Ataki phishingowe znów zbierają żniwo. W ubiegłym tygodniu firma Nemadji Research Corp., która zajmuje się kwalifikowaniem pacjentów i rozliczaniem usług dla Departamentu Usług Zdrowotnych hrabstwa Los Angeles, odkryła, że padła ofiarą ataku phishingowego. Atak ten pozwolił przestępcom na uzyskanie dostępu do dokumentacji medycznej prawie 15 tysięcy pacjentów.
Jak informuje Nemadji, 28 marca 2019 r. firma zidentyfikowała nietypową aktywność na koncie e-mail jednego z pracowników. W związku z tym zdarzeniem zatrudniono eksperta ds. zabezpieczeń w celu zidentyfikowania systemów i danych, których bezpieczeństwo mogło zostać naruszone. W toku dochodzenia ujawniono, że osoba stojąca za atakiem uzyskała dostęp do konta e-mail pracownika na czas kilku godzin w dniu 28 marca 2019 r. Mimo iż prawie wszystkie informacje dostępne na koncie były zaszyfrowane w momencie zdarzenia, klucze szyfrujące lub podobne informacje były przechowywane w tym samym miejscu.
Jak wykazało dochodzenie, informacje osobiste przechowywane na koncie e-mail różniły się w zależności od pacjenta, ale mogły obejmować imię i nazwisko oraz co najmniej jeden z następujących elementów danych: adres, datę przyjęcia/wypisu, numer wniosku, kategorię opieki, datę urodzenia, numer ubezpieczenia społecznego, kod diagnostyczny, nazwę grupy, numer grupy, informacje o ubezpieczeniu, numer dokumentacji medycznej, inny identyfikator wizyty, numer rachunku pacjenta, numer identyfikacyjny Medicaid, Medicare lub inny oraz imię i nazwisko subskrybenta.
Firma Nemadji zachęca osoby, których może dotyczyć atak, do zachowania czujności pod kątem potencjalnych oszustw i kradzieży tożsamości oraz do sprawdzania wyciągów z kont, historii kredytowej i formularzy świadczeń w poszukiwaniu podejrzanej aktywności. Firma zamieściła pomocne informacje dla pacjentów w tym miejscu.
Myślę, że podobne ataki będą się powtarzać. Niektóre badania pokazują, że ataki na organizacje z sektora opieki zdrowotnej stają się coraz bardziej wyrafinowane, ale mimo to najprostsze ataki phishingowe są nadal skuteczne. Inauguracyjne badanie CAPP Conference Survey przeprowadzone przez dostawcę usług opieki zdrowotnej, firmę CynergisTek, wykazało, że największą przeszkodę w utrzymaniu specjalistów ds. cyberbezpieczeństwa stanowi kultura organizacji – stawiana na wyższym miejscu niż wynagrodzenie i szkolenia. Taki stan rzeczy wskazuje na dużą rozbieżność między tym, co są w stanie osiągnąć firmy w dziedzinie zabezpieczeń, a tym, co powinny sobą reprezentować.
Badanie to zostało przeprowadzone wśród uczestników majowej inauguracyjnej konferencji CAPP Community Conference: Cybersecurity 2019. Głównym tematem konferencji były ważne zagadnienia związane z bezpieczeństwem i prywatnością w służbie zdrowia – takie jak naruszenia bezpieczeństwa danych i związane z nimi zagrożenia, stanowe przepisy ochrony prywatności, kultura prywatności i bezpieczeństwa oraz ochrona urządzeń medycznych.
Mimo iż organizacje z sektora opieki zdrowotnej padają ofiarą najprostszych przypadków naruszeń i ataków oprogramowania ransomware, cechuje je największa świadomość innych typów zagrożeń. Mowa tu o zagrożeniach wynikających z korzystania z Internetu rzeczy (IoT), urządzeń medycznych, zewnętrznych dostawców oraz zarządzania oprogramowaniem i jego rozwoju. Pozyskane dane pozwoliły również zidentyfikować niektóre z przeszkód i rozbieżności – w tym m.in. brak zaangażowania kierownictwa – których usunięcie z organizacji pozwoliłoby rozwiązać istniejące problemy.
Jak wynika z badania, największe obawy wśród respondentów z sektora opieki zdrowotnej budzą m.in. następujące fakty:
• 40% respondentów uważa ryzyko związane z korzystaniem z zewnętrznych firm za najbardziej znaczące.
• Ponad 50% za największe zagrożenie spośród omówionych nowych obszarów (sieci 5G, sztucznej inteligencji, Internetu rzeczy i łańcucha dostaw) uważa Internet rzeczy.
• Prawie jedna trzecia uczestników badania Health Industry Cybersecurity Practices przyznała, że bezpieczeństwo urządzeń medycznych stanowi jedno z pięciu największych zagrożeń w sektorze, przy czym większość z nich przyznała, że nie dysponuje skuteczną strategią oceny takich zagrożeń. 26% respondentów odpowiedziało, że nie dysponuje żadnymi stosownymi procesami.
• Prawie połowa organizacji przyznała, że przeprowadziła ćwiczenie w zakresie reagowania na zdarzenia związane z bezpieczeństwem zaledwie raz lub nie zrobiła tego wcale.
• 54% ankietowanych stwierdziło, że największą barierą w sprostaniu wyzwaniom związanym z ochroną prywatności i bezpieczeństwa był brak odpowiednich zasobów (narzędzi, środków finansowych lub zasobów ludzkich), a tylko w 13% przypadków przeszkodą był brak zaangażowania wyższej kadry kierowniczej. Mimo to, w odpowiedzi na dodatkowe pytanie, 40% respondentów przyznało, że nie wiedzą, czy ich zarządy są mniej, czy bardziej zaangażowane w programy ochrony prywatności i bezpieczeństwa cybernetycznego, niż miało to miejsce wcześniej.
Raport z odrębnego badania Healthcare Cyber Heists in 2019 dostarcza danych pozyskanych od 20 dyrektorów ds. bezpieczeństwa informacji, dotyczących tego, jak wyglądała ewolucja przestępców w ciągu ostatniego roku.
W tym przypadku obyło się bez zaskoczeń: większość ankietowanych uważa, że w ciągu roku doświadczyli wzrostu liczby ataków cybernetycznych oraz byli celem ukierunkowanych ataków ransomware. Co więcej, prawie połowa przyznała, że miała do czynienia z atakami, których głównym celem było zniszczenie danych. Co ciekawe, jedna trzecia (33%) ankietowanych organizacji opieki zdrowotnej stwierdziła, że w ciągu ostatniego roku spotkała się z przypadkami ataków skokowych (ang. island hopping) na ich przedsiębiorstwa oraz zwalczania podejmowanych działań reaktywnych.
W przypadku sektora opieki zdrowotnej stawka jest niezwykle wysoka. W miarę wzrostu kosztów opieki coraz więcej organizacji poszukuje sposobów wprowadzania innowacji technologicznych i doskonalenia obsługi klientów przy jednoczesnym należytym zarządzaniu kosztami. Aby osiągnąć ten cel, branża będzie jednak zmuszona sprostać istniejącym wyzwaniom związanym z bezpieczeństwem cybernetycznym.