醫療保健和公共衛生部門頻繁的勒索軟件攻擊加劇了對該行業OT/IoT環境的安全擔憂 - 網安

醫療保健和公共衛生部門的組織正面臨越來越多的勒索軟件攻擊，事實也表明醫院網絡容易受到攻擊。隨著威脅行為者潛伏在OT/IoT環境中，他們已經變得更有能力大規模執行重大攻擊，同時還利用了勒索軟件即服務 (RaaS) 模式的日益成功。醫療機構中仍有大量其他類型的OT/IoT設備沒有受到同樣的關注，例如樓宇自動化設備、打印機、VoIP電話和網絡設備。雖然這些設備沒有與患者連接，也不經常處理患者數據，但它們可以用作進入易受攻擊的網絡或橫向移動的初始突破點。有案例顯示，醫用物聯網設備，樓宇自動化系統，已成為威脅行為者、勒索軟件攻擊者的攻擊向量。

醫療保健和公共衛生部門仍然是網絡犯罪分子和勒索軟件威脅團體的主要攻擊目標。然而，黑客正在將注意力轉移到真正缺乏網絡防御能力的小型機構或實體上，這表明受害者和方法發生了巨大變化。此外，政府法規的變化、醫療設備和移動技術連接的巨大革命，以及護理提供和消費方式的轉變，共同形成了一場復雜性和脆弱性的完美風暴，成為網絡對手的目標。

去年受到勒索軟件攻擊的醫療保健組織中有94%表示，最嚴重的攻擊影響了他們的運營能力。此外，90%的私營醫療機構表示，勒索攻擊導致他們失去業務或收入。在去年遭受攻擊的醫療保健組織中，大約44%需要一周時間才能從最嚴重的攻擊中恢復，而 25%需要一個月時間。

8月初，勒索軟件黑客攻擊了英國國家衛生系統(NHS)和其他醫療保健客戶的軟件提供商Advanced。這次襲擊導致NHS服務中斷，包括救護車調度、預約預約、患者轉診和緊急處方。7月，美國安全機構發布了聯合網絡安全咨詢警告，稱朝鮮國家資助的網絡黑客至少從2021年5月開始使用Maui 勒索軟件攻擊醫療保健和公共衛生部門。

2021年5月，愛爾蘭的衛生服務執行官 (HSE)成為Conti勒索軟件的目標。“零號病人”工作站的首次感染發生在 2021年3月18日，起因是當時一名使用Windows計算機的員工在兩天前發送的網絡釣魚電子郵件中打開了一個帶有陷阱的Microsoft Excel文檔。

Industrial Cyber采訪了醫療保健部門的專家，以評估勒索軟件攻擊對醫療保健和公共衛生部門的OT/IoT環境的影響方式。

健康信息共享與分析中心( H-ISAC）總裁兼首席執行官Denise Anderson，表示，在COVID-19大流行期間，制藥商依賴包裝疫苗和治療藥物的組織遭受了勒索軟件攻擊，導致運營停止并影響了包裝供應，并最終影響了疫苗和治療藥物的分銷。

Forescout的Vedere Labs安全研究負責人Daniel dos Santos則表示，勒索軟件團伙仍然主要以醫療環境中的數據為目標，主要有兩個目的：竊取敏感信息，然后索取贖金，以不公開發布數據為要挾；但醫療保健組織擁有各種各樣的OT和IoT設備，包括HVAC和監控攝像頭等樓宇自動化功能，以及受到攻擊影響的醫療設備。

根據Daniel dos Santos的說法，許多勒索軟件攻擊已經蔓延到醫療設備，使其無法使用，例如2017年的WannaCry 、2019年對阿拉巴馬州一家醫院的攻擊影響胎兒監護儀，以及自2020年以來在美國和愛爾蘭發生的幾起涉及輻射設備的攻擊.。Santos補充說，據報道，樓宇自動化設備已成為醫院的初始訪問目標，并在其他組織中使訪問控制系統脫機，因此也有可能針對醫療保健設施中的樓宇自動化進行勒索軟件攻擊。

Claroty席運營官(COO)喬納森·蘭格 (Jonathan Langer)告訴Industrial Cyber，勒索軟件對臨床環境構成了嚴重威脅。這對醫療保健的影響遠遠超出了典型的IT設備，在典型的IT設備中，醫療設備的行為、報告，有時設備本身可能會被改變，變得不可操作，或更糟的是，以不穩定的方式工作。在某些情況下，勒索軟件可能會影響系統管理員、監測站或轉換流量的網關。

Langer說，在某些情況下，勒索軟件可能會通過損壞或感染設備本身來影響設備。至關重要的是，醫療保健和公共衛生部門組織必須建立健全且受到適當保護的臨床環境，這些環境與物理清潔和隔離一樣具有網絡安全屬性。

Forescout在最近的一篇文章中說，未來，Vedere Labs認為，由于物聯網設備不安全，因此影響可能會發生，因為物聯網作為切入點與勒索軟件團伙越來越相關。隨著這成為現實，有必要研究醫療保健和公共衛生部門的OT/IoT環境在勒索軟件和網絡安全威脅和攻擊不斷增加后可以采取的各種舉措，以加強其網絡安全態勢。

令人欣慰的是，情況正發生變化。Denise Anderson指出，在大流行期間，當遠程工作的需求改變了操作環境并使他們更多地暴露于互聯網和攻擊時，對OT部門的攻擊確實開始增加。威脅行為者意識到OT環境是一個簡單且有利可圖的目標，因為制造環境傳統上不是很安全，并且在許多情況下需要24×7全天候運行才能生產產品。

Denise Anderson表示，在物聯網領域，尤其是醫療設備，醫療設備制造商最初并未生產能夠抵御網絡攻擊的產品。在過去五年左右的時間里，這種情況發生了迅速的變化，在產品制造過程中，安全性被內置到產品中。

Denise Anderson說，挑戰一直在跟上這些設備中使用的現成軟件中的漏洞。再次，隨著軟件材料清單或SBOM的出現以及通過Health-ISAC和網絡安全和基礎設施安全局(CISA) 等實體披露漏洞，該領域取得了長足的進步。

8月，NIST SP 800-66r2草案文件-醫療衛生網絡安全指南，進行了更新，助力醫療機構保護患者的個人健康信息。該更新包括HIPAA 安全規則的簡要概述，指導受監管實體評估和管理 ePHI（受保護的電子健康信息）的風險，并確定受監管實體可能考慮將其作為信息安全計劃的一部分實施的典型活動。它還列出了受監管實體在實施安全規則時可能會發現有用的其他資源。該文件在保護醫療保健和公共衛生部門的OT/IoT環境免受不斷上升的勒索軟件和網絡安全攻擊方面所起的潛在作用，隱私更適用于物聯網環境。NIST SP 800-66r2 草案明確將醫療物聯網納入風險評估范圍，并提供了具有數據備份和災難恢復計劃的勒索軟件策略的具體示例。