ENISA: Hakerzy zmienili strategię. AOS-y na celowniku


Po udanym cyberataku, szpitale potrzebują średnio 40 dni na przywrócenie podstawowej sprawności organizacyjnej.
Po udanym cyberataku, szpitale potrzebują średnio 40 dni na przywrócenie podstawowej sprawności organizacyjnej.

Agencja ds. Cyberbezpieczeństwa Unii Europejskiej (ENISA) przeanalizowała incydenty cybernetyczne w ochronie zdrowia od stycznia 2021 r. do marca 2023 r. Co mówią nowe dane?

Hakerzy kradną dane pacjentów dla chaosu i pieniędzy

Ataki cybernetyczne na ochronę zdrowia stanowią już 53% wszystkich incydentów, z tego aż 42% dotyczy szpitali. Na celowniku hakerów są też organizacje ochrony zdrowia (14%) oraz przemysł farmaceutyczny (9%). Liczby mówią za siebie – pandemia COVID-19 i atak Rosji na Ukrainę doprowadziły do wyraźnego zintensyfikowania ataków na ochronę zdrowia. Coraz częściej stoją za nimi grupy hakerów z Rosji, a celem nie jest już tylko uzyskanie okupu, ale działania destabilizacyjne.

Liczba ataków na poszczególne rodzaje organizacji ochrony zdrowia pośród wszystkich 215 ataków zarejestrowanych w okresie od stycznia 2021 r. do marca 2023 r. (źródło: ENISA Threat Landscape: Health Sector, 2023)
Liczba ataków na poszczególne rodzaje organizacji ochrony zdrowia pośród wszystkich 215 ataków zarejestrowanych w okresie od stycznia 2021 r. do marca 2023 r. (źródło: ENISA Threat Landscape: Health Sector, 2023)

Ransomware pozostaje głównym narzędziem ataków w sektorze zdrowia, odpowiadając za 54% wszystkich cyberataków. Co trzeci atak wymierzony jest w dane pacjentów.

80% ankietowanych organizacji opieki zdrowotnej zadeklarowało, że ponad 61% incydentów związanych jest z lukami w zabezpieczeniach sprzętu i programów (nieaktualne systemy, brak zabezpieczeń technicznych).

43% wszystkich incydentów to naruszenia lub kradzież danych, 22% miało na celu zakłócenie usług opieki zdrowotnej. Ofiarami hakerów najczęściej padają szpitale (89 ataków z wszystkich zarejestrowanych 215 w okresie od stycznia 2021 r. do marca 2023 r.), organizacje ochrony zdrowia (30), przemysł farmaceutyczny (18). Ataków na placówki podstawowej opieki zdrowotnej zanotowano w tym okresie 9. Jeśli jednak wziąć pod uwagę trzy największe zagrożenia – czyli ataki AlphV, LockBit i Vice Society – wówczas różnica między szpitalami i przychodniami maleje (stosunek 6:4).

Kto najczęściej stoi za atakiem cybernetycznym?
Kto najczęściej stoi za atakiem cybernetycznym?

Katastrofalne konsekwencje cyberataków

Badanie ENISA NIS Investment 2022 sugeruje, że mediana kosztów poważnego incydentu związanego z bezpieczeństwem w sektorze opieki zdrowotnej wynosi 300 000 euro. Cyberataki prowadzą dodatkowo do sankcji i kar nakładanych przez organizacje rządowe (w Polsce to Urząd Ochrony Danych Osobowych) oraz uszczerbku na reputacji.

Jednak najgroźniejszym skutkiem ubocznym są zagrożenia dla bezpieczeństwa pacjentów: opóźnienia w leczeniu, brak dostępu do krytycznych danych, konieczność przekładania planowanych operacji itd. Cyberataki to ogromny stres dla personelu medycznego i administracyjnego.

Co jest celem ataków cybernetycznych w ochronie zdrowia?
Co jest celem ataków cybernetycznych w ochronie zdrowia?

Kiedy już dojdzie do skutecznego ataku hakerów, szpitale potrzebują średnio 40 dni na przywrócenie podstawowej sprawności organizacyjnej. Poradzenie sobie z wszystkimi skutkami trwa kilka miesięcy, a nawet ponad rok.

Pobierz raport "Cyberbezpieczeństwo w ochronie zdrowia"

Niski poziom cyber-ochrony w placówkach zdrowia

Niestety, placówki zdrowia są nadal bardzo słabo chronione – jedynie 27% ankietowanych organizacji w sektorze opieki zdrowotnej ma dedykowany program obrony przed ransomware. 40% wszystkich organizacji nie ma programu podnoszenia umiejętności pracowników z zakresu cyberbezpieczeństwa.

Z kolei z ankiety przeprowadzonej przez grupę współpracy NIS wynika, że 95% ankietowanych organizacji ochrony zdrowia ma kłopot z przeprowadzeniem oceny ryzyka. Wykonała ją niecała połowa wszystkich placówek zdrowia.

Skutki ataków cybernetycznych
Skutki ataków cybernetycznych

Raport ENISA uświadamia, że podmioty opieki zdrowotnej muszą podnieść poziom higieny cybernetycznej. Wśród rekomendowanych działań są m.in.:

  • szyfrowane kopie zapasowe krytycznych danych,
  • podnoszenie świadomości wśród pracowników ochrony zdrowia w ramach programów szkoleń,
  • bieżące łatanie luk w zabezpieczeniach technicznych (aktualizacja systemów);
  • silne metody uwierzytelniania, w tym m.in. uwierzytelnianie dwuskładnikowe,
  • plany reagowania na incydenty cybernetyczne,
  • większe zaangażowanie kierownictwa wyższego szczebla w tworzenie i nadzór nad realizacją strategii cyberbezpieczeństwa (zwłaszcza odkąd dyrektywa NIS2 wprowadza odpowiedzialność kierownictwa najwyższego szczebla).

ENISA prognozuje, że w następnych latach rosnąć będzie liczba ataków na dane gromadzone przez cyfrowe urządzenia medyczne i urządzenia ubieralne (np. smartwatche), co stanowi dodatkowe zagrożenie dla bezpieczeństwa pacjentów.