Ransomware i napadi na OT postaju sve ozbiljnija pretnja zdravstvu

Objavljeno: 04/10/2022   By:exclusive-networks

Ransomware napadi najveća su pretnja svakoj organizaciji i nijedan sektor nije pošteđen. Pri vrhu posebno ugroženih sektora poslednjih se nekoliko godina nalazi zdravstvo. Osim pandemije Covid-19, zdravstveni sektor dodatno su opteretili zahtevi za modernizacijom i digitalnom transformacijom. Iako nužna za unapređenje zdravstvene nege, modernizacija dovodi i do povećane ranjivosti sistema (npr., EHR, PACS, telemedicina, BYOD, cloud…) i povećava sigurnosne izazove. 

Broj zabeleženihransomware napada koji pogađaju zdravstvo neprestano raste. Jedan od razloga je taj što se radi o sektoru u kojem pružoci usluga raspolažu mnoštvom vrlo osetljivih podataka. Ti isti podaci zbog prirode posla moraju biti lako dostupni svom medicinskom osoblju, neovisno o lokaciji. Također, radi o se o sektoru koji se uveliko oslanja na OT (Operational Technology) infrastrukturu koja postaje sve ranjivija. 

Iza ransomware napada uglavnom stoje privatne hakerske grupe, pri čemu su neke od njih sponzorisane su od strane vladinih organa ili organizacija. Jedan od primera je Conti ransomware za koji se veruje da je povezan s ruskim obaveštajnim službama, a koji, između ostalog, stoji iza 16 napada na zdravstvene ustanove u SAD-u i napada na irski HSE (Irski zdravstveni sistem). Ovakve grupe jako su motivisane i imaju razrađeni poslovni model koji im omogućava značajne prihode i korist. Ransomware napadi postaju toliko česti da neke ankete pokazuju kako već utiču na zdravstvenu negu, pa čak i smrtne ishode. 

Napadi na OT infrastrukturu 

Osim ransomware-a, zdravstvene ustanove u poslednje vreme beleže sve veći broj napada na OT infrastrukturu. OT (Operational Technology) infrastruktura odnosi se na hardver i softver koji pokreću i nadziru fizičku opremu. Iako se OT tradicionalno povezuje s proizvodnim pogonima, primenu OT infrastrukture danas pronalazimo na svakom koraku – od sektora energetike, preko industrije nafte i plina do farmaceutske industrije. 

OT infrastruktura dugi niz godina nije bila povezana s internetom, odnosno IT tehnologijom. Upravljanju se pristupalo izolovano. To se promenilo tokom poslednjih nekoliko godina, kada je zbog digitalne transformacije došlo do snažne integracije OT uređaja s internetom ili lokalnom mrežom. 

Klasični ransomware napad deluje na principu sticanja pristupa mreži organizacije, blokiranja sistema ili podataka i traženja otkupnine. Kod napada na OT, posledice mogu biti znatno ozbiljnije. 

Gartner predviđa da će cyber napadači do 2025. u potpunosti razviti tehnike napada na OT putem kojih će moći ozbiljno povrediti ili čak ubijati ljude. To znači da sve organizacije, neovisno o području rada, moraju početi ulagati u rešenja koja će smanjiti i sprečiti takve rizike. 

Specifičnosti zdravstva 

Napadi na OT infrastrukturu u pravilu dovode do gubitka kontrole, latencija i prekida. U kontekstu zdravstva, takvi napadi mogu delimično ili u potpunosti onemogućiti negu o pacijentima. Mogu povećati dužinu boravka pacijenata u bolnicama, onemogućiti izvođenje operacija ili opteretiti bolničke resurse. U najgorem scenariju, ishodi mogu biti smrtonosni. 

Zdravstveni sektor karakterizira snažno korišćenje legacy sistema koji koriste zastareli softver i koji su vezani na kritične dijagnostičke i druge uređaje. Zastareli, legacy operacijski sistemi poput Windows 7 ili XP podrazumevaju da na njih nije moguće instalirati klasičnu antimalware zaštitu, a još manje modernu XDR zaštitu. To znači da organizacija nema uvide u sigurnosne događaje na kritičnim uređajima, a koji bi mogli upućivati na napad. 

Napadi na OT infrastrukturu u pravilu dovode do gubitka kontrole, latencija i prekida. U kontekstu zdravstva, takvi napadi mogu delimično ili u potpunosti onemogućiti negu o pacijentima. Mogu povećati dužinu boravka pacijenata u bolnicama, onemogućiti izvođenje operacija ili opteretiti bolničke resurse. U najgorem scenariju, ishodi mogu biti smrtonosni. 

Rešenja? 

Trend Micro svojim antimalware i XDR rešenjima (Vision One, Cloud One, Apex One) adresira probleme sigurnosnih ranjivosti, malwarea i neautoriziranih promena na fizičkim i virtualnim serverima, kao i radnim stanicama – nudeći kompletnu zaštitu za moderno IT okruženje. No, što je sa sistemima koji ne mogu “podneti” instalaciju XDR ili antimalware agenta, upravo kao što je tipično u OT okruženju? 

Trend Micro je razvio TXOne, niz sigurnosnih rešenja namijenjenih zaštiti ICS/OT sistema. U razvoju proizvoda učestvovali su stručnjaci iz Trend Micra te vodeći stručnjaci zaduženi za upravljanje kritičnom infrastrukturom organizacija. TXOne danas spada u paletu proizvoda TXOne Networks, sestrinske kompanije Trend Micra. 

Dostupnost OT infrastrukture je ključna. U kontekstu zdravstva, to znači da lekari i drugo medicinsko osoblje u svakom trenutku moraju imati pristup podacima, a procesi (npr., operativni zahvati) ne smeju biti ometani ili prekidani. Dodatno, to znači da implementirana sigurnosna rešenja ne smeju podsticati downtime, uticati na funkcije uređaja ili na bilo koji drugi način ometati kvalitetu usluge. 

OT okruženje, što je posebno izraženo u zdravstvu, ima manju razinu tolerancije na latenciju ili smanjenu vidljivost. I konačno, implementirani sigurnosni softver mora zauzimati najmanju moguću količinu sistemskih resursa uređaja. Rešenje ujedno mora biti kompatibilno s nasleđenim, legacy sistemima. 

Kao adaptivno rešenje koje se može primeniti u različitim OT okruženjima, Trend Micro je u razvoju TXOne palete proizvoda ispunio sve ranije navedene zahteve. Prevencija, detekcija i otpornost su ključn tačke odbrambene strategije TXOne rešenja. 

Paleta proizvoda može se podeliti na one koji štite na nivou mreže i one na nivou endpointa: 

Rešenja za  zaštitu endpoint uređaja (TXOne StellarEnforce i TXOne StellarProtect) 

Fokus je na legacy sistemima poput Windows 2000 ili Windows 7, gde ova rešenja nude zaključavanje uređaja (StellarEnforce) ili antimalware zaštitu (StellarProtect) uz minimalni uticaj na performanse. Osim toga, TXOne nudi Trend Micro Portable Security – USB uređaj koji omogućava on-demand ili scheduled proveru, bez instalacije dodatnog agenta na sam OT uređaj. 

Rešenja za inspekciju OT okruženja na nivou mreže (EdgeIPS, EdgeIPS Pro, Edge IPS Pro 216 i EdgeFire) 

Daju vidljivost na mreži i “virtualno” krpljenje, odnosno blokiranje prometa povezanog s iskorišćavanjem sigurnosnih rupa. Rešenje koristi informacije koje proizvodi The Zero Day Initiative (ZDI), organizacija koja je odgovorna za najveći broj otkrivenih zero-day propusta. 

Pročitajte više o TXOne i Trend Micro sigurnosnim rešenjima za zdravstvo.