医疗保健和公共卫生部门频繁的勒索软件攻击加剧了对该行业OT/IoT环境的安全担忧 - 网安

医疗保健和公共卫生部门的组织正面临越来越多的勒索软件攻击，事实也表明医院网络容易受到攻击。随着威胁行为者潜伏在OT/IoT环境中，他们已经变得更有能力大规模执行重大攻击，同时还利用了勒索软件即服务 (RaaS) 模式的日益成功。医疗机构中仍有大量其他类型的OT/IoT设备没有受到同样的关注，例如楼宇自动化设备、打印机、VoIP电话和网络设备。虽然这些设备没有与患者连接，也不经常处理患者数据，但它们可以用作进入易受攻击的网络或横向移动的初始突破点。有案例显示，医用物联网设备，楼宇自动化系统，已成为威胁行为者、勒索软件攻击者的攻击向量。

医疗保健和公共卫生部门仍然是网络犯罪分子和勒索软件威胁团体的主要攻击目标。然而，黑客正在将注意力转移到真正缺乏网络防御能力的小型机构或实体上，这表明受害者和方法发生了巨大变化。此外，政府法规的变化、医疗设备和移动技术连接的巨大革命，以及护理提供和消费方式的转变，共同形成了一场复杂性和脆弱性的完美风暴，成为网络对手的目标。

去年受到勒索软件攻击的医疗保健组织中有94%表示，最严重的攻击影响了他们的运营能力。此外，90%的私营医疗机构表示，勒索攻击导致他们失去业务或收入。在去年遭受攻击的医疗保健组织中，大约44%需要一周时间才能从最严重的攻击中恢复，而 25%需要一个月时间。

8月初，勒索软件黑客攻击了英国国家卫生系统(NHS)和其他医疗保健客户的软件提供商Advanced。这次袭击导致NHS服务中断，包括救护车调度、预约预约、患者转诊和紧急处方。7月，美国安全机构发布了联合网络安全咨询警告，称朝鲜国家资助的网络黑客至少从2021年5月开始使用Maui 勒索软件攻击医疗保健和公共卫生部门。

2021年5月，爱尔兰的卫生服务执行官 (HSE)成为Conti勒索软件的目标。“零号病人”工作站的首次感染发生在 2021年3月18日，起因是当时一名使用Windows计算机的员工在两天前发送的网络钓鱼电子邮件中打开了一个带有陷阱的Microsoft Excel文档。

Industrial Cyber采访了医疗保健部门的专家，以评估勒索软件攻击对医疗保健和公共卫生部门的OT/IoT环境的影响方式。

健康信息共享与分析中心( H-ISAC）总裁兼首席执行官Denise Anderson，表示，在COVID-19大流行期间，制药商依赖包装疫苗和治疗药物的组织遭受了勒索软件攻击，导致运营停止并影响了包装供应，并最终影响了疫苗和治疗药物的分销。

Forescout的Vedere Labs安全研究负责人Daniel dos Santos则表示，勒索软件团伙仍然主要以医疗环境中的数据为目标，主要有两个目的：窃取敏感信息，然后索取赎金，以不公开发布数据为要挟；但医疗保健组织拥有各种各样的OT和IoT设备，包括HVAC和监控摄像头等楼宇自动化功能，以及受到攻击影响的医疗设备。

根据Daniel dos Santos的说法，许多勒索软件攻击已经蔓延到医疗设备，使其无法使用，例如2017年的WannaCry 、2019年对阿拉巴马州一家医院的攻击影响胎儿监护仪，以及自2020年以来在美国和爱尔兰发生的几起涉及辐射设备的攻击.。Santos补充说，据报道，楼宇自动化设备已成为医院的初始访问目标，并在其他组织中使访问控制系统脱机，因此也有可能针对医疗保健设施中的楼宇自动化进行勒索软件攻击。

Claroty席运营官(COO)乔纳森·兰格 (Jonathan Langer)告诉Industrial Cyber，勒索软件对临床环境构成了严重威胁。这对医疗保健的影响远远超出了典型的IT设备，在典型的IT设备中，医疗设备的行为、报告，有时设备本身可能会被改变，变得不可操作，或更糟的是，以不稳定的方式工作。在某些情况下，勒索软件可能会影响系统管理员、监测站或转换流量的网关。

Langer说，在某些情况下，勒索软件可能会通过损坏或感染设备本身来影响设备。至关重要的是，医疗保健和公共卫生部门组织必须建立健全且受到适当保护的临床环境，这些环境与物理清洁和隔离一样具有网络安全属性。

Forescout在最近的一篇文章中说，未来，Vedere Labs认为，由于物联网设备不安全，因此影响可能会发生，因为物联网作为切入点与勒索软件团伙越来越相关。随着这成为现实，有必要研究医疗保健和公共卫生部门的OT/IoT环境在勒索软件和网络安全威胁和攻击不断增加后可以采取的各种举措，以加强其网络安全态势。

令人欣慰的是，情况正发生变化。Denise Anderson指出，在大流行期间，当远程工作的需求改变了操作环境并使他们更多地暴露于互联网和攻击时，对OT部门的攻击确实开始增加。威胁行为者意识到OT环境是一个简单且有利可图的目标，因为制造环境传统上不是很安全，并且在许多情况下需要24×7全天候运行才能生产产品。

Denise Anderson表示，在物联网领域，尤其是医疗设备，医疗设备制造商最初并未生产能够抵御网络攻击的产品。在过去五年左右的时间里，这种情况发生了迅速的变化，在产品制造过程中，安全性被内置到产品中。

Denise Anderson说，挑战一直在跟上这些设备中使用的现成软件中的漏洞。再次，随着软件材料清单或SBOM的出现以及通过Health-ISAC和网络安全和基础设施安全局(CISA) 等实体披露漏洞，该领域取得了长足的进步。

8月，NIST SP 800-66r2草案文件-医疗卫生网络安全指南，进行了更新，助力医疗机构保护患者的个人健康信息。该更新包括HIPAA 安全规则的简要概述，指导受监管实体评估和管理 ePHI（受保护的电子健康信息）的风险，并确定受监管实体可能考虑将其作为信息安全计划的一部分实施的典型活动。它还列出了受监管实体在实施安全规则时可能会发现有用的其他资源。该文件在保护医疗保健和公共卫生部门的OT/IoT环境免受不断上升的勒索软件和网络安全攻击方面所起的潜在作用，隐私更适用于物联网环境。NIST SP 800-66r2 草案明确将医疗物联网纳入风险评估范围，并提供了具有数据备份和灾难恢复计划的勒索软件策略的具体示例。