עליית במתקפות הכופר נגד ארגוני בריאות
דיוויד היגינס, המנהל הטכני של סייברארק באזור EMEA, מסביר מדוע דווקא סקטור הבריאות פגיע במיוחד למתקפות כופר
ישראל דיפנס
| 30/09/2021
bigstock
כולנו מודעים למחיר הכבד שענפים מסוימים משלמים במגפה הכלל עולמית. למשל, מצוקתם של עסקים קמעוניים או עסקי האירוח משכה תשומת לב ציבורית רבה. ואולם, תעשיית שירותי הבריאות משלמת את המחיר הכבד ביותר, במיוחד אם נזכור את התפקיד המכריע שהיא ממלאת עבור כולנו בשנה וחצי האחרונות.
אם אתם חושבים שהאתגר העיקרי של מגזר שירותי הבריאות הוא נגיף הקורונה ומחסור במשאבים, דעו שיש יריב משמעותי נוסף שעמו מתמודדים ספקי שירותי בריאות והוא גם בלתי נראה: מדובר בגל מתמיד של מתקפות סייבר המתבצעות בשיטת הכופר (ransomware).
זהו יריב חזק שאי אפשר להתעלם ממנו. בתי חולים שפועלים במצב אופליין עלולים להיות חשופים לאיום קריטי לטיפול בחולים. מתחילת משבר הקורונה, עובדים רבים של מערכת הבריאות לא יכלו להיכנס לרשומות הרפואיות האלקטרוניות של המטופלים או למכשור רפואי המתבסס על קישוריות אינטרנט עקב מתקפות סייבר.
בלית ברירה, הם משתמשים בתיעוד רפואי הנערך בכתב יד. מצב כזה אינו אמור להתרחש. ארגונים המספקים שירותי בריאות עוסקים בחיים ומוות. הם אינם יכולים להרשות לעצמם להתמקח על תשלומי כופר בזמן שמערכות המחשוב שלהן מוחזקות כבנות ערובה.
מתקפות כופר אינן דבר חדש. בין 2014 ל-2020 הותקפו כשליש מארגוני שירותי הבריאות הפועלים במינוי ממשלתי בבריטניה במתקפות כופר, אשר על פי ההערכות, גרמו לכ-206 ימי השבתה. אין ספק שנתונים אלה החמירו במהלך המגפה. רק לפני כמה חודשים גרמה התקפה על מערכת הבריאות של אירלנד באזור הים האירי לצמצום של יותר מ-80% במספר התורים שמטופלים קבעו עם רופאים, נתון המשקף בבירור פגיעה קשה ברווחתם.
אם כך, כולנו יודעים שמתקפות כופר הן אויב מוכר. מה יכולים ספקי שירותי הבריאות לעשות כדי להתמודד עם הסיכונים?
נקודות התורפה האופייניות של בתי חולים
בתי חולים מלאים במכשור רפואי: החל ממוניטורים ניידים בעמדת האחיות וכלה בחדרי ניתוח. מכשור זה מספק לצוות הרפואי גישה לנתונים בזמן אמת שהינם קריטיים לטיפול בחולים. ואולם, דווקא הגישה הידידותית למכשירים אלה הופכת אותם – ואת נתוני החולים החיוניים המאוחסנים בהם – לפגיעים להאקרים תוקפים.
עם זאת, לאנשים המנהלים את יחידות המחשוב בגופי הבריאות יש עוד עבודה. ארגונים רבים ממשיכים להשתמש בתוכנות ישנות הרגישות לחולשות אבטחה במקום להטמיע מערכות הפעלה וטלאים מודרניים. ארגונים אחרים אינם מגיבים מהר מספיק למאמציהם של התוקפים להשתלט על התקני האינטרנט של הדברים (IoT). מספיק להיזכר במתקפת WannaCry הנרחבת על מערכות הבריאות כדי להבין לאיזה תרחיש סיוטי התקפות כאלה עלולות לגרום.
הסרת המחסומים בפני תוכנות הכופר
כיום, כל אחד יכול לפרוץ למערכות מחשוב פגיעות עם "ערכות" כופר, שקל לרכוש בדארק ווב. שירותי בריאות מהווים מטרה אטרקטיביות למתקפות אלה משום שהן שומרים רשומות אלקטרונית שבהן מידע חסוי על מטופלים. פעמים רבות, רשומות אלו אינן נשמרות בהתאם לתקנים המקובלים בתעשייה. בנוסף, לא ניתן למחוק את הרשומות האלו אחרי פרק זמן מסוים, כפי שמקובל בענפים אחרים.
במקביל, תוקפים מיומנים משכללים את יכולתם לפגוע בחולשות של תשתית המחשוב הארגונית. רבים מהם נוהגים לעקוב אחר מערכות במשך זמן רב לפני שהם יוצאים למתקפה ולעתים קרובות פורצים לפרצות ישנות או לחשבונות משתמשים שנותרו ממערכות של קבלנים קודמים.
ברגע שהתוקפים הצליחו להיכנס למערכת, המטרה הבאה היא לקצור הרשאות המעניקות גישה רחבה עוד יותר למערכות ולחפש מכשירים ונתונים רבי ערך שאפשר לנצל כדי להפיק מהם רווחים. ברגע שהאקרים השיגו את ההרשאות המתאימות, הם מנסים לחלץ כמויות נתונים גדולות, כגון מידע אישי מזהה (PII).
מנקודה זאת ואילך, ההאקרים משתמשים בהרשאות הגנובות כדי להתחמק מגילוי, להשתלט על זהויות משתמשים ולחיפוש דרכים "להפיק רווחים מהרכוש", כלומר לנצל תכניות ותהליכים שהותקנו בעבר על מחשב פרוץ. ניצול הכלים של הקורבן כדי לפגוע בו מאפשר להאקרים ליצור תדמית של שחקנים לגיטימיים, מה שמקשה עוד יותר על צוותי האבטחה לזהות פעילות זדוני. חשוב לציין שתוקפים אינם מבזבזים זמן יקר על בנייה והפצה של כלי תקיפה חדשים.
לסיום, ההאקרים משתמשים בערוצי הפצה מובנים ואמינים של תוכנה המשמשים את הארגון כדרך שגרה כדי להפעיל את ערכת הכופר. שיטה זאת יעילה מאוד משום שהיא מאפשרת לתוקפים לנטרל – ולפעמים אף לעקוף – את בקרות האבטחה הקיימות.
מה זאת בדיוק סחיטת כופר?
במהלך ההתקפה, התוקפים הפועלים בשיטת כופר מחפשים דרכים חשאיות לשבש גיבויים, למחוק העתקי צללים ולפתוח קבצים שיאפשרו להם למקסם את רווחי המתקפה. בהרבה תרחישי כופר, התוקפים דורשים לא רק תשלום עבור הסרת ההצפנה מנתוני המטרה אלא גם מאיימים להדליף אותם אם לא יקבלו תשלום נוסף. מחקר של F-Secure טוען שקרוב ל-40% ממשפחות תוכנות הכופר שהתגלו ב-2020 השתמשו בסחיטה כפולה כמתואר.
בנוסף, שחרור הנתונים והחזרתם לבעליהם אינם תמיד סוף הסיפור. אם העסק לא נוקט באמצעות לזיהוי מקור המתקפה ואבטחת הרשת, התוקפים יוכלו לחזור ולהשתמש באותן טכניקות ולפרוס מחדש את ערכות הכופר כדי לאלץ את הארגון לשלם סכום כסף נכבד נוסף ככופר להשבת הנתונים היקרים לו.
סיכול מתקפות כופר
מאחר ומתקפות כופר נעשות יותר מתוחכמות וממוקדות, ארגוני בריאות חייבים לחזק את עמדת האבטחה שלהם הן כדי להגן על תשתית מחשוב קריטית והן כדי להבטיח טיפול רצוף למטופלים ולא למעול באמונם.
היישום של מסגרת "אפס אמון" והעיקרון של הענקת הפריבילגיה המינימלית שניתן הן שתי פעולות הכרחיות. העיקרון המשותף לשתיהן הוא שארגונים אינם אמורים לבטוח או להעניק גישה לכל "דבר" או משתמש כל עוד לא הוכיח את זהותו.
ברגע שהמשתמש או "הדבר" נכנס לרשת, הוא זקוק רק לגישה למידע שהוא מחפש. בתרחיש של בית חולים, למשל, בקרת גישה על פי מסגרת "אפס אמון" ופריבילגיה מינימלית יכולה להתבטא בהענקת גישה לקרדיולוגים רק לרשומות הרפואיות של המטופלים שבהם הם מטפלים, ולא לרשומות של כל חולי הלב. אם האקר יצליח להשיג גישה לנתוני הלוגין של אותו קרדיולוג, הוא יצליח להגיע לרשומות של מטופלים ספורים בלבד ובכך ימזער באופן משמעותי את נזקי ההתקפה.
פריבילגיה מינימלית והגבלות על הגישה והזהות הן היסוד המרכזי של אסטרטגיית אבטחת נקודות קצה המתמקדת בניהול זהות. פתרונות אבטחת זהות מסייעים באיתור וחסימה של תוכנות הכופר עצמן. בנוסף, הן פועלות לבלימת ניצול לרעה של זהות והרשאות פריבילגיות בנקודות קריטיות של שרשרת ההתקפה באמצעות גישה הדוגלת ב"לא להאמין לכלום; לאמת כל דבר". התוצאה של גישה כזאת היא זיהוי איומים ובלימתם לפני שהם מסבים נזקים.
ולאחר שהתקינו את אמצעי הבקרה, ארגוני שירותי הבריאות יכולים להתפנות להתמקד בשיפור המודעות לאבטחת סייבר ומתן הכשרה בכישורים הדרושים, כמו גם הקשחה וגיבוי של מערכות בתי החולים בכדי להתגונן מפני מתקפות עתידיות. ארגוני בריאות קיימים כדי לטפל בנו ולכן חשוב שהם ינקטו צעדים כדי להמשיך לפעול בבטחה שמגיעה להם ולציבור שהם משרתים.
דיוויד היגינס, המנהל הטכני של סייברארק באזור EMEA, מסביר מדוע דווקא סקטור הבריאות פגיע במיוחד למתקפות כופר
bigstock
כולנו מודעים למחיר הכבד שענפים מסוימים משלמים במגפה הכלל עולמית. למשל, מצוקתם של עסקים קמעוניים או עסקי האירוח משכה תשומת לב ציבורית רבה. ואולם, תעשיית שירותי הבריאות משלמת את המחיר הכבד ביותר, במיוחד אם נזכור את התפקיד המכריע שהיא ממלאת עבור כולנו בשנה וחצי האחרונות.
אם אתם חושבים שהאתגר העיקרי של מגזר שירותי הבריאות הוא נגיף הקורונה ומחסור במשאבים, דעו שיש יריב משמעותי נוסף שעמו מתמודדים ספקי שירותי בריאות והוא גם בלתי נראה: מדובר בגל מתמיד של מתקפות סייבר המתבצעות בשיטת הכופר (ransomware).
זהו יריב חזק שאי אפשר להתעלם ממנו. בתי חולים שפועלים במצב אופליין עלולים להיות חשופים לאיום קריטי לטיפול בחולים. מתחילת משבר הקורונה, עובדים רבים של מערכת הבריאות לא יכלו להיכנס לרשומות הרפואיות האלקטרוניות של המטופלים או למכשור רפואי המתבסס על קישוריות אינטרנט עקב מתקפות סייבר.
בלית ברירה, הם משתמשים בתיעוד רפואי הנערך בכתב יד. מצב כזה אינו אמור להתרחש. ארגונים המספקים שירותי בריאות עוסקים בחיים ומוות. הם אינם יכולים להרשות לעצמם להתמקח על תשלומי כופר בזמן שמערכות המחשוב שלהן מוחזקות כבנות ערובה.
מתקפות כופר אינן דבר חדש. בין 2014 ל-2020 הותקפו כשליש מארגוני שירותי הבריאות הפועלים במינוי ממשלתי בבריטניה במתקפות כופר, אשר על פי ההערכות, גרמו לכ-206 ימי השבתה. אין ספק שנתונים אלה החמירו במהלך המגפה. רק לפני כמה חודשים גרמה התקפה על מערכת הבריאות של אירלנד באזור הים האירי לצמצום של יותר מ-80% במספר התורים שמטופלים קבעו עם רופאים, נתון המשקף בבירור פגיעה קשה ברווחתם.
אם כך, כולנו יודעים שמתקפות כופר הן אויב מוכר. מה יכולים ספקי שירותי הבריאות לעשות כדי להתמודד עם הסיכונים?
נקודות התורפה האופייניות של בתי חולים
בתי חולים מלאים במכשור רפואי: החל ממוניטורים ניידים בעמדת האחיות וכלה בחדרי ניתוח. מכשור זה מספק לצוות הרפואי גישה לנתונים בזמן אמת שהינם קריטיים לטיפול בחולים. ואולם, דווקא הגישה הידידותית למכשירים אלה הופכת אותם – ואת נתוני החולים החיוניים המאוחסנים בהם – לפגיעים להאקרים תוקפים.
עם זאת, לאנשים המנהלים את יחידות המחשוב בגופי הבריאות יש עוד עבודה. ארגונים רבים ממשיכים להשתמש בתוכנות ישנות הרגישות לחולשות אבטחה במקום להטמיע מערכות הפעלה וטלאים מודרניים. ארגונים אחרים אינם מגיבים מהר מספיק למאמציהם של התוקפים להשתלט על התקני האינטרנט של הדברים (IoT). מספיק להיזכר במתקפת WannaCry הנרחבת על מערכות הבריאות כדי להבין לאיזה תרחיש סיוטי התקפות כאלה עלולות לגרום.
הסרת המחסומים בפני תוכנות הכופר
כיום, כל אחד יכול לפרוץ למערכות מחשוב פגיעות עם "ערכות" כופר, שקל לרכוש בדארק ווב. שירותי בריאות מהווים מטרה אטרקטיביות למתקפות אלה משום שהן שומרים רשומות אלקטרונית שבהן מידע חסוי על מטופלים. פעמים רבות, רשומות אלו אינן נשמרות בהתאם לתקנים המקובלים בתעשייה. בנוסף, לא ניתן למחוק את הרשומות האלו אחרי פרק זמן מסוים, כפי שמקובל בענפים אחרים.
במקביל, תוקפים מיומנים משכללים את יכולתם לפגוע בחולשות של תשתית המחשוב הארגונית. רבים מהם נוהגים לעקוב אחר מערכות במשך זמן רב לפני שהם יוצאים למתקפה ולעתים קרובות פורצים לפרצות ישנות או לחשבונות משתמשים שנותרו ממערכות של קבלנים קודמים.
ברגע שהתוקפים הצליחו להיכנס למערכת, המטרה הבאה היא לקצור הרשאות המעניקות גישה רחבה עוד יותר למערכות ולחפש מכשירים ונתונים רבי ערך שאפשר לנצל כדי להפיק מהם רווחים. ברגע שהאקרים השיגו את ההרשאות המתאימות, הם מנסים לחלץ כמויות נתונים גדולות, כגון מידע אישי מזהה (PII).
מנקודה זאת ואילך, ההאקרים משתמשים בהרשאות הגנובות כדי להתחמק מגילוי, להשתלט על זהויות משתמשים ולחיפוש דרכים "להפיק רווחים מהרכוש", כלומר לנצל תכניות ותהליכים שהותקנו בעבר על מחשב פרוץ. ניצול הכלים של הקורבן כדי לפגוע בו מאפשר להאקרים ליצור תדמית של שחקנים לגיטימיים, מה שמקשה עוד יותר על צוותי האבטחה לזהות פעילות זדוני. חשוב לציין שתוקפים אינם מבזבזים זמן יקר על בנייה והפצה של כלי תקיפה חדשים.
לסיום, ההאקרים משתמשים בערוצי הפצה מובנים ואמינים של תוכנה המשמשים את הארגון כדרך שגרה כדי להפעיל את ערכת הכופר. שיטה זאת יעילה מאוד משום שהיא מאפשרת לתוקפים לנטרל – ולפעמים אף לעקוף – את בקרות האבטחה הקיימות.
מה זאת בדיוק סחיטת כופר?
במהלך ההתקפה, התוקפים הפועלים בשיטת כופר מחפשים דרכים חשאיות לשבש גיבויים, למחוק העתקי צללים ולפתוח קבצים שיאפשרו להם למקסם את רווחי המתקפה. בהרבה תרחישי כופר, התוקפים דורשים לא רק תשלום עבור הסרת ההצפנה מנתוני המטרה אלא גם מאיימים להדליף אותם אם לא יקבלו תשלום נוסף. מחקר של F-Secure טוען שקרוב ל-40% ממשפחות תוכנות הכופר שהתגלו ב-2020 השתמשו בסחיטה כפולה כמתואר.
בנוסף, שחרור הנתונים והחזרתם לבעליהם אינם תמיד סוף הסיפור. אם העסק לא נוקט באמצעות לזיהוי מקור המתקפה ואבטחת הרשת, התוקפים יוכלו לחזור ולהשתמש באותן טכניקות ולפרוס מחדש את ערכות הכופר כדי לאלץ את הארגון לשלם סכום כסף נכבד נוסף ככופר להשבת הנתונים היקרים לו.
סיכול מתקפות כופר
מאחר ומתקפות כופר נעשות יותר מתוחכמות וממוקדות, ארגוני בריאות חייבים לחזק את עמדת האבטחה שלהם הן כדי להגן על תשתית מחשוב קריטית והן כדי להבטיח טיפול רצוף למטופלים ולא למעול באמונם.
היישום של מסגרת "אפס אמון" והעיקרון של הענקת הפריבילגיה המינימלית שניתן הן שתי פעולות הכרחיות. העיקרון המשותף לשתיהן הוא שארגונים אינם אמורים לבטוח או להעניק גישה לכל "דבר" או משתמש כל עוד לא הוכיח את זהותו.
ברגע שהמשתמש או "הדבר" נכנס לרשת, הוא זקוק רק לגישה למידע שהוא מחפש. בתרחיש של בית חולים, למשל, בקרת גישה על פי מסגרת "אפס אמון" ופריבילגיה מינימלית יכולה להתבטא בהענקת גישה לקרדיולוגים רק לרשומות הרפואיות של המטופלים שבהם הם מטפלים, ולא לרשומות של כל חולי הלב. אם האקר יצליח להשיג גישה לנתוני הלוגין של אותו קרדיולוג, הוא יצליח להגיע לרשומות של מטופלים ספורים בלבד ובכך ימזער באופן משמעותי את נזקי ההתקפה.
פריבילגיה מינימלית והגבלות על הגישה והזהות הן היסוד המרכזי של אסטרטגיית אבטחת נקודות קצה המתמקדת בניהול זהות. פתרונות אבטחת זהות מסייעים באיתור וחסימה של תוכנות הכופר עצמן. בנוסף, הן פועלות לבלימת ניצול לרעה של זהות והרשאות פריבילגיות בנקודות קריטיות של שרשרת ההתקפה באמצעות גישה הדוגלת ב"לא להאמין לכלום; לאמת כל דבר". התוצאה של גישה כזאת היא זיהוי איומים ובלימתם לפני שהם מסבים נזקים.
ולאחר שהתקינו את אמצעי הבקרה, ארגוני שירותי הבריאות יכולים להתפנות להתמקד בשיפור המודעות לאבטחת סייבר ומתן הכשרה בכישורים הדרושים, כמו גם הקשחה וגיבוי של מערכות בתי החולים בכדי להתגונן מפני מתקפות עתידיות. ארגוני בריאות קיימים כדי לטפל בנו ולכן חשוב שהם ינקטו צעדים כדי להמשיך לפעול בבטחה שמגיעה להם ולציבור שהם משרתים.
