Обновлено 17 мая 2021.
В СМИ появилась информация о том, что система здравоохранения Ирландии — Health Service Executive (HSE) — стала жертвой шифровальщика-вымогателя. Для тщательного расследования и защиты от дальнейшего распространения угрозы HSE была вынуждена отключить ключевые информационные системы. Целый ряд клиник разного профиля сообщили о временном прекращении работы, хотя экстренная помощь продолжает оказываться, да и вакцинация против COVID-19 не прерывается. Некоторым учреждениям приходится возвращаться к устаревшим системам документооборота.
Атака на ирландскую систему здравоохранения: что происходит?
По словам представителей HSE, они уверены в том, что «значительный сбой» сервисов вызван сложной атакой шифровальщика, непосредственно управляемой людьми. Инциденты такого рода гораздо сложнее выявить и заблокировать, поскольку злоумышленники корректируют и направляют атаку по ходу дела.
В изучении инцидента принимают участие эксперты сторонних компаний по безопасности и правоохранительные органы. Пока расследование в самом начале, поэтому подробности атаки до сих пор не известны. Однако представители HSE считают, что основная цель злоумышленников — данные, хранящиеся на серверах HSE.
Как сообщает BBC, представители Rotunda Hospital, одного из медицинских учреждений, затронутых атакой, считают, что вектором распространения угрозы могла быть общая для всех входящих в HSE учреждений система регистрации пациентов. Впрочем, оборудование для оказания экстренной помощи не затронуто — пострадали только медицинские записи в базах данных.
Надо сказать, учреждения из области здравоохранения по всему миру в последнее время все чаще сталкиваются с угрозой шифровальщиков-вымогателей. А поскольку от их нормального функционирования напрямую зависят здоровье и жизни людей, им следует относиться к информационной безопасности с особым вниманием.
Кто стоит за атакой и что они хотят?
По данным Bleeping Computer с HSE связались операторы шифровальщика Conti, и потребовали выкуп в почти 20 миллионов долларов США. Злоумышленники заявляют, что прежде чем зашифровать данные, они находились в сети HSE более двух недель и успели скачать 700 Гбайт незашифрованных файлов, включая данные пациентов, сотрудников, контракты, финансовые документы и многое другое. Теперь они угрожают опубликовать эти данные, если не получат требуемую сумму.
Впрочем, премьер-министр Ирландии ясно дал понять, что выкуп уплачен не будет. На наш взгляд, это правильное решение.
Как защитить здравоохранение от шифровальщиков
Для того чтобы исключить заражение, рекомендуется в первую очередь уделять внимание контролю и защите инструментов для удаленного доступа к корпоративным ресурсам и защите электронной почты — сейчас это два самых распространенных канала заражения шифровальщиками. Кроме того, важна осведомленность сотрудников о современных киберугрозах: без нее ошибка или недосмотр сотрудника могут привести к катастрофе.
В частности, мы рекомендуем:
- Повышать осведомленность сотрудников о современных киберугрозах. Современная медицина очень сильно завязана на компьютеры, поэтому даже врачи и медсестры должны понимать, откуда может исходить угроза и как ей противостоять.
- Не использовать удаленные подключения к внутренним сетям, если в этом нет крайней необходимости.
- Вести строгую парольную политику: пароли ко всем сервисам должны быть уникальными, сложными, а главное — они должны храниться надежно.
- Своевременно устанавливать патчи (и в первую очередь к операционным системам, решениям, обеспечивающим VPN-доступ и защитным продуктам).
- Использовать качественные защитные решения на всех без исключения устройствах, имеющих доступ к Интернету, — причем тут не следует забывать о медицинской технике и разных информационных киосках и панелях.
- Не забывать о защите корпоративной почты— изрядная часть угроз попадает в инфраструктуру компании именно оттуда.
Кроме того, предотвратить атаку шифровальщика могут решения класса Endpoint Detection and Response — они помогают выявить угрозу на ранней стадии, а также облегчают реагирование и расследование.