Ransomware i napadi na OT postaju sve ozbiljnija prijetnja zdravstvu

Ransomware napadi najveća su prijetnja svakoj organizaciji i nijedan sektor nije pošteđen. Pri vrhu posebno ugroženih sektora posljednjih se nekoliko godina nalazi zdravstvo. Osim pandemije Covid-19, zdravstveni sektor dodatno su opteretili zahtjevi za modernizacijom i digitalnom transformacijom. Iako nužna za unaprjeđenje zdravstvene skrbi, modernizacija dovodi i do povećane ranjivosti sistema (npr., EHR, PACS, telemedicina, BYOD, cloud…) i povećava sigurnosne izazove.

Broj zabilježenih ransomware napada koji pogađaju zdravstvo neprestano raste. Jedan od razloga je taj što se radi o sektoru u kojem pružatelji usluga raspolažu mnoštvom vrlo osjetljivih podataka. Ti isti podaci zbog prirode posla moraju biti lako dostupni svom medicinskom osoblju, neovisno o lokaciji. Također, radi o se o sektoru koji se uvelike oslanja na OT (Operational Technology) infrastrukturu koja postaje sve ranjivija.

Iza ransomware napada uglavnom stoje privatne hakerske grupe, pri čemu su neke od njih sponzorirane su od strane vladinih tijela ili organizacija. Jedan od primjera je Conti ransomware za koji se vjeruje da je povezan s ruskim obavještajnim službama, a koji, između ostalog, stoji iza 16 napada na zdravstvene ustanove u SAD-u i napada na irski HSE (Irski zdravstveni sustav). Ovakve skupine jako su motivirane i imaju razrađeni poslovni model koji im omogućava značajne prihode i korist. Ransomware napadi postaju toliko česti da neke ankete pokazuju kako već utječu na zdravstvenu skrb, pa čak i smrtne ishode.

Napadi na OT infrastrukturu

Osim ransomware-a, zdravstvene ustanove u posljednje vrijeme bilježe sve veći broj napada na OT infrastrukturu. OT (Operational Technology) infrastruktura odnosi se na hardver i softver koji pokreću i nadziru fizičku opremu. Iako se OT tradicionalno povezuje s proizvodnim pogonima, primjenu OT infrastrukture danas pronalazimo na svakom koraku – od sektora energetike, preko industrije nafte i plina do farmaceutske industrije.

OT infrastruktura dugi niz godina nije bila povezana s internetom, odnosno IT tehnologijom. Upravljanju se pristupalo izolirano. To se promijenilo tijekom posljednjih nekoliko godina, kada je zbog digitalne transformacije došlo do snažne integracije OT uređaja s internetom ili lokalnom mrežom.

Klasični ransomware napad djeluje na principu stjecanja pristupa mreži organizacije, blokiranja sistema ili podataka i traženja otkupnine. Kod napada na OT, posljedice mogu biti znatno ozbiljnije.

Gartner predviđa da će cyber napadači do 2025. u potpunosti razviti tehnike napada na OT putem kojih će moći ozbiljno ozljeđivati ili čak ubijati ljude. To znači da sve organizacije, neovisno o području rada, moraju početi ulagati u rješenja koja će smanjiti i prevenirati takve rizike.

Specifičnosti zdravstva

Napadi na OT infrastrukturu u pravilu dovode do gubitka kontrole, latencija i prekida. U kontekstu zdravstva, takvi napadi mogu djelomično ili u potpunosti onemogućiti skrb o pacijentima. Mogu povećati duljinu boravka pacijenata u bolnicama, onemogućiti izvođenje operacija ili opteretiti bolničke resurse. U najgorem scenariju, ishodi mogu biti smrtonosni.

Zdravstveni sektor karakterizira snažno korištenje legacy sistema koji koriste zastarjeli softver i koji su vezani na kritične dijagnostičke i druge uređaje. Zastarjeli, legacy operacijski sistemi poput Windows 7 ili XP podrazumijevaju da na njih nije moguće instalirati klasičnu antimalware zaštitu, a još manje modernu XDR zaštitu. To znači da organizacija nema uvide u sigurnosne događaje na kritičnim uređajima, a koji bi mogli upućivati na napad.

Napadi na OT infrastrukturu u pravilu dovode do gubitka kontrole, latencija i prekida. U kontekstu zdravstva, takvi napadi mogu djelomično ili u potpunosti onemogućiti skrb o pacijentima. Mogu povećati duljinu boravka pacijenata u bolnicama, onemogućiti izvođenje operacija ili opteretiti bolničke resurse. U najgorem scenariju, ishodi mogu biti smrtonosni.

Rješenja?

Trend Micro svojim antimalware i XDR rješenjima (Vision One, Cloud One, Apex One) adresira probleme sigurnosnih ranjivosti, malwarea i neautoriziranih promjena na fizičkim i virtualnim serverima, kao i radnim stanicama – nudeći kompletnu zaštitu za moderno IT okruženje. No, što je sa sistemima koji ne mogu “podnijeti” instalaciju XDR ili antimalware agenta, upravo kao što je tipično u OT okruženju?

Trend Micro je razvio TXOne, niz sigurnosnih rješenja namijenjenih zaštiti ICS/OT sistema. U razvoju proizvoda sudjelovali su stručnjaci iz Trend Micra te vodeći stručnjaci zaduženi za upravljanje kritičnom infrastrukturom organizacija. TXOne danas spada u paletu proizvoda TXOne Networks, sestrinske kompanije Trend Micra.

Dostupnost OT infrastrukture je ključna. U kontekstu zdravstva, to znači da liječnici i drugo medicinsko osoblje u svakom trenutku moraju imati pristup podacima, a procesi (npr., operativni zahvati) ne smiju biti ometani ili prekidani. Dodatno, to znači da implementirana sigurnosna rješenja ne smiju poticati downtime, utjecati na funkcije uređaja ili na bilo koji drugi način ometati kvalitetu usluge.

OT okruženje, što je posebno izraženo u zdravstvu, ima manju razinu tolerancije na latenciju ili smanjenu vidljivost. I konačno, implementirani sigurnosni softver mora zauzimati najmanju moguću količinu sistemskih resursa uređaja. Rješenje ujedno mora biti kompatibilno s naslijeđenim, legacy sistemima.

Kao adaptivno rješenje koje se može primijeniti u različitim OT okruženjima, Trend Micro je u razvoju TXOne palete proizvoda ispunio sve ranije navedene zahtjeve. Prevencija, detekcija i otpornost ključne su točke obrambene strategije TXOne rješenja.

Paleta proizvoda može se podijeliti na one koji štite na razini mreže i one na razini endpointa:

Rješenja za  zaštitu endpoint uređaja (TXOne StellarEnforce i TXOne StellarProtect)

Fokus je na legacy sistemima poput Windows 2000 ili Windows 7, gdje ova rješenja nude zaključavanje uređaja (StellarEnforce) ili antimalware zaštitu (StellarProtect) uz minimalni utjecaj na performanse. Osim toga, TXOne nudi Trend Micro Portable Security – USB uređaj koji omogućava on-demand ili scheduled provjeru, bez instalacije dodatnog agenta na sam OT uređaj.

Rješenja za inspekciju OT okruženja na razini mreže (EdgeIPS, EdgeIPS Pro, Edge IPS Pro 216 i EdgeFire)

Daju vidljivost na mreži i “virtualno” krpanje, odnosno blokiranje prometa povezanog s iskorištavanjem sigurnosnih rupa. Rješenje koristi informacije koje proizvodi The Zero Day Initiative (ZDI), organizacija koja je odgovorna za najveći broj otkrivenih zero-day propusta.

Pročitajte više o TXOne i Trend Micro sigurnosnim rješenjima za zdravstvo.