Медицинские данные - лакомый кусок
"Лаборатория Касперского" составила ряд прогнозов на 2020 г. относительно киберинцидентов, связанных с медицинскими учреждениями.
По мнению экспертов компании, в даркнете будет появляться все больше объявлений о продаже медицинских данных, в том числе информации из медицинских карт или страховых полисов. Такие данные сейчас иногда стоят даже дороже, чем данные банковских карт, поскольку являются ценным ресурсом для злоумышленников, которые используют их, чтобы входить в доверие к пользователям, обманывать их самих или их родственников. Доступ к данным электронных медицинских карт может быть интересен не только для того, чтобы красть их. Злоумышленники потенциально могут вносить в них изменения, чтобы совершать целевые атаки и намеренно затруднять постановку диагнозов.
Медицинские компании все чаще становятся жертвами программ-шифровальщиков. Такие инциденты становятся возможными потому, что, во-первых, в индустрии здравоохранения недостаточно серьезно воспринимают риски, сопряженные с цифровизацией, а во-вторых, не уделяют должного внимания вопросам обучения сотрудников базовым навыкам кибербезопасности.
В 2019 г. в медицинских организациях по всему миру было атаковано каждое пятое устройство (19%). По прогнозам "Лаборатории Касперского", число подобных атак будет расти, особенно в развивающихся странах, где только начинается процесс цифровизации таких услуг. В частности, будет все больше целевых атак с помощью программ-шифровальщиков, которые приводят к потере доступа к внутренним данным или ресурсам. Это чревато нарушениями в процессе постановки диагноза и даже лишением пациентов помощи, которая требуется немедленно.
Кроме того, увеличится число атак на научно-исследовательские медицинские институты и фармацевтические компании, проводящие инновационные исследования. Так, в 2019 г. атаковано 49% устройств в фармацевтических компаниях. Исследования, проводимые такими организациями, стоят дорого, и результаты их ценятся высоко, поэтому, скорее всего, в 2020 г. они все чаще будут становиться мишенью APT-группировок, специализирующихся на краже интеллектуальной собственности.
Антивирусный эксперт "Лаборатории Касперского" Дмитрий Галов рассказал корреспонденту ComNews, что в России пока наблюдаются единичные целевые атаки на медучреждения. "В частности, летом "Лаборатория Касперского" рассказала про атаки CloudMid на медицинские учреждения на Юге России. Исходя из опыта других стран, скорее всего, в России мы увидим рост интереса к медицинским данным со стороны злоумышленников. Они потенциально могут быть использованы для социальной инженерии", - считает он.
Экспертам пока неизвестно о случаях атак на имплантируемые медицинские устройства, такие как нейростимуляторы, но, поскольку они содержат многочисленные уязвимости, их эксплуатация злоумышленниками - это вопрос времени. Создание централизованных сетей носимых и имплантируемых медицинских устройств может привести к появлению единой точки входа для масштабной атаки одновременно на всех пациентов, использующих такие устройства.
"Мы регулярно исследуем различные медицинские устройства и видим, что их безопасность находится на удручающе низком уровне. В будущем это чревато серьезными рисками как для данных пациентов, так и для самих пациентов. Готовиться к отражению целевых атак медицинским учреждениям нужно уже сейчас и начинать стоит с тренингов по кибербезопасности для врачей и медсестер, которые работают с этими устройствами", - отметил Дмитрий Галов.
Руководитель департамента системных решений Group-IB Антон Фишман рассказал корреспонденту ComNews, что успешная кибератака на медицинские учреждения может привести к весьма печальным последствиям - угрозе жизни и здоровью пациентов, выводу из строя дорогостоящего оборудования, потере чувствительной персональной информации. "Эксперты Group-IB отмечают несколько основных типов киберугроз, направленных на медицинские учреждения, - атаки вирусов-шифровальщиков (вымогателей). О том, насколько разрушительными могут быть последствия использования этого вида кибероружия, мы можем судить по прошлогодним атакам вирусов-шифровальщиков WannaCry, NotPetya, BadRabbit, которые затронули в том числе и медицинские учреждения в Европе и России. Угроза все еще актуальна: в октябре 2019 г. сразу 10 медицинских учреждений - три - в американской Алабаме и еще семь - в Австралии - пострадали от атак вымогателей, из-за чего были вынуждены полностью приостановить работу или отключить некоторые из своих систем, перейдя на "ручное управление". Все три пострадавшие больницы в США были закрыты для приема новых пациентов до тех пор, пока специалисты ликвидируют последствия атак и восстанавливают системы. Австралийские медики пострадали меньше: вымогательские атаки лишили больницы и других поставщиков медицинских услуг доступа к нескольким системам, включая управление финансами, регистрацию пациентов, составление расписаний, бронирование и т. д. Сообщается, что все пострадавшие системы были отключены и изолированы, чтобы предотвратить дальнейшее распространение малвари, а персонал перешел на работу вручную. Атаки шифровальщиков преследуют разные цели: от получения выкупа до диверсии - вывода из строя оборудования. Второй вид атак - утечки. Взлом компьютерных систем медицинского учреждения чреват довольно серьезной угрозой - потерей персональных данных, включая диагноз пациента. В марте 2019 г. в открытом доступе обнаружена медицинская база данных граждан России - пациентов скорой помощи нескольких подмосковных городов. Из нее можно узнать имена, адреса и телефоны, а также состояние здоровья обратившихся к врачам. База находилась практически в открытом доступе на серверах MongoDB (система управления базами данных) и не требовала авторизации или других настроек безопасности. Распространение базы приписывают группе украинских хактивистов THack3forU, как о ни сами о себе заявляют. Опасность в том, что, после утечки и обнародования подобных баз, этими данными могут воспользоваться злоумышленники. Медицинские данные являются наиболее критичным типом персональных данных, тот факт, что в данном случае используется система, в которой все данные открыты и хранятся не в России, показывает, что и ее разработка и приемка не учитывала требования законодательства. В данном случае налицо сразу несколько нарушений российских законов: ФЗ-152 "О персональных данных", приказа ФСТЭК №21, постановления правительства 1119, постановления правительства 687 и методических рекомендаций для медицинских учреждений", - рассказывает Антон Фишман.
"Третий вид киберугроз - хищение денег в системе ДБО (дистанционного банковского обслуживания), - продолжает Антон Фишман. - До 95% всех киберпреступлений, по нашей статистике, финансово мотивированы - преступники хотят украсть деньги или информацию, которую затем могут продать. Компьютеры главного бухгалтера или главного врача, подключенные к системе ДБО, могут быть атакованы банковским трояном - заражение происходит после открытия фишингового письма с вредоносным вложением либо при переходе на сайт, скомпрометированный преступниками. Четвертый - атаки на IоT-устройства: роутеры, видеокамеры могут использоваться для майнинга криптовалют либо, как это происходит в случаях с видеокамерами, для несанкционированной видеозаписи и шантажа. Еще один вид - DDoS-атаки на сайт медучреждения или взлом системы электронной очереди вызовут неразбериху и негативные отклики со стороны пациентов. Ситуация наверняка потребуют внимания, в том числе регуляторов - Минздрава, полиции, ФСБ и т.д. Кроме того, медучреждения могут стать жертвами "транзитных" атак: все чаще целевые атаки проводятся через посредника, то есть преступники сначала скомпрометируют инфраструктуру медучреждения для дальнейшего развития атаки на отраслевое министерство, контролирующие органы и т.д.".