Threat intelligence analyst Dokumente, bewertet, 117 Gesundheitswesen ransomware Vorfälle

Wenn ein business-system bricht aufgrund patchen Störungen, verlieren Sie Geld. Wenn Sie ein Gesundheits-system bricht, es Leben in Gefahr. Ransomware-Angriffe gegen den Dienstleistern im Gesundheitswesen stören können ambulante Dienste, Verwirrung und zwingen die Anbieter zu schließen.

Da diese Angriffe sind so eine anhaltende Sorge, Allan Liska, threat intelligence analyst bei Recorded Future, ein Anbieter von threat intelligence-system powered by machine learning, war überrascht über den Mangel an Forschung in die tatsächlichen Umfang der ransomware-Angriffe gegen Leistungserbringern im Gesundheitswesen.

Es stellt sich heraus, dass das sammeln von Daten auf diese Angriffe ist komplexer als es zunächst scheint. Weil viele Vorfälle nicht gemeldet HHS, die es sehr schwer macht, zu bestimmen, wie erschöpfend der Katalog von ransomware-Attacken ist.

Neue ransomware-Forschung

Durch eigene Forschung, Recorded Future war in der Lage, Dokument 117 ransomware Vorfälle targeting-Dienstleister im Gesundheitswesen in den Vereinigten Staaten.

Die Anzahl der Patientenakten betroffen von diesen Angriffen ist 4,474,000, obwohl die tatsächliche Zahl liegt wahrscheinlich höher, da nicht alle Vorfälle beteiligt oder einbezogen werden, Patienten-Daten, nur 64 von 113 (57%) Patienten enthalten Daten der Meldung.

„Anbieter sollten ermutigt werden, zu berichten HHS in einer Weise, die nicht angezeigt werden“ naming und shaming.‘ Die Regierung kann die Führung übernehmen und hier für jene Organisationen, die Transparenz.“

Allan Liska, Recorded Future

Die konventionelle Weisheit ist, dass Gesundheitsdienstleister sind eher zu zahlen Lösegeld als andere Branchen. Das kann der Fall sein, aber die Daten werden nicht wirklich klar. In der Forschung der Firma, 69 von dem Vorfall Berichte (61%) bestätigt, dass die Opfer nicht zahlen Lösegeld, 17 von der verfolgten Fällen (15%) bestätigt die Zahlung, und der rest waren unbekannt.

„Es wurden weitere Artikel veröffentlicht, die über ransomware-Angriffe gegen Dienstleister im Gesundheitswesen, aber auch alle Artikel die ich finden konnte, verwendet proprietäre Daten, so dass es unmöglich zu verstehen, das wahre Ausmaß des problem“, erklärt Liska.

„Was war ich überrascht zu finden, ist, dass niemand hatte etwas veröffentlicht open source, vor allem angesichts der lebenswichtigen Funktion von Krankenhäusern, Arztpraxen und anderen Gesundheits-Institutionen“, sagte er.

Das sammeln von Daten eine komplexe Aufgabe

Seit mehreren Jahren ransomware-Angriffe haben gezeigt, die Fähigkeit zu stören, ambulante Dienste und Verwirrung, und in 2019, die Angriffe wurden gezwungen mindestens zwei Leistungserbringern zu schließen. Jedoch, wie kritisch das problem ist, wie Recorded Future gegraben, es wurde klar, dass das sammeln und analysieren von Daten, die auf diese Angriffe ist komplexer, als es zunächst erscheinen mag.

„Eine Herausforderung, mit der Erhebung der Daten ist, dass nicht alle Angriffe gemeldet, HHS,“ sagte Liska. “Wenn der Park DuValle health center getroffen wurde, mit einem ransomware-Angriff früher in diesem Jahr, es in den Nachrichten, weil Sie waren nicht in der Lage, um zu sehen, Patienten. Jedoch, Sie nicht sehen es als ein meldepflichtiger Vorfall.

„Ich denke, diese Art von Reaktion ist eher die Regel als die Ausnahme“, fügte er hinzu. “Die Anbieter versuchen oft, um zu rechtfertigen, nicht die Berichterstattung, indem Sie behaupten, dass nichts passiert ist, die Auswirkungen der Patientendaten. Leider ohne jede Art von Drittanbieter-Aufsicht, es gibt keine Möglichkeit, um zu bestätigen diese Ansprüche.“

Viele Anbieter auch versuchen zu minimieren, drücken Sie auf die Abdeckung, die Sie von Ihrer ransomware-Attacken, wodurch die Forschung schwierig, Liska Hinzugefügt.

„Im Februar 2016, Hollywood Presbyterian Medical Center bezahlt, dann ungehört von $17,000 Lösegeld, um wieder Ihre verschlüsselten Dateien“, erinnerte er sich. “Der Angriff hat so viel Berichterstattung, die Hollywood Presbyerian hat jetzt einen Abschnitt auf Ihrer Wikipedia-Seite diskutieren den Angriff. Der folgende Monat, MedStar Gesundheit abwenden mussten Patienten wegen einer SamSam Angriff. Leider, diese waren nur der Anfang von ransomware-Attacken gegen Leistungserbringern im Gesundheitswesen.“

Wie erschöpfend ist die Liste?

Es gab verschiedene Vorfälle, wie diese, wurden nicht gemeldet, um HHS, sagte Liska. Dies macht es sehr schwierig zu bestimmen, wie erschöpfend der Katalog von ransomware-Attacken Recorded Future erfasst tatsächlich ist, fügte er hinzu. Kurz gesagt, der Mangel an Berichterstattung und der Wunsch zu halten, die Vorfälle aus der Presse machen, die Sammlung und überprüfung sehr anspruchsvoll.

„Seit der Veröffentlichung unserer Ergebnisse haben wir bereits gesehen, weitere Angriffe,“ Liska hingewiesen. “Trotz der Herausforderungen, die auf die Erhebung von ransomware Daten, unsere primäre Quelle für die Sammlung ist HHS, die behauptet, einer öffentlichen Datenbank, die Meldung von Sicherheitsverletzungen. Das vereinfacht den Prozess der Lokalisierung zumindest einige ransomware-Attacken für tracking-Zwecke. Der Rest unserer Forschung kommt aus der lokalen und nationalen Berichterstattung.“

Jedoch, stützt sich auf einen Angriff sowohl öffentliche und berichtenswert.

„Für besser oder schlechter – und ich Neige dazu zu denken, es ist besser, auch wenn eine unglückliche Thema – mehr news-Reporter zeigen Interesse an der Absicherung ransomware“, sagte er. “Die Herausforderung ist, dass für die Reporter um herauszufinden, über ein ransomware-Angriff auf die healthcare-Anbieter, der entweder einen Bericht veröffentlichen oder Dienstleistungen müssen unterbrochen werden, damit Kunden beschweren sich über nicht in der Lage Termine zu machen, usw.. Also zwischen diesen berichten und der HHS, das Bild kommt in den Fokus.“

Weitere Hindernisse für die Forschung

Die HHS-Datenbank ransomware klassifiziert unter den „Hacker/IT-Vorfall“ Verstoß gegen die Kategorie, aber das tun Sie nicht, brechen die spezifische Art der Störung in der öffentlichen Datenbank. Wieder, dies sind Hindernisse für die Bestimmung der volle Umfang des Problems.

Zwischen dem 1. Januar 2016 und Oktober 22, 2019, es wurden insgesamt 661 berichtet, „Hacking/IT-Vorfall“ Verstoß gegen Arten – derzeit, das bricht, wie 321 „Under Investigation“ und 340 „Archiviert.“

Mit dem gleichen Zeitrahmen, Recorded Future war in der Lage, Dokument 117 ransomware Vorfälle targeting-Dienstleister im Gesundheitswesen in den Vereinigten Staaten. Die Aufschlüsselung der ransomware Vorfälle pro Jahr ist:

  • 2016: 29 Vorfälle
  • 2017: 27 Vorfälle
  • 2018: 30 Vorfälle
  • 2019: 34 Zwischenfälle (bis Oktober 22)

Das Department of Health and Human Services war einer der ersten Berichterstattung von Organisationen zu verstehen, die potenziellen Auswirkungen von ransomware Vorfälle und erfordern die Berichterstattung von Organisationen, die unter seiner Aufsicht. Leider werden die Richtlinien der HHS veröffentlicht hat, haben einige unbeabsichtigte Folgen, Liska hingewiesen.

Ob oder nicht Patienten-Daten kompromittiert wurde

„Der Chef Konsequenz ist, dass, weil HHS betrachtet nur eine ransomware Vorfall meldepflichtig, wenn Patientendaten kompromittiert ist, Organisationen im Gesundheitswesen sind tatsächlich disincentivized voll und ganz aus der Untersuchung einer ransomware Vorfall“, sagte er. „Wenn eine Organisation bestimmt, die ransomware nicht gefährden Patienten-Daten, das es nicht zu berichten, aber, wie die ransomware wurde geliefert Angelegenheiten.“

Zum Beispiel, gab es eine Flut von Ryuk ransomware Angriffe, die Teil eines drei-Stufen-Attacke: ein Emotet loader installiert eine TrickBot Informationen stealer, die dann installiert Ryuk. Die Ryuk ransomware dürfen Patienten nicht gefährden Daten, aber wenn TrickBot installiert wurde, auf die Maschinen, es gibt eine gute chance, dass die Daten, ggf. einschließlich Patientendaten, war exfiltrated aus dem computer.

Aber wenn man verfolgt, dass dieser Vorfall als „nur der ransomware,“ darf man nicht zu eng sehen bei der gesamten Attacke Kette, damit man nicht haben, um den Vorfall zu melden.

„Höhere Bildung kann auch helfen, verbessern Sie wissen,“ Liska geraten. “Die, die healthcare-Anbieter kennen Ihre eigenen Schwachstellen sowie die Bedrohungen, die es gibt, die besser ausgerüstet sind, können Sie Entscheidungen treffen, um den Schutz von Patienten, Systeme und Informationen.

„Anbieter sollten ermutigt werden, zu berichten HHS in einer Weise, die nicht angezeigt werden“ naming und shaming.‘ Die Regierung kann die Führung übernehmen und hier für jene Organisationen, die Transparenz.“

Ransomware Vorfälle sind vermeidbar, aber Sie können passieren sogar die meisten wohlmeinenden Organisationen. Während das entbindet nicht davon, Verantwortung, erkennen es als eine schwere Berufskrankheit eher als ein Indiz von Unfähigkeit oder Böswilligkeit wäre ein Schritt in die richtige Richtung, fügte er hinzu.

Auf die Gnade der Anbieter

„Viel von diesem kommt es auf die Tatsache, dass Gesundheitsdienstleister im besonderen, einzigartigen Herausforderungen, wenn es um die Sicherheit geht“, sagte er. “Oft, Organisationen im Gesundheitswesen, bei der Gnade von third-party Anbietern, wenn es um das patchen und aktualisieren von Systemen. Ohne eine effektive und sichere Möglichkeiten für die Verwaltung dieser Prozesse, die healthcare-Anbieter kann auch ein leichtes Ziel für ransomware Akteure.“

Ähnlich wie Staatliche und lokale Regierungen, Organisationen im Gesundheitswesen haben gehetzt, um zu digitalisieren Ihre Praxis führt dies oft zu management-und security-Lücken bleiben unangetastet, bis ein security-event, wie ein ransomware-Angriff, sagte er.

„Darüber hinaus ist die Wahrnehmung, dass die Leistungserbringer sind häufiger als andere Branchen Lösegeld zu zahlen hat dazu geführt, dass einige ransomware Akteure aktiv Ziel Organisationen im Gesundheitswesen“, betonte er. „Das team hinter SamSam, zum Beispiel, war bekannt, explizit suchen Leistungserbringern im Gesundheitswesen.“

Liska sagte, dass Recorded Future wird weiterhin analysieren Sie die Daten, die gesammelt und zu verfeinern, die Daten eingestellt, wie das Unternehmen deckt weitere Vorfälle und berichtet von Informationen über vorhandene Vorfälle.

Twitter: @SiwickiHealthIT
E-Mail der Autorin: [email protected]
Healthcare-IT-News ist die HIMSS Media-Publikation.