולות ביותר מאז 2010 התרחשו בשנת 2015 בלבד, בהן היו מעורבות למעלה ממאה מיליון רישומי בריאות. על בסיס ענף כלכלי, עלות ההתקפות הללו גבוהה כמו 6.2 מיליארד דולר בשנה.

מחקר שנערך על ידי IBM X-Force מדגים מגמה מטרידה זו בממצאיהם על ידי ההשוואה הבאה:

אין באגים, אין מתח - המדריך השלב אחר צעד שלך ליצירת תוכנה לשינוי חיים מבלי להרוס את חייך

אתה לא יכול לשפר את כישורי התכנות שלך כאשר לאף אחד לא אכפת מאיכות התוכנה.

חמשת התעשיות המובילות בשנת 2015 להתקפות רשת:

  1. בריאות
  2. ייצור
  3. שירותים פיננסיים
  4. ממשלה
  5. הובלות

חמשת התעשיות המובילות בשנת 2014 להתקפות רשת:

  1. שירותים פיננסיים
  2. מידע / תקשורת
  3. ייצור
  4. קמעונאות
  5. אנרגיה / שירותים

ואם כל זה לא הספיק, מחקר שנערך על ידי איגוד יועצי התאגידים מראה כי 97 אחוז מעורכי הדין בתחום הבריאות של החברה מאמינים כי הארגונים שלהם נמצאים בסיכון גדול יותר להתקפות סייבר מאשר תעשיות אחרות. חלק מהממצאים האחרים מהסקר כוללים:

  • 70 אחוז מהנסקרים עובדים כדי לפתח מומחיות בנושא אבטחת מידע בכדי למלא את הצורך הזה.
  • 84 אחוזים אומרים כי הם נקראו להעריך אם אירוע ביטחוני משפיע על חובות הדיווח. רובם התבקשו אז לפתח מדיניות ונהלים פנימיים רלוונטיים.
  • שליש אמר כי התוכניות של הארגונים שלהם לא היו מעודכנות להתמודדות עם סוגים שונים של סכנות סייבר או שינויים ארגוניים.
  • 40 אחוזים דיווחו כי לארגונים או ללקוחות שלהם יש תוכניות גנריות מדי וחסרות הנחיות ובדיקות ספציפיות.

הסיבות לכך שתעשיית הבריאות מכוונת

אין זה מפתיע שהאקרים הבינו את הפוטנציאל הרווחי של ענף הבריאות. למידע אישי יש שווי דולר גבוה בשוק השחור. בדוח אחר של מכון InfoSec, מספרי תעודות הזהות של Medicare השיגו מחיר גבוה בהרבה בשוק השחור והרשת האפלה מאשר מספרי ביטוח לאומי בשנת 2015. פגיעה אדירה ברישומי הבריאות האלקטרוניים היא שבניגוד לכרטיסי אשראי, נתונים רפואיים לא יכולים פשוט בוטל והוצא מחדש. זה עשוי להסביר מדוע רישומי בריאות המטופלים גוזרים פי עשרה יותר ממספרי כרטיסי אשראי.

יתר על כן, בתי חולים ומרפאות פרוצדורות דורשים זמינות נתונים וזמן פעולה ברשת של 100 אחוזים. למרבה הצער, ארגוני בריאות רבים חסרים מומחי אבטחת סייבר מנוסים בצוות. מאתגר עוד יותר הוא שמשרד הבריאות הטיפוסי משתמש בכל כך הרבה סוגים של מכשירי מחשוב לא מנוהלים.

למרות שמנהלי התעשייה, היועצים המשפטיים, אפילו הקונגרס האמריקני וממשלות אחרות מכירים כעת ברצינות הבעיה, יש צורך בעבודה רבה בכדי להילחם במספר האקספוננציאלי של התקפות אלה. יש לקוות, שנת 2017 מתגלה כשנה טובה יותר לאבטחת IT.