Agencja Unii Europejskiej ds. Cyberbezpieczeństwa (ENISA) opublikowała raport ENISA Threat Landscape: Health Sector, dotyczący cyberzagrożeń dla sektora zdrowia.
Raport to analiza około 215 incydentów cyberbezpieczeństwa, które miały miejsce w obszarze ochrony zdrowia w okresie ostatnich dwóch lat. Identyfikuje on główne zagrożenia, podmioty, skutki i trendy w obszarze cyberbezpieczeństwa branży medycznej w Europie. Materiał obejmuje szczegółową analizę, która dostarcza odpowiedzi na niektóre ważne pytania, takie jak sposób przeprowadzania ataków, rodzaje systemów będących celem ataków oraz typ organizacji opieki zdrowotnej najbardziej dotkniętych wyciekami danych. Analizy te posłużyły jako podstawa do zidentyfikowania listy głównych cyberzagrożeń dla sektora zdrowia.
Liczba cyberataków na sektor medyczny wciąż rośnie
W ciągu ostatnich dwóch lat europejski sektor opieki zdrowotnej stanął w obliczu znacznej liczby incydentów. Szczególnie ucierpieli dostawcy opieki zdrowotnej (53% wszystkich incydentów), a zwłaszcza szpitale (42%). Zaobserwować można również ataki wymierzone w władze, organy i agencje służby zdrowia (14%) oraz ataki na przemysł farmaceutyczny (9%). Co niezwykle ważne, autorzy raportu dostrzegają tendencję wzrostową w zakresie liczby cyberataków – w pierwszym kwartale 2023 roku zarejestrowano ok. 40 incydentów, w porównaniu do średnio około 22 incydentów na kwartał obserwowanych w latach 2021 i 2022. Wśród krajów europejskich, które są najbardziej narażone na cyberataki w okresie ostatnich trzech lat, przoduje Francja (42 przypadki), Hiszpania (25) oraz Niemcy (23). Polska z 6 incydentami znajduje się w dolnej połowie stawki.
Ransomware a pozostałe cyberzagrożenia
Ransomware jest jednym z głównych zagrożeń w sektorze ochrony zdrowia (54%), zarówno pod względem liczby incydentów, jak i wpływu na organizacje służby zdrowia i przewiduje się, iż trend ten się utrzyma. Co więcej, aż 43% incydentów związanych z atakami ransomware łączy się z naruszeniem lub kradzieżą danych. Prawie połowa wszystkich incydentów (99 incydentów, 46%) stanowi zagrożenie dla danych organizacji zdrowotnych (naruszenia, wycieki). Zagrożenia związane z danymi nadal stanowią jedno z głównych zagrożeń w sektorze, nie tylko w Europie, ale także na całym świecie.
Pandemia wzmocniła wartość danych medycznych
Warto również zauważyć, że na niepokojące wyniki raportu ma z pewnością wpływ fakt, iż dane pochodzą głównie z okresu pandemii, kiedy obszar opieki zdrowotnej był jednym z najbardziej narażonych na cyberataki sektorów. Jest to związane z ogólnym wzrostem liczby ataków ransomware, ale także ze wzrostem wartości danych pacjentów, w tym elektronicznej dokumentacji medycznej. W rzeczywistości dane pacjentów były najczęściej atakowanymi zasobami (30%) w okresie ostatnich dwóch lat, ponadto, jak wynika z danych, ponad połowa ataków oparta była o motyw finansowy (53%).
Incydenty bezpieczeństwa spowodowane głównie lukami w zabezpieczeniach
Eksperci oceniają, że ataki na łańcuchy dostaw i dostawców usług opieki zdrowotnej, w połączeniu z zagrożeniami stwarzanymi przez luki w systemach opieki zdrowotnej i urządzeniach medycznych są jednymi z kluczowych problemów w zakresie bezpieczeństwa danych i systemów. W niedawnym badaniu ENISA opieka zdrowotna była sektorem, który zgłosił najwięcej incydentów bezpieczeństwa związanych z lukami w oprogramowaniu lub sprzęcie, co potwierdzają dane z tegorocznego raportu, w którym 80% ankietowanych organizacji opieki zdrowotnej zadeklarowało, że ponad 61% ich incydentów bezpieczeństwa było spowodowanych lukami w zabezpieczeniach.
Ważnym aspektem jest również wzrost liczby ataków DDoS. Rozwój sytuacji geopolitycznej i aktywność haktywistów zwiększyły liczbę ataków DDoS na szpitale i organy służby zdrowia na początku 2023 r., generując 9% wszystkich incydentów. Wynika to według ekspertów z gwałtownego wzrostu liczby ataków DDoS przeprowadzanych przez prorosyjskie grupy haktywistów, których celem było zakłócenie ciągłości działania podmiotów świadczących opiekę zdrowotną i organów służby zdrowia w UE.
Konsekwencje cyberataków
Opisane w raporcie incydenty spowodowały głównie naruszenia lub kradzież danych (43%), zakłócenia w świadczeniu usług opieki zdrowotnej (22%) i innych usług niezwiązanych z opieką zdrowotną (26%). Naruszenia danych dotknęły podmioty opieki zdrowotnej w 40% całkowitej liczby incydentów, a w szczególności szpitale (27%) i podstawową opiekę zdrowotną (8%). Zakłócenia w świadczeniu usług opieki zdrowotnej miały miejsce w przypadku podmiotów opieki zdrowotnej (82%) i organów służby zdrowia (12%).
Do istotnych skutków incydentów naruszenia danych należą również te finansowe. Jak wynika z badania ENISA NIS Investment 2022 mediana kosztów poważnego incydentu bezpieczeństwa w sektorze opieki zdrowotnej wynosi 300 000 euro. Pośredni wpływ na finanse atakowanych organizacji mają również sankcje nałożone przez organy ochrony danych, a także uszczerbek na reputacji podmiotów świadczących opiekę zdrowotną po poważnych naruszeniach danych.
Jak organizacje są przygotowane na cyberataki? Rekomendacje ENISA dla sektora zdrowia
Według niedawnego badania przeprowadzonego przez ENISA, tylko 27% ankietowanych organizacji w sektorze opieki zdrowotnej ma dedykowane programy ochrony przed ransomware, a 40% ankietowanych operatorów usług podstawowych nie ma żadnego programu budowania świadomości w zakresie bezpieczeństwa dla personelu spoza IT. W innym niedawnym badaniu przeprowadzonym przez grupę NIS, 95% ankietowanych organizacji zdrowotnych napotyka wyzwania podczas przeprowadzania oceny ryzyka, a 46% nigdy nie przeprowadziło takiej analizy. Ustalenia te podkreślają pilną potrzebę stosowania przez organizacje opieki zdrowotnej dobrych praktyk dotyczących cyberbezpieczeństwa. W związku z tym autorzy raportu przygotowali kilka najważniejszych rekomendacji w zakresie ochrony danych, które organizacje w sektorze opieki zdrowotnej powinny bezwzględnie wdrożyć.
Do rekomendowanych dobrych praktyk należą:
- Szyfrowanie kopii zapasowych – szyfrowane kopie zapasowe krytycznych danych znacząco zmniejszają ryzyko ich utraty.
- Edukacja i budowanie świadomości – podnoszenie świadomości i programy szkoleniowe dla pracowników służby zdrowia mogą odegrać istotną rolę w zapobieganiu cyberatakom opartym o socjotechniki i wpływają na poprawę praktyk bezpieczeństwa wśród użytkowników.
- Identyfikacja luk w zabezpieczeniach – w celu ograniczenia wektorów ataków należy przeprowadzać regularne skanowanie pod kątem luk w zabezpieczeniach, zwłaszcza tych na urządzeniach mających dostęp do Internetu.
- Aktualizacja oprogramowania – należy regularnie aktualizować oprogramowanie i systemy operacyjne do najnowszych dostępnych wersji.
- Dobre praktyki – należy przestrzegać najlepszych praktyk w zakresie metod uwierzytelniania dostępu zdalnego, takich jak dwuetapowe uwierzytelnianie (2FA) z wykorzystaniem klucza U2F, długie, niesłownikowe hasła, managery haseł, korzystanie z VPN, itd.
- Plan reagowania na incydenty – tworzenie, utrzymywanie i weryfikacja podstawowych planów reagowania na incydenty ma na celu zapewnienie ciągłości opieki nad pacjentami.
- Zaangażowanie kierownictwa wyższego szczebla w działania operacyjne – świadomość wyższej kadry managerskiej w zakresie cyberbezpieczeństwa ma kluczowe znaczenie w skutecznym i kompleksowym wdrażaniu działań mających na celu ochronę danych i systemów.
Cały raport do pobrania tutaj: https://www.enisa.europa.eu/publications/health-threat-landscape
