Trace Id is missing

Yhdysvaltojen terveydenhuolto vaarassa: Resilienssin vahvistaminen kiristysohjelmahyökkäyksiä vastaan

Jaa
Ryhmä lääketieteen ammattilaisia katsoo tablettia

Terveydenhuoltosektorilla on vastassaan nopeasti muuttuva joukko kyberturvallisuusuhkia. Kiristysohjelmahyökkäykset ovat yksi merkittävimmistä. Yhdistelmä arvokkaita potilastietoja, toisiinsa yhteydessä olevia lääketieteellisiä laitteita sekä pieni IT- ja kyberturvallisuushenkilöstö ja rajalliset resurssit voivat aiheuttaa sen, että terveydenhuollon organisaatiot ovat uhkaavien toimijoiden ensisijaisia kohteita. Terveydenhuollon toimintoja digitalisoidaan jatkuvasti, aina sähköisistä potilastiedoista (EHR) etävastaanottoihin ja yhdistettyihin lääketieteellisiin laitteisiin. Näin sairaaloiden hyökkäyspinta monimutkaistuu, mikä lisää haavoittuvuutta hyökkäyksille.

Seuraavissa osioissa on yleiskatsaus terveydenhuollon nykyisestä kyberturvallisuusympäristöstä. Siinä korostetaan toimialan statusta tärkeänä kohteena, kiristysohjelmahyökkäysten yleistymistä sekä niitä vakavia taloudellisia ja potilaiden hoitoon kohdistuvia seurauksia, joita uhat aiheuttavat.

Näitä tärkeitä aiheita käsitellään Sherrod DeGrippon, Microsoftin uhkatietämysstrategian johtajan, vetämässä videokeskustelussa. Siinä saadaan myös uhkaavia toimijoita, palautumisstrategioita ja terveydenhuollon haavoittuvuuksia koskevia tietoja asiantuntijoilta.

Microsoft Threat Intelligence -yleiskatsaus: Terveydenhuolto

Sherrod DeGrippo, Microsoft Threat Intelligencen uhkatietämysstrategian johtaja, vetää vilkkaan keskustelun uhkatietämyksen ja terveydenhuollon tietoturva-asiantuntijoiden kanssa. He käsittelevät muiden aiheiden ohella sitä, miksi terveydenhuolto on erityisen altis kiristysohjelmahyökkäyksille, mitä taktiikoita uhkaavien toimijoiden ryhmät käyttävät ja miten resilienssi voidaan säilyttää.
  • Microsoft Threat Intelligencen mukaan terveydenhuollon ja julkisen terveydenhuollon sektori oli yksi 10 toimialasta, joihin kohdistui eniten vaikutuksia vuoden 2024 toisella vuosineljänneksellä.1
  • Kiristysohjelma palveluna (RaaS) on madaltanut käytön esteitä hyökkääjille, joilla ei ole teknistä osaamista. Venäjä tarjoaa turvasataman kiristysohjelmaryhmille. Tästä johtuen kiristysohjelmahyökkäysten määrä on kasvanut 300 % vuoden 2015 jälkeen.2
  • Tänä tilivuotena 389 Yhdysvaltain terveydenhuollon organisaatiota koki kiristysohjelmahyökkäyksen. Tästä aiheutui verkon alasajoa, järjestelmien toimimattomuutta, viiveitä kriittisissä hoitotoimissa sekä siirrettyjä vastaanottoaikoja3. Hyökkäykset ovat kalliita, ja erään toimialaraportin mukaan terveydenhuollon organisaatiot menettävät USD$900,000 päivässä pelkästään käyttämättömyystilassa.4
  • Niiden 99 terveydenhuollon organisaation, jotka myönsivät maksaneensa lunnaat ja ilmoittivat maksun määrän, mediaanimaksu oli USD$1.5 miljoonaa ja keskimääräinen maksu USD$4.4 miljoonaa.5

Vakava vaikutus potilaiden hoitoon

Kiristysohjelmahyökkäyksestä aiheutuva terveydenhuollon toimintojen keskeytyminen voi vaikuttaa merkittävästi kykyyn hoitaa potilaita tehokkaasti. Se koskee hyökkäyksen kohteena olleen toimipisteen lisäksi lähialueiden sairaaloita, jotka joutuvat hoitamaan päivystyspotilaat.6

Viimeaikaisen tutkimuksen mukaan neljään sairaalaan (kaksi hyökkäyksen kohteena) kohdistunut kiristysohjelmahyökkäys johti kasvaneeseen päivystyspotilaiden määrään, pidentyneisiin odotusaikoihin sekä resurssien kuormitukseen etenkin kiireellisessä, esimerkiksi infarktien, hoidossa, kahdessa läheisessä sairaalassa, joihin hyökkäys ei kohdistunut.7
Infarktitapausten määrän kasvu: Kiristysohjelmahyökkäys kuormitti merkittävästi terveydenhuollon yleistä ekosysteemiä, sillä sairaalat, joihin hyökkäys ei kohdistunut, joutuivat hoitamaan kohteena olleiden sairaaloiden potilaat. Läheisten sairaaloiden infarktikoodien aktivoinnit lähes kaksinkertaistuivat (59 > 103). Lisäksi varmistettujen infarktien määrä kasvoi 113,6 prosenttia, 22 tapauksesta 47 tapaukseen.
Sydänkohtausten määrän kasvu: Hyökkäys kuormitti terveydenhuoltojärjestelmää kun sydänkohtaustapausten määrä sairaalassa, johon hyökkäys ei kohdistunut, nousi 81 prosenttia, 21 tapauksesta 38 tapaukseen. Tämä osoittaa yhden toimipisteen vaarantumisen vaikutuksen, kun lähistön sairaalat joutuvat hoitamaan enemmän kriittisiä tapauksia.
Lasku eloonjäämisessä suotuisilla neurologisilla tuloksilla: Sairaalan ulkopuolella tapahtuneiden sydänkohtausten eloonjäämisprosentti suotuisilla neurologisilla tuloksilla laski merkittävästi sairaaloissa, joihin hyökkäys ei kohdistunut. Ennen hyökkäystä prosenttiosuus oli 40 ja hyökkäysvaiheen aikana 4,5 prosenttia.
Ambulanssin saapumisten kasvu: Hyökkäyksen aikana sairaaloissa, joihin hyökkäys ei kohdistunut, oli 35,2 prosentin nousu saapuvissa ambulanssipalveluissa Tämä viittaa siihen, että kiristysohjelman aiheuttama häiriö muissa sairaaloissa aiheutti merkittävää ambulanssiliikenteen ohjautumista toisaalle.
Potilaiden määrän kasvu: Koska hyökkäys vaaransi neljä alueen sairaalaa (kaksi hyökkäyksen kohteena), niiden sairaaloiden, jotka eivät olleet kohteena, päivystyspoliklinikat kokivat merkittävän potilaiden määrän lisääntymisen. Päivittäinen potilaslaskenta näissä sairaaloissa kasvoi 15,1 prosenttia hyökkäysvaiheen aikana hyökkäystä edeltävään vaiheeseen verrattuna.
Muut hoitotoimenpiteiden keskeytymiset: Hyökkäysten aikana sairaaloissa, joihin hyökkäys ei kohdistunut, oli huomattava kasvu potilaissa, jotka poistuivat ennen vastaanottoa, odotusajoissa sekä osastolle otettujen potilaiden hoitojakson kokonaiskestossa. Esimerkiksi odottamisen mediaaniaika kasvoi hyökkäystä edeltäneestä 21 minuutista sen aikaiseen 31 minuuttiin.

Kiristysohjelmien tapaustutkimukset

Terveydenhuollon kiristysohjelmahyökkäyksillä voi olla tuhoisia seurauksia ei pelkästään kohteena oleville organisaatioille vaan myös potilastyölle ja toiminnalliselle vakaudelle. Seuraavat tapaustutkimukset osoittavat kiristysohjelmien kauaskantoiset seuraukset erityyppisissä terveydenhuollon organisaatioissa, suurista sairaalajärjestelmistä maaseudun pieniin palveluntarjoajiin. Niissä korostetaan monia tapoja, joilla hyökkääjät tunkeutuvat verkkoihin, sekä tästä aiheutuvia häiriöitä elintärkeisiin terveydenhuollon palveluihin.
  • Hyökkääjät käyttivät vaarantuneita tunnistetietoja verkkoon pääsemiseksi haavoittuvaisen etäkäyttöyhdyskäytävän kautta ilman monimenetelmäistä todentamista. Tässä kaksinkertaisessa kiristyssuunnitelmassa hyökkääjät salasivat kriittisen infrastruktuurin ja käyttivät luvatta arkaluonteisia tietoja ja uhkasivat julkaista ne, jollei lunnaita makseta.

    Vaikutus:     Hyökkäys aiheutti häiriöitä ja esti 80 prosenttia terveydenhuollon palveluntarjoajista ja apteekeista varmistamasta vakuutuksia tai käsittelemästä korvausvaatimuksia. 
  • Hyökkääjät hyödynsivät sairaalan korjaamattoman, vanhan järjestelmän haavoittuvuutta ja liikkuivat sivusuuntaisesti tarkoituksenaan vaarantaa potilaiden aikataulut ja terveystietueet. Hyödyntäen tuplakiristystaktiikkaa he käyttivät luvatta arkaluonteisia tietoja ja uhkasivat julkaista ne, ellei lunnaita makseta.

    Vaikutus: Hyökkäys keskeytti toiminnot, mistä aiheutui peruuntuneita vastaanottoaikoja, myöhästyneitä leikkauksia sekä siirtymisen manuaalisiin prosesseihin, mikä kuormitti henkilöstöä ja viivästytti hoitotoimia. 
  • Hyökkääjät käyttivät tietojenkalastelusähköposteja, jotta he saivat pääsyn sairaalan verkkoon. He hyödynsivät korjaamattomia haavoittuvuuksia ja ottivat käyttöön kiristysohjelman, mikä salasi sähköisten potilastietojen ja -hoidon järjestelmät. Hyödyntäen tuplakiristystaktiikkaa he käyttivät luvatta arkaluonteisia potilas- ja taloustietoja ja uhkasivat vuotaa ne, ellei lunnaita makseta. 

    Vaikutus:     Hyökkäys häiritsi neljän sairaalan ja yli 30 klinikan toimintaa, mikä viivästytti hoitotoimia, ohjasi päivystyspotilaita muualle ja aiheutti huolia tietojen paljastumisesta. 
  • Helmikuussa 2021 kiristysohjelmahyökkäys lamautti 44 sänkypaikan maaseutusairaalan tietokonejärjestelmät, mikä pakotti sairaalan manuaalisiin toimintoihin kolmen kuukauden ajaksi ja viivästytti pahasti vakuutuskorvaushakemuksia.

    Vaikutus:     Sairaalan kyvyttömyys saada maksuja ajallaan johti taloudelliseen ahdinkoon sekä paikallisen maaseutuyhteisön jäämiseen ilman tärkeitä terveydenhuollon palveluita. 

Yhdysvaltojen terveydenhuoltosektori on houkutteleva kohde taloudellista hyötyä tavoitteleville kyberrikollisille sen laajan hyökkäyspinnan, vanhojen järjestelmien ja epäjohdonmukaisten suojausprotokollien vuoksi. Terveydenhuollon riippuvaisuus digitaalisista teknologioista, sen arkaluontoiset tiedot sekä monien organisaatioiden resurssien rajallisuus yhdessä pienten voittomarginaalien kanssa voivat rajoittaa kykyä sijoittaa kyberturvallisuuteen, mikä tekee terveydenhuollosta erityisen haavoittuvaisen. Lisäksi terveydenhuollon organisaatiot priorisoivat potilastyön hinnalla millä hyvänsä, mikä voi johtaa lunnaiden maksuun häiriöiden välttämiseksi.

Maine lunnaiden maksamisesta

Kiristysohjelmista on tullut terveydenhuollolle suuri ongelma osittain juuri siksi, että sektorilla on historia lunnasmaksujen suorittamisesta. Terveydenhuollon organisaatiot priorisoivat potilastyön, ja jos häiriöt voidaan välttää maksamalla miljoonia dollareita, organisaatiot toimivat usein niin.

Viimeaikaisen raportin mukaan, joka perustuu 402 terveydenhuollon organisaation kyselyyn, 67 prosenttia organisaatioista koki kiristysohjelmahyökkäyksen edellisenä vuotena. Näiden organisaatioiden joukosta 53 prosenttia myönsi maksaneensa lunnaita vuonna 2024. Vuonna 2023 osuus oli 42 prosenttia. Raportissa korostetaan myös taloudellista vaikutusta, sillä keskimääräinen maksettu lunnasmaksu oli USD$4.4 miljoonaa.12

Rajalliset tietoturvaresurssit ja -investoinnit

Yksi merkittävä haaste on kyberturvallisuuden rajallinen budjetti ja resurssit terveydenhuoltosektorilla. Viimeaikaisessa Healthcare Cybersecurity Needs a Check-Up -raportissa13, jonka toteutti CSC 2.0 (ryhmä, joka jatkaa kongressin valtuuttaman Cyberspace Solarium Commissionin työtä), "todettiin kyberturvallisuuden alirahoituksen johtuvan tiukoista budjeteista sekä tarpeesta priorisoida rahankäyttö olennaisiin potilaspalveluihin, mikä asettaa terveydenhuollon organisaatiot alttiiksi hyökkäyksille."

Lisäksi terveydenhuollon palveluntarjoajat eivät sijoita tarpeeksi varoja kyberturvallisuuteen siihen liittyvien ongelmien vakavuudesta huolimatta. Useista monimutkaisista tekijöistä johtuen, kuten epäsuorien maksujen malli, joka usein johtaa välittömien lääketieteellisten tarpeiden priorisointiin kyberturvallisuuden kaltaisten huomaamattomampien sijoituskohteiden sijaan, terveydenhuolto ei ole sijoittanut tarpeeksi kyberturvallisuuteen viimeisten kahden vuosikymmenen aikana.10

Lisäksi Health Insurance Portability and Accountability Act (HIPAA) on johtanut tietojen luottamuksellisuuteen sijoittamisen priorisointiin, minkä johdosta tietojen eheys ja käytettävyys ovat jääneet toissijaisiksi. Tämä lähestymistapa voi johtaa organisaation resilienssin vähäiseen huomioon, etenkin palautusajan tavoitteiden (RTO) ja palautuspisteen tavoitteiden (RPO) osalta.

Vanhat järjestelmät ja infrastruktuurin haavoittuvuudet

Yksi kyberturvallisuuteen panostamattomuuden seurauksista on riippuvaisuus vanhentuneista ja vaikeasti päivitettävistä järjestelmistä, joista on tullut ensisijaisia kohteita hyökkäyksille. Lisäksi erillisten teknologioiden käyttö luo tilkkutäkkimäisen infrastruktuurin, jonka suojauksessa on aukkoja ja joka lisää hyökkäysriskiä.

Haavoittuvaista infrastruktuuria monimutkaistaa entisestään terveydenhuollon viimeaikainen yhdistymistrendi. Sairaaloiden yleistyvät yhdistymiset (23 prosentin kasvu vuonna 2022, korkein taso sitten vuoden 202014) luovat organisaatioita, joilla on monimutkaisia infrastruktuureja useissa eri sijainneissa. Ilman riittävää sijoittamista kyberturvallisuuteen nämä infrastruktuurit ovat erittäin haavoittuvaisia hyökkäyksille.

Hyökkäyspinnan laajeneminen

Vaikka yhdistettyjen laitteiden ja lääketieteellisten teknologioiden kliinisesti integroidut hoitoverkot auttavat potilaiden hoitotuloksia ja pelastavat henkiä, niiden digitaalinen hyökkäyspinta on laaja. Uhkaavat toimijat hyödyntävät tätä enenevissä määrin.

Sairaalat ovat enemmän yhteydessä verkkoon kuin koskaan ennen, ja kriittisiä lääketieteellisiä laitteita, kuten CT-kuvauslaitteet, potilaiden seurantajärjestelmät ja infuusiopumput, liitetään verkkoon. Niillä ei kuitenkaan aina ole potilastyötä vahingoittavien haavoittuvuuksien havaitsemiseen ja lieventämiseen vaadittavaa näkyvyystasoa.

Lääkärit Christian Dameff ja Jeff Tully, University of Californian San Diego Center for Healthcare Cybersecurityn yhteisjohtajat ja -perustajat, kertovat, että keskimäärin 70 prosenttia sairaalan päätepisteistä ovat laitteita tietokoneiden sijaan.   
Sairaalahuone, jossa on lääketieteellisiä laitteita, valkoinen laatikko ja sininen verho.

Terveydenhuollon organisaatiot myös lähettävät suurta määrää tietoa. Office of the National Coordinator for Health IT:n tietojen mukaan yli 88 prosenttia sairaaloista ilmoittaa lähettävänsä ja säilyttävänsä potilaiden terveystietoja sähköisesti ja yli 60 prosenttia ilmoittaa integroivansa kyseiset tiedot sähköisiin potilastietojärjestelmiin.15

Pienet maaseudun palveluntarjoajat kohtaavat erityisiä haasteita

Maaseudun päivystyssairaalat ovat erityisen haavoittuvaisia kiristysohjelmatapauksille, sillä niillä on usein rajalliset keinot estää ja korjata tietoturvariskejä. Tällä voi olla tuhoisia vaikutuksia yhteisölle, sillä tällaiset sairaalat ovat usein ainoa terveydenhuollon vaihtoehto laajalla alueella.

Dameffin ja Tullyn mukaan maaseudun sairaaloilla ei yleensä ole samaa kyberturvallisuuden infrastruktuuritasoa tai -osaamista kuin suurilla kaupunkisairaaloilla. He huomauttavat myös, että useiden maaseudun sairaaloiden liiketoiminnan jatkuvuussuunnitelmat saattavat olla vanhentuneita tai ne eivät vastaa riittävällä tasolla moderneihin kyberuhkiin, kuten kiristysohjelmiin.

Monilla pienillä tai maaseudulla sijaitsevilla sairaaloilla on taloudellisia haasteita, ja ne toimivat pienellä voittomarginaalilla. Tämä taloudellinen todellisuus hankaloittaa vankkoihin kyberturvallisuustoimiin sijoittamista. Usein tällaisissa toimipisteissä on yksi IT-alan generalisti – henkilö, joka osaa hallita arkisia teknisiä ongelmia mutta jolla ei ole kyberturvallisuuden erityistietämystä.

Department of Health and Human Services Health Care Industry Cybersecurity Task Forcen raportissa, joka luotiin osana vuoden 2015 Cybersecurity Act -asetusta, korostetaan, että merkittävässä osassa maaseudun päivystyssairaaloita ei ole kokoaikaista kyberturvallisuuden työntekijää. Tämä osoittaa terveydenhuollon pienten palveluntarjoajien haasteet resurssien kanssa.

"IT-generalistit ovat yleensä henkilöitä, jotka osaavat hallita verkkoja ja tietokoneita ja ratkaista tulostamiseen, sisäänkirjautumiseen ja salasanoihin liittyviä tilanteita", Dameff kertoo. "He eivät ole kyberturvallisuuden asiantuntijoita. Heillä ei ole henkilöstöä tai budjettia, eivätkä he tietäisi edes, mistä aloittaa."

Kyberrikollisen hyökkäysprosessi noudattaa yleensä kaksivaiheista menetelmää: ensimmäinen pääsy verkkoon yleensä tietojen kalastelun tai haavoittuvuuksien hyödyntämisen kautta sekä kiristysohjelman käyttöönotto kriittisten järjestelmien ja tietojen salaamiseksi. Näiden taktiikoiden kehitys, mukaan lukien laillisten työkalujen käyttö sekä RaaS-ohjelmien lisääntyminen, on tehnyt hyökkäyksistä helppokäyttöisiä ja yleisiä.

Kiristysohjelmahyökkäyksen alkuvaihe: Terveydenhuollon verkkoon pääseminen

Jack Mott, joka aiemmin veti yrityssähköpostin uhkatietoihin ja havaitsemissuunnitteluun keskittyvää tiimiä Microsoftilla, kertoo, että "sähköposti on edelleen yksi suurimmista haittaohjelmien ja tietojenkalasteluhyökkäysten levittäjistä kiristysohjelmahyökkäyksissä".16

Useita toimintoja, myös maaseudun sairaalat, kattaneessa 13 sairaalajärjestelmän Microsoft Threat Intelligence -analyysissä 93 prosenttia havaitusta haitallisesta kybertoiminnasta liittyi tietojenkalastelukampanjoihin ja kiristysohjelmiin, ja suurin osa toiminnasta oli sähköpostiin perustuvia uhkia.17
"Sähköposti on edelleen yksi suurimmista haittaohjelmien ja tietojenkalasteluhyökkäysten levittäjistä kiristysohjelmahyökkäyksissä."
Jack Mott 
Microsoft Threat Intelligence

Terveydenhuollon organisaatioihin kohdistuvat kampanjat käyttävät usein yksityiskohtaisia houkuttimia. Mott kertoo, miten uhkaavat toimijat esimerkiksi luovat sähköpostiviestejä, joissa käytetään terveydenhuollon ammattislangia, kuten viittauksia ruumiinavausraportteihin. Näin pyritään lisäämään uskottavuutta ja huijaamaan terveydenhuollon ammattilaisia. 

Tämän kaltaiset käyttäjän manipulointitaktiikat etenkin terveydenhuollon kaltaisessa kiireisessä työympäristössä hyödyntävät työntekijöiden kokemaa kiireellisyyden tuntua, mikä voi johtaa virheisiin turvallisuudessa. 

Mott huomauttaa myös, että hyökkääjät ovat jatkuvasti kehittyneempiä menetelmissään. He käyttävät usein "oikeita nimiä ja palveluita sekä IT-osastojen yleisesti käyttämiä työkaluja (kuten etähallintatyökaluja)" havaituksi tulemisen välttämiseksi. Nämä taktiikat hankaloittavat sitä, että suojausjärjestelmät pystyvät erottamaan haitallisen ja sallitun toiminnan toisistaan. 

Microsoft Threat Intelligence -tiedot osoittavat myös, että hyökkääjät hyödyntävät usein tunnettuja, aiemmin havaittuja haavoittuvuuksia organisaation ohjelmistoissa tai järjestelmissä. Nämä yleiset haavoittuvuudet ja paljastumiset ovat hyvin dokumentoituja ja niihin on saatavilla korjauksia. Hyökkääjät hyödyntävät usein näitä vanhoja haavoittuvuuksia, koska he tietävät, että moni organisaatio ei ole käsitellyt niitä.18 

Ensimmäisen pääsyn hankkimisen jälkeen hyökkääjät suorittavat usein verkon tiedustelun, minkä voi tunnistaa esimerkiksi epätavallisen tarkistustoiminnan kaltaisten ilmaisimien avulla. Tällaisten toimien avulla uhkaavat toimijat kartoittavat verkon, tunnistavat kriittiset järjestelmät ja valmistautuvat hyökkäyksen seuraavaan vaiheeseen: kiristysohjelman käyttöönottoon.

Kiristysohjelmahyökkäyksen viimeinen vaihe: Kiristysohjelman käyttöönotto kriittisten järjestelmien salaamiseksi

Kun ensimmäinen pääsy on hankittu yleensä sähköpostitse suoritetun tietojen kalastelun tai haittaohjelman kautta, uhkaavat toimijat siirtyvät toiseen vaiheeseen: kiristysohjelman käyttöönottoon.

Jack Mott kertoo, että RaaS-mallien nousu on vaikuttanut merkittävästi kiristysohjelmahyökkäysten yleistymiseen terveydenhuoltosektorilla. "RaaS-ympäristöt ovat demokratisoineet kehittyneiden kiristysohjelmatyökalujen käytön, mikä on mahdollistanut sen, että myös vähäisillä teknisillä taidoilla voi suorittaa tehokkaita hyökkäyksiä", Mott sanoo. Tämä malli laskee käytön kynnystä hyökkääjille, minkä johdosta kiristysohjelmahyökkäykset ovat entistä helppokäyttöisempiä ja tehokkaampia.
"RaaS-ympäristöt ovat demokratisoineet kehittyneiden kiristysohjelmatyökalujen käytön, mikä on mahdollistanut sen, että myös vähäisillä teknisillä taidoilla voi suorittaa tehokkaita hyökkäyksiä." 
Jack Mott 
Microsoft Threat Intelligence

Mott pohtii lisäksi RaaS-ohjelmien toimintaa ja sanoo: "Näissä ympäristöissä on usein kattava joukko työkaluja, kuten salausohjelmisto, maksujen käsittely sekä jopa asiakaspalvelu lunnasmaksuista neuvottelemista varten. Tällainen avaimet käteen -menettely mahdollistaa sen, että laaja joukko uhkaavia toimijoita voi suorittaa kiristysohjelmakampanjoita, mikä kasvattaa hyökkäysten määrää ja vakavuutta."

Lisäksi Mott korostaa hyökkäysten koordinoitua luonnetta ja toteaa: "Kun kiristysohjelma on otettu käyttöön, hyökkääjät etenevät yleensä nopeasti kriittisten järjestelmien ja tietojen salaamiseksi. Yleensä kyse on tunneista. He kohdistavat hyökkäyksen tärkeään infrastruktuuriin, kuten potilastietueisiin, diagnostiikkajärjestelmiin ja jopa laskutukseen, vaikutuksen ja paineen maksimoimiseksi, jotta terveydenhuollon organisaatiot maksaisivat lunnaat."

Kiristysohjelmahyökkäykset terveydenhuollossa: Tärkeimpien uhkaavien toimijoiden ryhmien profiili

Terveydenhuoltosektorin kiristysohjelmahyökkäykset ovat yleensä hyvin järjestäytyneiden ja erikoistuneiden uhkaavien toimijoiden ryhmien suorittamia. Nämä ryhmät, joihin kuuluu sekä taloudellista hyötyä tavoittelevia kyberrikollisia että kehittyneitä valtioiden tukemia uhkaavia toimijoita, hyödyntävät edistyneitä työkaluja ja strategioita verkkojen luvattomaan käyttöön, tietojen salaamiseen sekä lunnaiden vaatimiseen organisaatioilta.

Uhkaavien toimijoiden joukkoon kuuluvat autoritaaristen valtioiden tukemat hakkerit ovat raporttien mukaan käyttäneet kiristysohjelmia ja jopa tehneet yhteistyötä kiristysohjelmaryhmien kanssa vakoilutarkoituksessa. Esimerkiksi Kiinan valtion tukemia uhkaavia toimijoita epäillään kiristysohjelmien käytöstä enenevissä määrin vakoilutoiminnan peittämiseksi.19

Iranilaiset uhkaavat toimijat vaikuttavat olevan kaikista aktiivisimpia hyökkäysten kohdistamisessa terveydenhuollon organisaatioihin vuonna 2024.20 Elokuussa 2024 Yhdysvaltojen valtionhallinto julkaisi varoituksen terveydenhuoltosektorille iranilaisesta uhkaavasta toimijasta nimeltä Lemon Sandstorm. Ryhmä "hyödynsi luvatonta verkon käyttöä yhdysvaltalaisissa organisaatioissa, kuten terveydenhuollon organisaatioissa, voidakseen mahdollistaa ja suorittaa ilmeisesti Venäjään liittyvien kiristysohjelmajengien kiristysohjelmahyökkäyksiä ja hyötyäkseen tulevista hyökkäyksistä".21

Seuraavat profiilit antavat lisätietoja joihinkin tunnetuimmista taloudellista hyötyä tavoittelevista kiristysohjelmaryhmistä, jotka kohdistavat hyökkäyksiä terveydenhuoltoon. Mukana ovat niiden menetelmät, tarkoitusperät sekä toiminnan vaikutus toimialaan.
  • Lace Tempest on tuottelias kiristysohjelmaryhmä, joka kohdistaa hyökkäyksiä terveydenhuoltoon. Ryhmä käyttää kumppaneita kiristysohjelman helppoon käyttöönottoon RaaS-mallin avulla. Ryhmä on yhdistetty sairaalajärjestelmiin kohdistuviin tehokkaisiin hyökkäyksiin, joissa salataan kriittisiä potilastietoja ja vaaditaan lunnaita. Kaksinkertaisesta kiristyksestä tunnettu ryhmä salaa tiedot ja lisäksi käyttää niitä luvatta, uhaten vuotaa arkaluonteiset tiedot ellei lunnaita makseta.
  • Sangria Tempest tunnetaan terveydenhuollon organisaatioihin kohdistuvista edistyneistä kiristysohjelmahyökkäyksistä. Hyökkääjät tekevät tietojen palauttamisesta lähes mahdotonta ilman lunnaiden maksamista, sillä he käyttävät kehittynyttä salausta. He hyödyntävät myös kaksinkertaista kiristystä käyttämällä potilastietoja luvatta ja uhkaamalla vuotaa ne. Hyökkäykset aiheuttavat laajaa toiminnallista häiriötä ja pakottaa terveydenhuoltojärjestelmät ohjaamaan resursseja uudelleen, mikä vaikuttaa potilastyöhön negatiivisesti.
  • Cadenza Tempest, joka tunnetaan palvelunestohyökkäyksistä (DDoS), on siirtynyt kasvavissa määrin terveydenhuollon kiristysohjelmatoimintaan. Ryhmä on tunnistettu venäjämielisiksi haktivisteiksi, jotka kohdistavat hyökkäyksiä Venäjän intressien näkökulmasta vihamielisten alueiden terveydenhuoltojärjestelmiin. Heidän hyökkäyksensä kuormittavat sairaalajärjestelmiä, häiritsevät kriittisiä toimintoja ja luovat kaaosta etenkin kiristysohjelmakampanjoihin yhdistettyinä.
  • Taloudellista hyötyä tavoitteleva Vanilla Tempest, joka on ollut aktiivinen heinäkuusta 2022 asti, on hiljattain alkanut käyttää RaaS-palveluntarjoajilta hankittua INC-kiristysohjelmaa Yhdysvaltojen terveydenhuoltoon kohdistuvissa hyökkäyksissä. Hyökkääjät hyödyntävät haavoittuvuuksia ja käyttävät mukautettuja komentosarjoja sekä Windowsin vakiotyökaluja voidakseen varastaa tunnistetietoja, liikkua sivusuuntaisesti ja ottaa kiristysohjelmia käyttöön. Ryhmä käyttää myös kaksinkertaista kiristystä, vaatien lunnaita järjestelmien avaamiseksi ja varastettujen tietojen julkaisemisen estämiseksi.

Entistä kehittyneempien kiristysohjelmahyökkäysten yleistyessä terveydenhuollon organisaatioiden on omaksuttava monitahoinen lähestymistapa kyberturvallisuuteen. Niiden on oltava valmiina kestämään kybertapaukset, reagoimaan niihin ja toipumaan niistä sekä ylläpitämään samalla potilastyön jatkuvuutta.

Seuraavat ohjeet tarjoavat kattavan kehyksen, jonka avulla voi parantaa resilienssiä, varmistaa ripeän palautumisen, edistää suojauskeskeistä työvoimaa ja kannustaa yhteistyöhön koko terveydenhuoltosektorilla.

Hallinto: Valmiuden ja resilienssin varmistaminen

Rakennus, jossa on paljon ikkunoita, sekä sininen pilvinen taivas

Tehokas hallinto terveydenhuollon kyberturvallisuudessa on olennaista, jotta kiristysohjelmahyökkäyksiin voidaan valmistautua ja jotta niihin voidaan reagoida. UC San Diego Center for Healthcare Cybersecurityn Dameff ja Tully suosittelevat luomaan vankan hallintokehyksen, johon kuuluu selkeät roolit, säännöllistä koulutusta ja osastojen välistä yhteistyötä. Näin terveydenhuollon organisaatiot voivat parantaa resilienssiään kiristysohjelmahyökkäyksiä vastaan ja varmistaa potilastyön jatkuvuuden jopa merkittävien häiriöiden sattuessa.

Olennainen osa kehystä on siilojen hajottaminen lääketieteellisen henkilöstön, IT-suojaustiimien sekä kriisinhallinnan ammattilaisten välillä, jotta yhtenäisiä tapausten käsittelysuunnitelmia voidaan kehittää. Tämä osastojen välinen yhteistyö on elintärkeää potilasturvallisuuden ja hoidon laadun ylläpitämisen kannalta, kun tekniset järjestelmät vaarantuvat.

Dameff ja Tully myös korostavat tarvetta erilliselle hallintoelimelle tai neuvostolle, joka tapaa säännöllisesti tarkistamaan ja päivittämään tapausten käsittelysuunnitelmat. He suosittelevat, että nämä hallintoelimet voivat testata käsittelysuunnitelmia realististen simulaatioiden ja harjoitusten kautta. Näin varmistetaan, että koko henkilöstö, myös nuoret lääkärit, jotka eivät ehkä ole ennen käsitelleet paperitietueita, ovat valmiina toimimaan tehokkaasti ilman digitaalisia työkaluja.

Lisäksi Dameff ja Tully korostavat ulkoisen yhteistyön tärkeyttä. He kannattavat alueellisia ja kansallisia kehyksiä, joiden avulla sairaalat voivat tukea toinen toistaan suuren mittakaavan tapauksissa, mikä tarkoittaa tarvetta "strategiselle kansalliselle teknologiavarastolle", joka voi tarvittaessa korvata vaarantuneet järjestelmät.

Resilienssi ja strateginen reagointi

Terveydenhuollon kyberturvallisuuden resilienssi on muutakin kuin tietojen suojaamista. Siihen kuuluu sen varmistaminen, että kokonaiset järjestelmät voivat kestää hyökkäykset ja palautua niistä. Kattava lähestymistapa resilienssiin on olennaista: potilastiedot tulee suojata ja samalla vahvistaa koko infrastruktuuria, joka tukee terveydenhuollon toimintoja. Tämä sisältää koko järjestelmän, kuten verkon, toimitusketjun ja lääketieteelliset laitteet.

Syvällisen puolustusstrategian omaksuminen on tärkeää, jotta kerroksittainen suojaustaso voi tehokkaasti pysäyttää kiristysohjelmahyökkäykset.

Syvällisen puolustusstrategian omaksuminen on tärkeää, jotta kerroksittainen suojaustaso voi tehokkaasti pysäyttää kiristysohjelmahyökkäykset. Strategiaan kuuluu terveydenhuollon infrastruktuurin jokaisen kerroksen suojaaminen aina verkosta päätepisteisiin ja pilvipalveluihin. Kun useita puolustuskerroksia on käytössä, terveydenhuollon organisaatiot voivat pienentää menestyksekkään kiristysohjelmahyökkäyksen riskiä.

Osana tätä kerroksittaista lähestymistapaa Microsoft Threat Intelligence -tiimit valvovat aktiivisesti hyökkääjien toimintaa Microsoftin asiakkaiden puolesta. Kun toimintaa havaitaan, lähetetään suora ilmoitus.

Tämä ei ole maksullinen tai porrastettu palvelu – kaikenkokoiset yritykset saavat saman palvelun. Tarkoituksena on tarjota pikaisesti ilmoitus, kun kiristysohjelmien kaltainen potentiaalinen uhka havaitaan, ja auttaa vaiheissa organisaation suojaamiseksi.

Näiden puolustuskerrosten toteuttamisen lisäksi on olennaista ylläpitää tehokasta tapausten käsittely- ja havaitsemissuunnitelmaa. Suunnitelman olemassaolo ei riitä, vaan terveydenhuollon organisaatioiden on oltava valmiina toteuttamaan se tehokkaasti oikean hyökkäyksen tapahtuessa, jotta vahingot voidaan minimoida ja nopea palautuminen varmistaa.

Lisäksi jatkuva valvonta sekä reaaliaikaiset havaitsemisominaisuudet ovat olennaisia osia vankkaa tapausten käsittelykehystä. Niiden avulla varmistetaan, että potentiaaliset uhat tunnistetaan ja käsitellään ripeästi.

Jos haluat lisätietoja kyberresilienssistä terveydenhuollossa, Department of Health and Human Services (HHS) julkaisi vapaaehtoisia terveydenhuoltoon keskittyviä kyberturvallisuuden suorituskykytavoitteita (CPG), joiden avulla terveydenhuollon organisaatiot voivat priorisoida tehokkaiden kyberturvallisuuskäytäntöjen toteuttamisen.

CPG:t luodaan yhteistyöpainotteisen julkisen tai yksityisen kumppanuusprosessin kautta ja ne käyttävät yhteisiä toimialan kyberturvallisuuden kehyksiä, ohjeita, parhaita käytäntöjä ja strategioita. CPG:t muodostavat kyberturvallisuuskäytäntöjen alijoukon, jota terveydenhuollon organisaatiot voivat käyttää kybervalmiuden vahvistamiseksi, kyberresilienssin parantamiseksi ja potilaiden terveystietojen ja turvallisuuden suojaamiseksi.

Vaiheet toiminnan nopeaan palauttamiseen ja tietoturvan vahvistamiseen hyökkäyksen jälkeen

Kiristysohjelmahyökkäyksestä palautuminen vaatii järjestelmällisen lähestymistavan, jotta nopea paluu normaaliin toimintaan voidaan varmistaa ja tulevat tapaukset estää. Alla on toimintavaiheita, joiden avulla vahingot voidaan arvioida, vahingoittuneet järjestelmät palauttaa ja suojaustoimia vahvistaa. Seuraamalla ohjeita terveydenhuollon organisaatiot voivat auttaa lieventämään hyökkäyksen vaikutuksia ja vahvistamaan puolustustaan tulevia uhkia vastaan.
Arvioi vaikutusta ja hillitse hyökkäystä

Eristä järjestelmät välittömästi, jotta leviäminen voidaan estää.
Palauta tunnetuista hyvistä varmuuskopioista

Varmista, että puhtaat varmuuskopiot ovat käytettävissä ja vahvistettuja ennen toiminnan palauttamista. Ylläpidä offline-varmuuskopioita kiristysohjelmien salauksen välttämiseksi.
Rakenna järjestelmät uudelleen

Harkitse vaarantuneiden järjestelmien rakentamista uudelleen korjaamisen sijaan piilevien haittaohjelmien poistamiseksi. Käytä Microsoft Incident Response -tiimin ohjeita järjestelmien rakentamiseen uudelleen turvallisesti. 
Vahvista suojauksen hallintatoimia hyökkäyksen jälkeen

Vahvista hyökkäyksen jälkeistä suojaustasoa käsittelemällä haavoittuvuudet, korjaamalla järjestelmät ja parantamalla päätepisteen havaitsemistyökaluja.
Suorita tapauksen jälkeinen tarkistus

Työskentele ulkopuolisen suojauspalveluntarjoajan kanssa ja analysoi hyökkäys, jotta heikot kohdat voidaan tunnistaa ja puolustusta parantaa tulevien tapausten varalta.

Kehitä suojauskeskeinen työvoima

Mies ja nainen katsovat naisen kasvoja.

Suojauskeskeisen työvoiman luominen vaatii jatkuvaa yhteistyötä työntekijöiden välillä.

Suojauskeskeisen työvoiman luominen vaatii jatkuvaa yhteistyötä työntekijöiden välillä. On tärkeää hajottaa siilot IT-suojaustiimien, kriisinhallinnan ammattilaisten sekä lääketieteellisen henkilöstön välillä, jotta yhtenäisiä tapausten käsittelysuunnitelmia voidaan kehittää. Ilman tätä yhteistyötä sairaalan muut työntekijät eivät välttämättä ole riittävän valmistautuneita reagoimaan tehokkaasti kybertapauksen aikana.

Koulutus ja tietoisuus

Tehokas koulutus ja vahva ongelmista ilmoittamisen kulttuuri ovat olennaisia osia terveydenhuollon organisaation puolustusta kiristysohjelmia vastaan. Koska terveydenhuollon ammattilaiset asettavat yleensä potilastyön etusijalle, he eivät välttämättä ota kyberturvallisuutta huomioon, mikä voi altistaa heidät kyberuhkille.

Jatkuvaan koulutukseen onkin sisällytettävä kyberturvallisuuden perustiedot, kuten tietojenkalastelusähköpostien havaitseminen, epäilyttävien linkkien napsauttamisen välttäminen sekä yleisten käyttäjän manipulointitaktiikoiden tunnistaminen.

Microsoftin kyberturvallisuustietoisuuden resurssit voivat auttaa tässä.

"Henkilöstön kannustaminen suojausongelmista ilmoittamiseen ilman pelkoa syyllistämisestä on erittäin tärkeää", kertoo Mott Microsoftilta. "Mitä aiemmin ilmoitus tehdään, sen parempi. Parhaassa tapauksessa ilmoitus on turha."

Säännöllisten harjoitusten ja simulaatioiden tulisi myös imitoida todellisia hyökkäyksiä, kuten tietojen kalastelua tai kiristysohjelmaa, jotta henkilöstö voi harjoitella reagointia hallitussa ympäristössä.

Tiedon jakaminen, yhteistyö ja kollektiivinen puolustus

Koska kiristysohjelmahyökkäysten määrä lisääntyy yleisesti (Microsoft on havainnut vuosittaisen 2,75 kasvun asiakkaidemme keskuudessa16), kollektiivinen puolustusstrategia on olennaista. Sisäisten tiimien, alueellisten kumppanien ja laajojen kansallisten ja maailmanlaajuisten verkostojen yhteistyö on äärimmäisen tärkeää, jotta terveydenhuollon toiminta ja potilasturvallisuus voidaan turvata.

Kun nämä ryhmät suunnittelevat ja toteuttavat kattavia tapausten käsittelysuunnitelmia yhdessä, toiminnallinen kaaos hyökkäysten yhteydessä voidaan välttää.

Dameff ja Tully alleviivaavat sen tärkeyttä, että usein yksin työskentelevistä henkilöistä, kuten lääkäreistä, kriisinhallintapäälliköistä ja IT-suojaushenkilöstöstä, koostuvat sisäiset tiimit yhdistetään. Kun nämä ryhmät suunnittelevat ja toteuttavat kattavia tapausten käsittelysuunnitelmia yhdessä, toiminnallinen kaaos hyökkäysten yhteydessä voidaan välttää.

Alueellisella tasolla terveydenhuollon organisaatioiden tulisi muodostaa kumppanuuksia, joiden ansiosta terveydenhuollon toimipisteet voivat jakaa kapasiteettia ja resursseja. Näin varmistetaan potilastyön jatkuvuus myös silloin, kun kiristysohjelma vaikuttaa osaan sairaaloista. Tällainen kollektiivisen puolustuksen muoto voi myös auttaa hallitsemaan potilaskertymää ja jakamaan työtaakkaa terveydenhuollon eri palveluntarjoajien välillä.

Alueellisen yhteistyön lisäksi kansalliset ja maailmanlaajuiset tiedon jakamisen verkostot ovat keskeisessä asemassa. Tiedon jakamisen ja analyysin keskukset (ISAC), kuten Health-ISAC, toimivat ympäristöinä, joissa terveydenhuollon organisaatiot voivat vaihtaa elintärkeitä uhkatietoja. Errol Weiss, Health-ISAC:n tietoturvapäällikkö, vertaa näitä organisaatioita "virtuaalisiin naapurustovahtiohjelmiin," joissa jäsenorganisaatiot voivat nopeasti jakaa tietoa hyökkäyksistä ja toimivista lieventämistekniikoista. Tällainen tiedon jakaminen auttaa muita vastaaviin uhkiin valmistautumisessa tai niiden estämisessä, mikä vahvistaa kollektiivista puolustusta suuressa mittakaavassa.

  1. [1]
    Microsoftin sisäiset uhkatiedot, Q2, 2024
  2. [2]
    (Executive Summary for CISOs: Current and Emerging Healthcare Cyber Threat Landscape; Health-ISAC and the American Hospital Association (AHA))  
    (https://go.microsoft.com/fwlink/?linkid=2293307)
  3. [3]
    "TRANSKRIPTIO: House Committeen kuuleminen Microsoftin kyberturvallisuuspuutteiden arvioimiseksi", Tech Policy Press, 15. kesäkuuta 2024
  4. [4]
    "Terveydenhuollon organisaatiot menettävät keskimäärin USD$900,000 päivässä kiristysohjelmahyökkäyksistä johtuvan käyttämättömyystilan vuoksi", Comparitech, 6. maaliskuuta 2024
  5. [5]
    "Healthcare Ransomware Attacks Continue to Increase in Number and Severity", The HIPAA Journal, syyskuu 2024
  6. [6]
    Hacked to Pieces? The Effects of Ransomware Attacks on Hospitals and Patients; https://go.microsoft.com/fwlink/?linkid=2292916
  7. [7]
    Ransomware Attack Associated With Disruptions at Adjacent Emergency Departments in the US; Ransomware Attack Associated With Disruptions at Adjacent Emergency Departments in the US | Emergency Medicine | JAMA Network Open | JAMA Network
  8. [8]
    https://go.microsoft.com/fwlink/?linkid=2293508
  9. [9]
    "Ascension Ransomware Attack Hurts Financial Recovery", The HIPAA Journal, 20. syyskuuta 2024
  10. [10]
    "Patient Data Exposed in Phishing Attack on UC San Diego Health", The HIPAA Journal, 13. maaliskuuta 2024
  11. [11]
    "Ransomware Attack Key Factor in Decision to Close Rural Illinois Hospital", The HIPAA Journal, 14. kesäkuuta 2023
  12. [12]
    "Healthcare Ransomware Attacks Continue to Increase in Number and Severity", The HIPAA Journal, syyskuu 2024
  13. [13]
    https://go.microsoft.com/fwlink/?linkid=2293219
  14. [14]
    Sairaaloiden yhdistymisiä oli enemmän vuonna 2023, ja taloudellinen ahdinko lisää sopimuksia (chiefhealthcareexecutive.com)
  15. [15]
    Interoperability and Methods of Exchange among Hospitals in 2021 | HealthIT.gov
  16. [16]
    Microsoftin digitaalisen suojauksen raportti 2024, Microsoft, sivu 27
  17. [17]
    Microsoft Threat Intelligence -telemetria, 2024
  18. [18]
    "Known Exploited Vulnerabilities Catalog", CISA, 2024
  19. [19]
    https://go.microsoft.com/fwlink/?linkid=2293016
  20. [20]
    Microsoft Threat Intelligence -tiedot terveydenhuoltosektorin kyberuhkista, 2024
  21. [21]
    https://go.microsoft.com/fwlink/?linkid=2293213
Kiristysohjelmat Tietoverkkorikokset

Lisää tietoturvasta

Kyberresilienssin hygieniaopas

Perustietoverkkohygienia on edelleen paras tapa puolustaa organisaation käyttäjätietoja, laitteita, tietoja, sovelluksia, infrastruktuuria ja verkkoja 98 prosentilta kaikista verkkouhista. Tutustu käytännön vinkkeihin kattavassa oppaassa.
Lue lisää

Sisäpiirin tietoa sairaaloita häiritsevien ja ihmishenkiä vaarantavien hakkereiden torjunnasta

Lue lisää uusimmista nousevista uhista Microsoftin uhkatiedoista ja -tutkimuksesta. Hanki analyysi suuntauksista sekä toimintaohjeita, joiden avulla voit vahvistaa ensimmäistä puolustuslinjaa.
Lue lisää

Luottamusyhteiskunnan hyödyntäminen: käyttäjän manipulointipetos

Tutustu kehittyvään digitaaliseen ympäristöön, jossa luottamus on sekä valuutta että haavoittuvuus. Tutustu kyberhyökkääjien eniten käyttämiin käyttäjien manipulointitaktiikoihin sekä strategioihin, oiden avulla voit tunnistaa ja torjua käyttäjien manipulointiuhkia, joilla pyritään huijaamaan ihmisiä.
Lue lisää

Seuraa Microsoft Securitya