אם חשבנו שהאתגר העיקרי של ספקי שירותי הבריאות הוא נגיף הקורונה ומחסור במשאבים, הרי שיש אתגר משמעותי נוסף שעימו הם מתמודדים: מדובר בגל מתמיד של מתקפות כופר (ransomware), והאחרונה שבהם היא מתקפת הכופר שפגעה בבית החולים "הלל יפה" בחדרה.
בתי חולים שנאלצים לעבוד במצב אוף-ליין עלולים להיות חשופים לאיום קריטי על טיפול בחולים. מתחילת משבר הקורונה, עובדים רבים של מערכת הבריאות לא יכלו להיכנס לרשומות הרפואיות האלקטרוניות של המטופלים או למכשור רפואי המתבסס על קישוריות אינטרנט עקב מתקפות סייבר. בלית ברירה, הם משתמשים בתיעוד רפואי הנערך בכתב יד. כיוון שמדובר בשירותי בריאות העוסקים בחיים ומוות, ארגונים כאלה לא יכולים להרשות לעצמם להתמקח על תשלומי כופר בזמן שמערכות המחשוב שלהן מוחזקות כבנות ערובה.
מתקפות כופר אינן דבר חדש. בין 2014 ל-2020 הותקפו כשליש ממוסדות שירות הבריאות הלאומי של בריטניה במתקפות כופר, אשר על-פי ההערכות, גרמו לכ-206 ימי השבתה. אין ספק שנתונים אלה החמירו במהלך המגפה. רק לפני כמה חודשים גרמה התקפה על מערכת הבריאות של אירלנד באזור הים האירי לצמצום של יותר מ-80% במספר התורים שמטופלים קבעו עם רופאים. החודש התמודדו שני בתי חולים בארה"ב עם דרישות כופר קשות וגם בגרמניה מתקפה כזו הביאה למותה של חולה.
אם כך, כולנו יודעים שמתקפות כופר הן איום מוכר. מה יכולים ספקי שירותי בריאות לעשות כדי להתמודד עם הסיכונים?
נקודות התורפה האופייניות של בתי חולים
בתי חולים מלאים במכשור רפואי: החל ממוניטורים ניידים בעמדת האחיות וכלה בחדרי ניתוח. מכשור זה מספק לצוות הרפואי גישה לנתונים בזמן אמת שהינם קריטיים לטיפול בחולים. ואולם, דווקא הגישה הידידותית למכשירים אלה הופכת אותם - ואת נתוני החולים החיוניים המאוחסנים בהם - לפגיעים.
עם זאת, לאנשים המנהלים את יחידות המחשוב בגופי הבריאות יש עוד עבודה. ארגונים רבים ממשיכים להשתמש בתוכנות ישנות הרגישות לחולשות אבטחה במקום להטמיע מערכות הפעלה ועדכונים מודרניים. ארגונים אחרים אינם מגיבים מהר מספיק למאמציהם של התוקפים להשתלט על התקני האינטרנט של הדברים (IoT). מספיק להיזכר בכופרה WannaCry שפגעה במערכות בריאות רבות בעולם, כדי להבין לאיזה תרחיש סיוטי התקפות כאלה עלולות לגרום.
הסרת המחסומים בפני תוכנות הכופר
כיום, ניתן לפרוץ למערכות מחשוב פגיעות עם "ערכות" כופר, שקל לרכוש ב-dark web. שירותי בריאות מהווים מטרה אטרקטיביות למתקפות אלה משום שהם שומרים רשומות אלקטרונית שבהן מידע חסוי על מטופלים. פעמים רבות, רשומות אלו אינן נשמרות בהתאם לתקנים המקובלים בתעשייה. בנוסף, לא ניתן למחוק את הרשומות האלו אחרי פרק זמן מסוים, כפי שמקובל בענפים אחרים.
במקביל, תוקפים מיומנים משכללים את יכולתם לפגוע בחולשות של תשתית המחשוב הארגונית. רבים מהם נוהגים לעקוב אחר מערכות במשך זמן רב לפני שהם יוצאים למתקפה ולעיתים קרובות מוצאים פרצות ישנות, או מנצלים חשבונות משתמשים שנותרו ממערכות של קבלנים קודמים.
ברגע שהתוקפים הצליחו להיכנס למערכת, המטרה הבאה היא להשיג הרשאות המעניקות גישה רחבה עוד יותר למערכות ולחפש עוד מכונות ונתונים רבי ערך שאפשר להפיק מהם רווחים. ברגע שהתוקפים השיגו את ההרשאות המתאימות, הם מנסים לחלץ כמויות נתונים גדולות, כגון מידע אישי מזהה (PII).
מנקודה זאת ואילך, התוקפים משתמשים בהרשאות הגנובות כדי להתחמק מגילוי, להשתלט על זהויות משתמשים ולחפש דרכים לנצל תוכניות ותהליכים שהותקנו בעבר על מחשב פרוץ. ניצול הכלים של הקורבן כדי לפגוע בו מאפשר לתוקפים ליצור תדמית של שחקנים לגיטימיים, מה שמקשה עוד יותר על צוותי האבטחה לזהות פעילות זדונית. חשוב לציין שתוקפים אינם מבזבזים זמן יקר על בנייה והפצה של כלי תקיפה חדשים.
לסיום, התוקפים משתמשים בערוצי הפצה מובנים ואמינים של תוכנה המשמשים את הארגון כדרך שגרה כדי להפעיל את ערכת הכופר. שיטה זאת יעילה מאוד משום שהיא מאפשרת לתוקפים לנטרל - ולפעמים אף לעקוף - את בקרות האבטחה הקיימות.
מה זאת בדיוק סחיטה כפולה?
במהלך ההתקפה, התוקפים הפועלים בשיטת כופר מחפשים דרכים חשאיות לשבש גיבויים, למחוק העתקי צללים ולפתוח קבצים שיאפשרו להם למקסם את רווחי המתקפה. בתרחישי כופר רבים, התוקפים דורשים לא רק תשלום עבור הסרת ההצפנה מנתוני המטרה, אלא גם מאיימים להדליף אותם אם לא יקבלו תשלום נוסף.
בנוסף, שחרור הנתונים והחזרתם לבעליהם אינם תמיד סוף הסיפור. אם הארגון או בית העסק לא נוקטים באמצעים לזיהוי מקור המתקפה ואבטחת הרשת, התוקפים יוכלו לחזור ולהשתמש באותן טכניקות ולפרוס מחדש את ערכות הכופר כדי לאלץ את הארגון לשלם סכום כסף נכבד נוסף ככופר להשבת הנתונים היקרים לו.
סיכול מתקפות כופר
מאחר ומתקפות כופר נעשות יותר מתוחכמות וממוקדות, ארגוני בריאות חייבים לחזק את עמדת האבטחה שלהם הן כדי להגן על תשתית מחשוב קריטית והן כדי להבטיח טיפול רצוף למטופלים ולא למעול באמונם.
היישום של גישת "אפס אמון" והעיקרון של מינימום גישה פריבילגית הן שתי פעולות הכרחיות. זה אומר שארגונים אינם אמורים לבטוח או להעניק גישה באופן אוטומטי לכל "דבר" או משתמש כל עוד לא הוכיח את זהותו. ברגע שהמשתמש או "הדבר" נכנס לרשת, הוא זקוק לגישה רק למידע שהוא צריך. בתרחיש של בית חולים, למשל, בקרת גישה על-פי "אפס אמון" ופריבילגיה מינימלית יכולה להתבטא בהענקת גישה לקרדיולוגים רק לרשומות הרפואיות של המטופלים שבהם הם מטפלים, ולא לרשומות של כל חולי הלב. אם תוקף יצליח להשיג גישה לנתוני הגישה של אותו קרדיולוג, הוא יצליח להגיע לרשומות של מטופלים ספורים בלבד ובכך ימזער באופן משמעותי את נזקי ההתקפה.
פריבילגיה מינימלית והגבלות על הגישה והזהות הן היסוד המרכזי של אסטרטגיית אבטחת נקודות קצה המתמקדת בניהול זהויות. פתרונות אבטחת זהויות מסייעים באיתור וחסימה של תוכנות הכופר עצמן. בנוסף, הם פועלים לבלימת ניצול לרעה של זהות והרשאות פריבילגיות בנקודות קריטיות של שרשרת ההתקפה באמצעות גישה הדוגלת ב"לא להאמין לכלום ; לאמת כל דבר". התוצאה של גישה כזאת היא זיהוי איומים ובלימתם לפני שהם מסבים נזקים.
ולאחר שהתקינו את אמצעי הבקרה, ארגוני שירותי הבריאות יכולים להתפנות להתמקד בשיפור המודעות ומתן הכשרות באבטחת סייבר, כמו גם בהקשחה וגיבוי של מערכות בתי החולים בכדי להתגונן מפני מתקפות עתידיות. ארגוני בריאות קיימים כדי לטפל בנו ולכן חשוב שהם ינקטו צעדים כדי להמשיך לפעול בבטחה שמגיעה להם ולציבור שהם משרתים.
הכותב הוא מנהל המחקר במעבדות CyberArk
