TrendAI pētnieki divpadsmit mēnešu laikā analizēja 7.779 ierakstus pazemes forumos, 21.813 tirgus sludinājumus un 95 izspiedējvīrusu noplūdes vietnes, kas saistītas ar kibernoziedzību veselības aprūpes nozarē. Rezultāti liecina, ka veselības dati joprojām ir vieni no iekārojamākajiem precēm, kas tiek tirgotas kriminālajā pazemē. To noturīgums, sensitivitāte un iespēja tos izmantot dažādām krāpniecības un izspiešanas formām padara tos īpaši pievilcīgus noziedzniekiem.
Izpirkuma programmatūra kā pazemes tirdzniecības dzinējspēks
Datu pārdošana no izspiedējprogrammatūras gadījumiem veidoja vairāk nekā trešdaļu (36,3 procentus) no visas tirgus aktivitātes. Izspiedējprogrammatūru pārstāvji aizvien biežāk apvieno šifrēšanu ar datu zādzību un izspiešanu. Turklāt pētnieki identificēja pieaugošu mērķu izvēli uz elektronisko veselības ierakstu pakalpojumu sniedzējiem. Viens veiksmīgs uzbrukums tad var apdraudēt simtiem veselības aprūpes iestāžu.
Ziņojums arī liecina, ka kibernoziedznieki vairs neierobežojas ar pilnu datu kopu pārdošanu. Pazemes tirgos veselības dati aizvien vairāk tiek izmantoti kā pamats identitātes zādzībām, apdrošināšanas krāpšanām, viltotu apliecību un recepšu veidošanai, kā arī pacientu un darbinieku kontu pārņemšanai. Tas ļauj nozagtās datu kopas monetizēt daudzus gadus.
“Veselības dati ir attīstījušies par aktīviem, kurus kibernoziedznieki var izmantot ilgtermiņā,” skaidro Mayra Rosario, TrendAI vecākā draudu pētniece. “Atšķirībā no kredītkartēm, pacienta diagnozes, ārstēšanas vēstures vai biometriskos datus nevar viegli bloķēt vai atkārtoti izsniegt – tas padara tos par īpaši pievilcīgiem izspiedējvīrusu grupām un datu tirgotājiem.”
No indivīda līdz noziedzīgai piegādes ķēdei
Pētījums aplūko arī kibernoziedzības industrializācijas attīstību veselības nozarē: pazemes tirdziņi tagad piedāvā plašu spektru – no piekļuves datiem slimnīcu tīkliem un apdrošināšanas datiem līdz pilnām identitātes paketēm un viltotiem medicīniskiem dokumentiem.
Īpaši strauji aug tā saukto sākotnējās piekļuves brokeru nozīme. Šie specializētie dalībnieki iegūst piekļuvi slimnīcu, klīniku vai veselības aprūpes pakalpojumu sniedzēju tīkliem un pēc tam pārdod šo piekļuvi izspiedējvirusu grupām vai citiem kibernoziedzniekiem. Darba dalīšana samazina ieejas šķēršļus uzbrucējiem un paātrina uzbrukumu komercializāciju pret veselības aprūpes iestādēm.
“Mēs novērojam nevis izolētus atsevišķus gadījumus, bet gan attīstītu pazemes ekonomiku, kas mērķtiecīgi izveidota ap kibernoziedzību veselības aprūpes sektorā,” saka Dirk Arendt, TrendAI valdības, sabiedrības un veselības aprūpes direktors DACH reģionā. “Aktuāli notikumi Vācijā un visā pasaulē uzskatāmi parāda, cik lielā mērā pacientu dati ir kibernoziedznieku mērķis un cik ļoti tie ir jāsargā.”
Programmatūras piegādātāji kā ienākšanas punkts: rizika ar multiplikatora efektu
Pētījums arī brīdina, ka piegādes ķēdes kompromitācijas, izmantojot programmatūras piegādātājus un medicīniskās platformas, kļūst par centrālo riska pastiprinātāju visā sektorā. Tās ļauj uzbrucējiem paplašināt savas operācijas tālu ārpus atsevišķām slimnīcām vai klīnikām.
Pasaulē neaizsargātas medicīnas attēlu sistēmas
Paralēli tam TrendAI pētnieki identificējuši ievērojamus riskus internetā pievienotajām medicīnas attēlu sistēmām. Atsevišķs pētījums atklāja 3.627 publiski pieejamus DICOM serverus vairāk nekā 100 valstu. DICOM (Digital Imaging and Communications in Medicine) ir centrālais standarts medicīnas attēlveidošanas datu, kā magnētiskās rezonanses, datortomogrāfijas vai rentgena attēlu, apmaiņai.
Par īpaši kritisku tika atzīts, ka gan DICOM drošības mehānismus, kā šifrēšanu, autentifikāciju un piekļuves kontroles, atbalsta jau desmitiem gadu, tomēr praksē tie gandrīz netiek pielietoti. Tikai 0.14 procenti identificēto sistēmu izmantoja paredzēto TLS šifrēšanu, kamēr 99,56 procenti pieņēma savienojumus bez efektīvas autentifikācijas pārbaudes. Ziņojums brīdina, ka uzbrucēji var šādā veidā izspiegot pacientu datus, manipulēt medicīnas attēlu datus, ievadīt izspiedējvīrusus vai pārvietoties sāniski slimnīcu tīklos.
Papildu informācija
Pilnu ziņojumu The Cybercriminal Underground: Mapping the Healthcare Data Economy varat atrast šeit: https://www.trendaisecurity.com/de/resources- insights/research/the-cybercriminal-underground-mapping-the-healthcare-data-economy
Pilnu ziņojumu Exposed DICOM Servers and the Risk to Patient Data varat atrast šeit: https://www.trendmicro.com/vinfo/de/security/news/cybercrime-and-digital-threats/a-hidden-vulnerability- in-healthcare-exposed-dicom-servers-and-the-risk-to-patient-data