攻撃者は今、医療業界に大きな圧力をかけており、ニュースサイクルを支配し、ランサムウェアやその他のサイバー攻撃を最重要視している。医療業界はサイバー犯罪者にとって魅力的な標的であり、1週間に平均1,463件の攻撃を受けている(2021年と比較して74%増)。過去12年間、医療侵害のコストは他のどの業界よりも高く、2022年には1,010万米ドルに達します。そして、より多くの医療システムがデジタル・テクノロジーやコネクテッド・テクノロジーに移行するにつれて、こうした攻撃はさらに増加するだろう。
なぜ医療システムを叩くのか?
攻撃者が医療に注目する理由はいくつかある。まず、人命が危険にさらされている場合、標的とされた組織は身代金を支払うことで、通常の業務に復帰できる可能性が高くなる。このような環境では、単に業務を中断させるだけでも生命を脅かす可能性がある。
オンタリオ州では、ある病院が電力、水道、重要なIT システムなどのユーティリティの喪失に見舞われた。この事態を「コード・グレイ」と呼び、病院は重要な病院サービスの提供に努めたが、緊急性の低い患者には代替医療を探すよう促した。サイバー攻撃が収まった後も、病院システムは通常業務への復帰に困難を経験するだろう。
その数日前、フロリダ州の医療システムに対する攻撃により、タラハシー・メモリアル・ヘルスケア(TMH)は、IT システムをオフラインにし、緊急時以外の処置を停止した。フロリダ州とジョージア州で急性期病院、精神科病院、38の提携医師診療所、複数の専門医療センターを提供する私立の非営利医療システムにとって、影響は広範囲に及んでいる。
米国サイバーセキュリティ&インフラセキュリティ局(CISA)によると、今年初め、北朝鮮のランサムウェア作戦は資金を恐喝し、北朝鮮政府の国家レベルの優先事項や目的を支援するために使用していた。これらの攻撃は、公衆衛生やその他の重要なインフラ部門を標的としている。CISAは、ハッカーが複数の系統のファイル暗号化マルウェアを使用し、民間開発のロッカーに加え、韓国と米国の医療システムを攻撃していると指摘した。
ランサムウェア攻撃を通じて政府活動に資金を提供する国家行為者に加え、KillNetと呼ばれるハクティビスト集団が、分散型サービス拒否(DDoS)サイバー攻撃で 米国の医療セクターを積極的に 標的にしている、とHealth Sector Cybersecurity Coordination Centerが指摘している。このグループは、ウクライナを支援する国々を標的にし、数時間から数日にわたるサービス停止を引き起こす分散型サービス拒否攻撃を仕掛けている。これらの遅延は、予約の遅延、重要なEHRシステムのダウンタイム、救急車の他の医療システムへの迂回につながる可能性がある。ウクライナでの戦争が長引くにつれ、米国の医療部門はサイバー脅威を防ぐ取り組みにさらに警戒を強めなければならない。
攻撃者はどうやって侵入するのか?
医療システムは、非常に複雑なエコシステムです(IT )。小規模な病院の買収、セキュリティチームの監督なしにプロビジョニングされるクラウドやSaaSアプリケーション、接続された医療機器、数千から数十万のデジタル資産など、すべてが管理するのが困難な攻撃対象領域を作り出しています。さらに、常に存在し、ゼロデイ攻撃に活用される未知の脆弱性が数多く存在するため、パッチの適用されていないシステムは非常に大きなリスクとなります。
保険情報や患者データへのアクセスポイントが非常に多いため、IT 。さらに問題を複雑にしているのは、医師、理学療法士、医師助手、看護師、そして患者自身が、今や何十ものエンドポイントとやりとりしていることである。彼らはパスワードを共有したり、推測されやすいものを使ったりする可能性があり、多要素認証機能を効果的に採用している人はほとんどいないでしょう。危殆化した認証情報と緩い本人確認は、攻撃者に医療システムのネットワーク、アプリケーション、およびデータへの侵入経路を提供する。
攻撃の可能性と影響の軽減
世界はますますつながっており、セキュリティ計画とプロトコルはこの現実に適応する必要がある。医療システムは、攻撃が発生した場合に備えて、十分に定義され、実践された対応計画を配置することで、攻撃に備えることができます。定期的にサイバーセキュリティ演習を実施し、プロトコルが十分に調整され、最新であることを確認することで、セキュリティ・チームは避けられないと思われる攻撃に備えることができます。
予算やスタッフのリソースは限られているかもしれませんが、ゼロトラスト・テクノロジーに追加投資することで、脅威の対象範囲を大幅に縮小することができます。医療業界では、日々のコミュニケーションは電子メールに、ファイルや患者データの共有やアップロードはウェブアプリケーション・ポータルに大きく依存しています。しかし、これらはいずれもランサムウェア、データ盗難、コンプライアンス問題などの大きなリスクをもたらします。データのサニタイゼーション、機密データを除去するプロアクティブなデータ損失防止、複数のマルウェア対策エンジンによるマルチスキャンを活用するゼロトラストの電子メールおよびファイルアップロードソリューションは、すでにマルウェアやゼロデイ攻撃のリスクを大幅に低減するのに役立っています。
このような複雑な環境にゼロトラスト・アクセス制御を導入することで、洗練されていないユーザーでも、システムへのアクセスを許可する前に、組織のセキュリティ・ポリシーに沿ったセキュリティ・チェックをシームレスに実行できるようになります。ゼロトラスト・ネットワーク・アクセスにより、医療機関はクラウド、リモート、オンプレミスのアクセスを保護し、誰がネットワークに接続しているかを即座に可視化し、脆弱性を検出して自動化されたパッチを展開し、必要に応じてエンドポイントのコンプライアンスとアップデートを実施することができる。また、企業データへの不正アクセスを防止することで、機密性の高い患者データを攻撃者から守り、保護するためのHIPAA要件を満たすことができます。
攻撃からの回復
攻撃に対する準備は、組織がサイバー攻撃から迅速に回復するための最も重要な方法である。各医療機関には固有のニーズとリソースがあるため、実行可能でテスト済みのインシデント対応プロセスの作成には、経営幹部、セキュリティおよびIT の専門家、法務チーム、コミュニケーションチームの関与が不可欠である。疑わしい活動を早期に発見し、調査することは、EDRを有効にすることと同様に、重要な第一歩である。外部のインシデント対応チームであれ、社内のリソースであれ、技術的な分析を行ってインシデントの原因を特定し、IR計画を開始し、エンドポイントでバックアップ・ソリューションを有効にすることが不可欠です。継続的な調査のためにフォレンジック・データを収集しながら攻撃者を封じ込めることが重要であり、地方、州、および連邦の法執行機関に通知することも重要である。法務、IT 、コミュニケーション・チームは、規制が遵守されていることを確認し、クリティカル・インシデントが法的および評判に与える潜在的な影響を抑えるために協力しなければならない。
攻撃の範囲は、復旧プロセスと侵害通知要件に影響する。ランサムウェアまたはDDoS攻撃が根絶された後、組織はバックアップからデータを復元し、あらゆるセキュリティギャップに対処しなければなりません。攻撃から学んだ教訓を生かして、医療システムはIR計画を調整し、戦術とセキュリティ・ソリューションを導入することで、将来の攻撃を検出しやすく、迅速に封じ込めることができます。
OPSWAT 。
