За даними Claroty, 89% організацій охорони здоров’я мають у своїх мережах 1% найризикованіших пристроїв Інтернету медичних речей (IoMT), які містять відомі вразливості (KEV), пов’язані з активними кампаніями програм-вимагачів, а також незахищене з’єднання з Інтернетом. Ці цифри представляють чітко цілеспрямовану, критичну область, де більшість команд безпеки повинні визначити пріоритет своїх зусиль з усунення.
Звіт базується на аналізі понад 2,25 мільйона пристроїв IoMT і 647 000 операційних технологій (OT) у 351 медичній організації.
Порушення безпеки в пристроях IoMT загрожують організаціям охорони здоров’я
Кібератаки на організації, що надають медичну допомогу (HDO) та інші організації, є частиною шквалу ризиків, з якими стикаються CISO у секторі, головною метою якого є збереження безпеки пацієнтів і безперервна доступність медичної допомоги. CISO обтяжений керуванням парком застарілих успадкованих технологій, які мають уразливі місця в безпеці операційних систем та інших технологій, які їхні відповідні постачальники більше не підтримують.
Між тим, латання значною мірою не залежить від лідерів безпеки; Керівники CISO повинні сидіти й спостерігати за постійним перетягуванням каната між виробниками медичних пристроїв і Управлінням з контролю за продуктами й ліками США (FDA), яке відповідає за перевірку будь-яких змін, пов’язаних із кібербезпекою, внесених до медичних пристроїв. Ризик зростає, і поверхня атак мереж HDO зростає, оскільки до Інтернету підключається все більше пристроїв так званого Інтернету медичних речей (IoMT), багато з яких ніколи не розроблялися з урахуванням кібербезпеки.
9% пристроїв IoMT містять підтверджені KEV у своїх системах, що впливає на 99% організацій. 8% систем візуалізації (рентгенівські промені, КТ, МРТ, ультразвук тощо) мають KEV, пов’язані з програмами-вимагачами та незахищеним підключенням до Інтернету, що робить цю категорію найризикованіших медичних пристроїв і впливає на 85% організацій.
20% лікарняних інформаційних систем (HIS), які керують клінічними даними пацієнтів, а також адміністративною та фінансовою інформацією, мають KEV, пов’язані з програмами-вимагачами та незахищеним підключенням до Інтернету, що впливає на 58% організацій.
Синдикати кіберзлочинців полюють на лікарні
Російські кіберзлочинні угруповання, серед інших корисливих груп, холоднокровно атакували лікарні. Їхня стратегія зрозуміла: враховуючи недоліки кібербезпеки в основній інфраструктурі в лікарнях і потребу організацій підтримувати належний рівень обслуговування пацієнтів, HDO вважаються одними з об’єктів критичної інфраструктури, які, швидше за все, задовольнять більшість вимог щодо викупу.
Тим часом групи програм-вимагачів використовують не лише зловмисне програмне забезпечення, яке шифрує критично важливі системи та файли. Атаки з подвійним вимаганням є нормою у 2025 році: зловмисники викрадають облікові дані та використовують безліч уразливостей у додатках і системах, що виходять з Інтернету, щоб закріпитися в лікарняній мережі.
Зокрема, дві афілійовані з Росією групи, Black Basta та BlackCat/ALPHV, вважаються відповідальними за найбільші порушення 2024 року в секторі охорони здоров’я: атаки на Ascension і Change Healthcare відповідно.
78% організацій, які взяли участь в опитуванні, повідомили про виплати програм-вимагачів на суму від 500 000 доларів США. 39% задовольнили вимоги викупу в розмірі від 1 до 5 мільйонів доларів.
Зловмисники націлені не лише на лікарні, але й на ланцюг постачання, платіжні процесори та інші сторонні організації в секторі. Геополітика також є частиною картини; Пов’язані з державою суб’єкти та угруповання кіберзлочинців співпрацюють і надають мовчазну підтримку для досягнення своїх цілей, будь то отримання прибутку чи сіяння недовіри в секторі охорони здоров’я.
Уразливості IoMT піддають лікарням ризику
Використання підключених хірургічних пристроїв зростає в лікарнях. В ідеалі в будь-якій із цих систем не має бути жодної вразливості, але всі вони працюють на програмному забезпеченні та вбудованому програмному забезпеченні з кодом, написаним людьми, які помиляються. І хоча тут відносно невелика кількість пристроїв, які знаходяться в зоні ризику, це дуже серйозні випадки впливу, які, якщо вони скомпрометовані під час атаки та недоступні, становлять реальну загрозу для догляду та благополуччя пацієнтів.
Пристрої IoMT, особливо ті, що працюють на застарілих операційних системах Windows і Linux, які більше не підтримуються оновленнями безпеки або функцій,
під особливий ризик. Значний відсоток організацій, які керують цими загрозливими пристроями, також ненадійно підключили ці пристрої до Інтернету.
Підключені пристрої стають все більш незамінною необхідністю в охороні здоров’я, і організації повинні розуміти наслідки незахищеного доступу. 93% організацій підтвердили KEV і незахищені підключення до Інтернету для IoMT.
«Лікарні перебувають під величезним тиском щодо цифрової трансформації, одночасно забезпечуючи безпеку критично важливих систем, які підтримують обслуговування пацієнтів», — сказав Тай Грінхалг, головний галузевий відділ охорони здоров’я в Claroty. “Кіберзлочинці, особливо групи програм-вимагачів, використовують застарілу технологію та незахищене підключення, щоб закріпитися в мережах лікарень. Щоб протистояти цим загрозам, керівники служб безпеки охорони здоров’я повинні застосувати підхід, орієнтований на викриття, — віддаючи пріоритет найбільш критичним уразливостям і узгоджуючи зусилля з усунення галузевих інструкцій, як-от Цілі кіберефективності HHS HPH, — щоб захистити безпеку пацієнтів і забезпечити безперервність роботи”.
Тривожна реальність кібербезпеки охорони здоров’я
