Служител на Медицинския център на Университета на Върмонт случайно отвори файл, изпратен по имейл от нейната асоциация на собствениците на жилища, който беше хакнат през октомври 2020 г.
Тази грешка в крайна сметка доведе до това, че здравната мрежа на Университета на Върмонт, която включва най-голямата болница в щата в Бърлингтън, трябваше да отмени операции, да отложи срещите за мамография и да отложи лечението на някои пациенти с рак.
Последвалата атака с ransomware принуди служителите да спрат всички интернет връзки, включително достъпа до електронните здравни досиета на пациентите, за да попречат на киберпрестъпниците да нанасят повече щети.
„Всичко беше надолу. Така че телефоните ни бяха изключени. Вече нямахме факс машини. … Не можете да използвате имейл за комуникация,” д-р Стивън Лефлър, президент на системата и главен оперативен директор каза за атаката в скорошен подкаст от Американската болнична асоциация. „Първата вечер всъщност изпратихме хора до Best Buy, за да купят уоки-токита.“
През последните няколко години все по-голям брой болници и здравни организации в САЩ се сблъскаха с кибератаки, прекъсващи грижите и излагащи на риск пациентите. Това включва някои обществени здравни заведения, управлявани от държавни или местни власти.
„Болниците бяха доста силно засегнати от силно въздействащи атаки на ransomware по време на пандемията“, каза Джон Риги, национален съветник по киберсигурност и риск в Американската болнична асоциация.
Риги отбеляза, че по време на пандемията болниците трябваше бързо да разширят мрежовата и свързаната с интернет технология и да внедрят отдалечени системи в подкрепа на персонала, преминал към работа от разстояние.
„Лошите момчета се възползваха от това и имаха повече възможности да влязат в нашите мрежи“, каза той.
Атаките с рансъмуер принудиха някои болници да прекъснат химиотерапията, да забавят докладването на лабораторните резултати и да отложат часовете за пациентки по майчинство.
Някои трябваше да отклоняват линейки, защото спешните им отделения не можеха да приемат нови пациенти.
„Виждали сме това при множество атаки с ransomware, особено при малки болници“, каза Риги. „Следващото спешно отделение може да е на 125 мили.“
Само миналия месец Министерството на здравеопазването и човешките услуги на САЩ издаде предупреждение за агресивна банда за рансъмуер, която атакува здравни организации. Сред жертвите му: мрежа от болници и клиники в Охайо и Западна Вирджиния, които трябваше да отменят операции и да пренасочат пациенти със спешни случаи към други съоръжения.
И с повишената заплаха от руски кибератаки срещу САЩ след нахлуването в Украйна, здравните системи са още по-уязвими, защото се смятат за критична инфраструктура, казват експерти.
„Не сме запознати с никакви конкретни правдоподобни преки заплахи за американските болници и здравни системи“, каза Риги. „Но ние сме загрижени, че те могат да станат съпътстваща щета при атаки, предприети от Русия. Или че рускоезичните банди ще предприемат ответни атаки срещу Запада.
През февруари Агенцията за киберсигурност и сигурност на инфраструктурата на САЩ издаде предупреждение „Вдигнете щитове“ за нарастващата руска киберзаплаха за организациите.
Ransomware отвлича компютърни системи и ги държи като заложници, докато жертвите не платят откуп или възстановят системата сами. Обикновено се разпространява чрез фишинг, при който хакерите изпращат по имейл злонамерени връзки или прикачени файлове и хората неволно кликват върху тях, отприщвайки зловреден софтуер.
През 2020 г. и 2021 г. е имало най-малко 168 атаки с ransomware, засягащи 1763 клиники, болници и здравни организации в САЩ, според Брет Калоу, анализатор на заплахи за компанията за киберсигурност Emsisoft.
Проучване от ноември сред 132 ръководители в здравеопазването, повечето от Съединените щати, установи, че рансъмуерът е номер 1 заплаха за киберсигурността, повече от пробиви на данни или вътрешни заплахи, според Центъра за споделяне и анализ на здравна информация, глобална организация с нестопанска цел група за споделяне на киберзаплахи за индустрията на здравеопазването.
„Преминаването от хартиени здравни досиета към електронни здравни досиета направи информацията за здравето на пациентите по-достъпна, но тези досиета са по-уязвими от атаки и са изключително доходоносни“, се отбелязва в доклада. В него се казва, че хакерите могат да поискат 50 долара за частично здравно досие, срещу 1 долар за откраднато социално осигуряване или номер на кредитна карта.
Исторически секторът на здравеопазването играе наваксващо изоставане, когато става въпрос за киберсигурност, според Ерол Вайс, главен служител по сигурността на групата за споделяне на здравна информация.
„Фокусът беше спазването на [федералните изисквания, свързани с] поверителността на данните на пациентите, а не киберсигурността“, каза Вайс. „За съжаление, много здравни организации не са толкова добри, колкото би трябвало да бъдат и бяха лесна плячка.“
Пандемията влоши нещата, тъй като болниците бяха преизпълнени и бяха заети с тежко болни пациенти с COVID-19.
„Това беше перфектната буря, между софтуера за откуп, целия свръхкапацитет, изтощените хора и колко уязвими бяха системите“, каза Вайс.
Някои киберпрестъпници умишлено се насочват към здравни организации; други атаки са масивни фишинг кампании, които се случва да закачат служител или изпълнител и да въведат зловреден софтуер в мрежата, като атаката на Медицинския център на университета във Върмонт.
Нападателите криптираха 1300 сървъра на болницата и депозираха злонамерен софтуер на 5000 устройства, каза д-р Дъг Джентиле, старши вицепрезидент по информационни технологии в здравната мрежа на Университета на Върмонт.
Електронната здравна мрежа беше в отделна част от мрежата, но екипът проактивно я свали в главната болница и амбулаторните клиники на три други болници, за да ги предотврати от атака, според Gentile.
Длъжностни лица никога не са се свързали с киберпрестъпниците или са платили откуп, каза той, и никакви данни на пациенти не са били компрометирани.
Въпреки че болницата имаше добра компютърна система за архивиране, все пак бяха необходими 28 дни, за да се възстанови инфраструктурата и да се архивират електронните здравни досиета, каза Джентиле. Отне още няколко месеца, за да се възстанови цялата система.
Близо месец лекарите и медицинските сестри трябваше да правят всичко на хартия.
„Току-що бяхме прекарали десетилетие, за да премахнем хартията от нашата система“, каза Джентиле. „Изведнъж имахме хартия навсякъде. Трябваше да вземем шкафове за файлове.
За по-младите лекари това беше учебно преживяване.
„Повечето от тях никога преди не са писали заповеди на хартия“, каза той. „Имахме хора, които обикаляха по етажите и помагаха на тези хора да пишат поръчки на хартия, защото по-новите лекари не знаеха как да го направят.“
Друг проблем: служителите нямаха достъп до графиците на клиниката за пациентите, така че в продължение на няколко дни не знаеха кой трябва да дойде или кога.
Кибератаката струва на болничната система във Върмонт около 54 милиона долара, включително възстановяване на компютърната мрежа и загуба на приходи, казаха служители.
След атаката те са подобрили усъвършенстваната защита на защитната стена и антивирусния софтуер и са блокирали достъпа до личния имейл на работните компютри, каза Джентиле. Те също така редовно изпращат фишинг имейли до служителите като тест.
„Това е продължаваща оръжейна война. Групите, извършващи тези атаки, са много сложни, много корпоративни“, каза той. „Винаги сме в повишена готовност, опитвайки се да изградим защитата си срещу нова атака.“
Тази статия беше публикувана за първи път в Stateline, инициатива на The Pew Charitable Trusts.