СКДПУ НТ в медицине
В 2023 медицинская сфера вошла в топ-3 отраслей по количеству инцидентов, 96% атак на учреждения были целевыми. А в первом полугодии 2024 года количество критических кибератак на медицинские организации выросло на 32% по сравнению с прошлым годом. Интерес злоумышленников к объектам медицинской сферы возрастает по нескольким причинам. Во-первых, в рамках работы в данной отрасли обрабатывается большое количество конфиденциальных данных, в том числе персональных, утечка которых может вызвать широкий резонанс. Во-вторых, здравоохранение - отрасль КИИ, успешная атака на медицинские организации неминуемо приведет к значимым последствиям. Ведь непрерывность их работы критически важна для жизнедеятельности граждан.
Медицинская отрасль обладает невысоким уровнем зрелости в сфере кибербезопасности, поэтому для проведения серьезной атаки злоумышленникам не требуются большие финансовые или ресурсные вложения. Утечки информации в медицинских учреждениях происходят и случайно (например, из-за нехватки квалифицированных кадров или слабой киберграмотности персонала), и намеренно, когда сотрудники передают персональные данные пациентов злоумышленникам за вознаграждение. В 2023 году 74% медицинских организаций потратили менее 5 часов на обучение сотрудников ИТ-безопасности и защите данных, причем 35% потратили на это 2 часа или меньше.
Интересно, что наиболее распространенные инциденты – попытки обхода средств защиты (36% от числа всех кибератак). Поэтому для обеспечения непрерывности работы медицинских учреждений и сохранения их ИТ-инфраструктур в безопасности необходимо надежное и эффективное ИБ-решение.
Угрозы со стороны киберпреступников. Наблюдается увеличение числа атак на медицинские учреждения с использованием ВПО, последствиями которых стало нарушение основного вида их деятельности.
Угрозы со стороны внутренних сотрудников. Инциденты безопасности возможны из-за ошибочных действий персонала, низкой осведомленности сотрудников о потенциальных рисках и последствиях их действий, а также вследствие их умышленных поступков, направленных на получение личной выгоды.
Неавторизованный доступ, который позволит злоумышленникам скомпрометировать учетные записи для распространения вредоносного ПО.
2. Шифрование данных: атаки с использованием программ-вымогателей могут преобразовать критически важные данные.
3. Остановка деятельности или снижение качества обслуживания, так как кибератаки могут парализовать работу медицинских систем.
4. Финансовые потери, возникающие вследствие остановки работы медицинских систем или необходимости их восстановления после кибератак.
5. Утрата доверия пациентов и репутационные потери, которые могут возникнуть из-за утечек персональных данных.
5. Юридические последствия, например, штрафы и иски за нарушение законодательства о защите персональных данных.
6. Утечки учетных данных, которые могут быть использованы для несанкционированного доступа к системам.
2. Эксплуатация уязвимостей. Кибератаки на устаревшие системы и программное обеспечение могут позволить злоумышленникам получить доступ к базам данных с конфиденциальной информацией о пациентах.
3. Внутренние угрозы. Сотрудники медицинских учреждений могут использовать свои учетные записи для умышленной передачи данных злоумышленникам либо сделать это случайно.
4. Угрозы со стороны внутренних сотрудников или подрядчиков с повышенными привилегиями. Такие пользователи могут злоупотреблять своими полномочиями, например, изменять данные, удалять записи или пользоваться своими правами для доступа к неиспользуемым в их работе данным с целью кражи информации.
5. Атаки на недостаточно защищенные удаленные рабочие места. Их уязвимость упрощает злоумышленникам процесс получения доступа к системам с конфиденциальной информацией.
6. Malware-as-a-Service. Злоумышленники могут арендовать вредоносное ПО для распространения внутри сетей медицинских учреждений и через скомпрометированные учетные записи. Например, они устанавливают бэкдоры, позволяющие им управлять системой без привлечения внимания, что усложняет обнаружение инцидентов и их анализ.
2. Мониторинг и аудит действий пользователей с повышенными привилегиями для выявления подозрительной активности, анализа событий и детектирования отклонений в рамках его поведения.
3. Внедрение многофакторной аутентификации для защиты от несанкционированного доступа.
4. Централизованное управление доступом и автоматизация процессов управления привилегиями для повышения безопасности.
5. Управление паролями целевых учетных записей без необходимости установки агентов на целевые устройства по настраиваемым политикам.
6. Полная запись видео и метаданных сессий с созданием долгосрочного архива для использования их в качестве доказательной базы.
7. Защита доступа к информационным системам объектов территориально распределённых сетях сбора и обработки данных, в том числе для сохранения целостности ИТ-инфраструктуры, непрерывности технологических процессов.
8. Организация безопасного контролируемого доступа к ИТ-инфраструктуре компаний, состоящих из головного офиса и геораспределенных филиалов, через единую точку.