การแฮ็กอุปกรณ์โรงพยาบาลก่อให้เกิดความเสี่ยงถึงชีวิต
2022.02.09
การแฮ็กอุปกรณ์โรงพยาบาลก่อให้เกิดความเสี่ยงถึงชีวิต
‘กลุ่ม Ransomware รักโรงพยาบาลด้วยเหตุผลเดียวกันกับทุกคน การดูแลสุขภาพเป็นสิ่งสำคัญอย่างยิ่ง แต่ดีที่พวกจู่โจมมักขี้เกียจ’
จากรายงานปี 2021 Threat Landscape Retrospective ของ Tenable การโจมตีทางไซเบอร์ต่อโรงพยาบาลถึงระดับวิกฤต โรงพยาบาลเกือบครึ่งในสหรัฐฯ ถูกปิดตัวลงเนื่องจากการโจมตีของแรนซัมแวร์ ไม่ว่าจะเป็นผลโดยตรงจากการโจมตีหรือการปิดเครือข่ายในเชิงรุกเพื่อป้องกันการติดเพิ่มเติม จนถึงตอนนี้ กลุ่มแรนซัมแวร์มุ่งเน้นไปที่การขโมยและเข้ารหัสข้อมูล โรงพยาบาลสมัยใหม่ทุกแห่งต้องพึ่งพาอุปกรณ์ที่เชื่อมต่อถึงกันหลายสิบเครื่อง น่าเป็นห่วงว่าอุปกรณ์อัจฉริยะส่วนใหญ่สามารถแฮ็กได้ อย่างไรก็ตามการเดิมพันจะสูงขึ้นมากหากมีชีวิตมนุษย์กับการทำงานอย่างราบรื่นเข้ามาเกี่ยวข้อง
จากการจับโรงพยาบาลเป็นตัวประกันไปจนถึงผู้ป่วย การโจมตีของแรนซัมแวร์อาจจะไม่ได้ทำให้ผู้ป่วยเสียชีวิต ในทางกลับกันแม้ว่าเงินเดิมพันจะสูง แต่สถาบันสุขภาพไม่ควรหันไปใช้ปากกาและกระดาษ เบอร์นาร์ด มอนเทล ผู้อำนวยการด้านเทคนิคสำหรับยุโรป ตะวันออกกลาง และแอฟริกาของ Tenable กล่าว
“ศัตรูใช้เส้นทางการโจมตีที่ง่ายที่สุด คนเลวขี้เกียจ พวกเขาไม่ต้องการทำงานมาก และหากพวกเขาเห็นกำแพงที่ปีนยาก พวกเขาก็ไม่อยากปีน” มอนเทลกล่าว ไซเบอร์นิวส์
ตามข้อมูลของ Montel แม้ว่าโรงพยาบาลจะไม่ได้ออกแบบมาเพื่อทะเลาะวิวาทกับอาชญากรไซเบอร์ แต่การใช้กลยุทธ์ที่คล้ายกับที่ใช้ในห้องฉุกเฉินสามารถช่วยยับยั้งผู้โจมตีได้
กลุ่ม ransomware ปรับใช้มัลแวร์เฉพาะด้านการดูแลสุขภาพหรือใช้มาตรการทางเทคนิคเฉพาะอื่นๆ หรือไม่?
ไม่มีเทคโนโลยีเฉพาะอย่างแท้จริงหรือชุดช่องโหว่เฉพาะที่มีเฉพาะในโรงพยาบาล อย่างไรก็ตาม องค์กรด้านการดูแลสุขภาพมีเทคโนโลยีการดำเนินงาน (OT) และอุปกรณ์ Internet of Things (IoT) เป็นการผสมผสานระหว่างไอทีแบบคลาสสิกกับผู้ดูแลระบบของโรงพยาบาลและอุปกรณ์ฝังตัวบางตัวที่พวกเขาไม่สามารถควบคุมได้ เช่น เซ็นเซอร์
เราสามารถเชื่อมโยงโรงพยาบาลและบริษัทอุตสาหกรรมได้ ตัวอย่างเช่น มัลแวร์ Conti เป็นหนึ่งในกลุ่มแรนซัมแวร์ที่กำหนดเป้าหมายไปยังองค์กรประเภทดังกล่าวเป็นหลัก แต่ไม่มีแบบเฉพาะสำหรับโรงพยาบาล อาชญากรไซเบอร์ใช้มัลแวร์ตัวเดียวกันเพื่อกำหนดเป้าหมายระบบ OT และไอที
อย่างไรก็ตาม โรงพยาบาลต่างจากผู้ให้บริการในชีวิตประจำวัน ระบบโรงพยาบาลใดที่เสี่ยงต่อการถูกโจมตีมากที่สุด?
โรงพยาบาลก็เหมือนกับบริษัทอุตสาหกรรมที่ใช้อุปกรณ์ฝังตัว ซัพพลายเออร์ทางการแพทย์จัดหาอุปกรณ์เหล่านั้น ตัวอย่างเช่น เครื่องกระตุ้นหัวใจหรืออุปกรณ์ข้างเตียงอื่นๆ ที่ใช้ในการตรวจสอบและรักษาภาวะหัวใจ ทั้งนี้อุปกรณ์บางตัวยังทำงานบน Windows 7 หรือ Windows 8 หมายความว่า ซัพพลายเออร์ยังใช้ฐานข้อมูลเก่ามากและเทคโนโลยีเก่า อาจไม่เคยคิดมาก่อนว่าอุปกรณ์เหล่านี้จะก่อให้เกิดภัยคุกคามทางไซเบอร์ เมื่อเร็ว ๆ นี้ที่โรงพยาบาลเริ่มถามคำถามเช่นซัพพลายเออร์ใบรับรองประเภทใดที่ใช้เข้ารหัสข้อมูล
นั่นเป็นหนึ่งในปัญหาหลักที่มีในโรงพยาบาล บริษัทอุตสาหกรรมก็ประสบปัญหาเช่นเดียวกัน พวกเขามักใช้ซอฟต์แวร์รุ่นเก่าที่มีช่องโหว่ และฝ่ายตรงข้ามกำลังใช้เส้นทางการโจมตีที่ง่ายที่สุด คนเลวขี้เกียจ พวกเขาไม่ต้องการทำงานมาก และหากพวกเขาเห็นกำแพงที่ปีนยาก พวกเขาก็ไม่อยากปีน นั่นคือสถานการณ์ของอุปกรณ์ฝังตัวที่ไม่ได้เชื่อมต่อกับระบบไอที
ผู้คุกคามสามารถใช้อุปกรณ์ของโรงพยาบาลเพื่อเริ่มการโจมตีได้หรือไม่?
นี่เป็นหนึ่งในสถานการณ์ที่ผู้คุกคามสามารถเข้าไปในโรงพยาบาล ทำการสแกน Wi-Fi และค้นหาที่อยู่ ITP บางส่วนเชื่อมต่อกับไอที บางส่วนไม่เชื่อมต่อกับยังมีบางส่วนที่มี VLAN หรือไฟร์วอลล์ ไม่ได้บอกว่าโรงพยาบาลไม่มีการรักษาความปลอดภัยเลย แต่สมมติว่าอาชญากรไซเบอร์พบช่องโหว่ที่มีอยู่ในอุปกรณ์บางเครื่องชั่วขณะหนึ่ง ในกรณีนั้น พวกเขาจะใช้มันเพื่อเจาะ และมีโอกาสที่จะสามารถตัดสินสิ่งที่พวกเขาต้องการจะทำ
องค์ประกอบที่สำคัญอีกประการหนึ่งคือ Active Directory (AD) เป็นเทคโนโลยีขององค์กรที่ปรับใช้ในองค์กรส่วนใหญ่ มันยังนำไปใช้ในโรงพยาบาล และตัวดำเนินการ ransomware ทั้งหมดในปัจจุบันพยายามที่จะกำหนดเป้าหมาย AD ในกระบวนการ เมื่ออาชญากรเข้าสู่ระบบการขโมยและเข้ารหัสข้อมูล ในการทำเช่นนั้น ผู้คุกคามจำเป็นต้องมีสิ่งที่เรียกว่า AD dominance พวกเขาต้องอยู่ภายในกระบวนการ ไม่ใช่แค่เครือข่าย กำหนดเป้าหมาย AD อยู่เสมอเพราะพวกเขารู้ว่าจะพบบัญชีที่สามารถเข้าถึงข้อมูลที่ละเอียดอ่อนได้
โรงพยาบาลไม่มีแนวทางปฏิบัติที่ดีที่สุดด้านความปลอดภัยสำหรับซอฟต์แวร์ชิ้นนั้น ซอฟต์แวร์นี้เชื่อมโยงกับบัญชีร้านค้าที่พนักงานใช้เท่านั้น นั่นเป็นหนึ่งในองค์ประกอบที่เป็นจุดอ่อนในภาพรวม เราทุกคนคิดถึงจุดเริ่มต้น แต่สิ่งที่ผู้คุกคามทำหลังจากนั้นนั้นสำคัญมาก
การโจมตีของแรนซัมแวร์และความปลอดภัยทางไซเบอร์ไม่ใช่แนวคิดใหม่ ทำไมไม่เตรียมโรงพยาบาลให้ดีกว่านี้?
โรงพยาบาลไม่ได้ออกแบบมาเพื่อต่อสู้กับภัยคุกคามทางไซเบอร์ พวกเขาอยู่ที่นี่เพื่อช่วยชีวิต อย่างไรก็ตาม สองปีที่ผ่านมาทำให้พวกเขาตระหนักว่ามีบางอย่างที่ต้องเปลี่ยนแปลง อย่างน้อยในฝรั่งเศส รัฐบาลได้ออกกฎระเบียบด้านความปลอดภัยที่องค์กรด้านการดูแลสุขภาพต้องนำมาใช้ แต่ไม่ได้หมายความว่าหากปฏิบัติตามแล้วจะปลอดภัย คุณยังต้องให้ความสำคัญกับการติดตามและทำความเข้าใจภัยคุกคาม หากพบเห็นการจู่โจมของโรงพยาบาลในสหรัฐอเมริกาหรือที่อื่นๆ ในโลก แสดงว่าคุณต้องเพิ่มระดับความเสี่ยงอย่างเห็นได้ชัด
สามารถใช้อุปกรณ์ของโรงพยาบาลทำอันตรายผู้ป่วยได้หรือไม่?
ทีมนักวิจัยประสบความสำเร็จในเจาะระบบเครื่องอินซูลินปั๊ม และมีการพิสูจน์แนวคิดค้นหาอุปกรณ์ที่เชื่อมต่อในที่ที่ละเอียดอ่อน และอาจถือได้ว่ามีความรับผิดที่อาจเกิดขึ้นได้ จนถึงวันนี้เราไม่มีหลักฐานว่ามีใครใช้สิ่งนั้นเพื่อการเอาเปรียบ
ภัยคุกคามเหล่านี้ค่อนข้างใหม่ อย่างไรก็ตาม โรงพยาบาลได้เริ่มถามผู้ค้าทางการแพทย์เกี่ยวกับการทดสอบการเจาะและซอฟต์แวร์ที่เครื่องใช้ สถานการณ์กำลังเปลี่ยนไปเพราะผู้ให้บริการทางการแพทย์และโรงพยาบาลเริ่มสื่อสารเกี่ยวกับระดับความปลอดภัยแล้ว รัฐบาลยังได้ออกกฎระเบียบเพื่อบังคับให้องค์กรด้านการดูแลสุขภาพพัฒนาขีดความสามารถในการตรวจสอบระดับสถานะการรักษาความปลอดภัยทางไซเบอร์ จากนั้นหากพวกเขารู้ว่าพวกเขาอยู่ที่ไหนด้วยวิธีการตามความเสี่ยง พวกเขาก็สามารถตอบสนองได้อย่างเหมาะสม คุณทราบดีว่าพวกเขาไม่สามารถปิดทุกอย่าง แพตช์ทุกอย่าง และตัดการเชื่อมต่อทุกอย่างได้
สุดท้ายนี้ โรงพยาบาลต้องทำให้คนไข้มีความสุข เป็นไปไม่ได้ที่เราจะกลับไปใช้ปากกาและกระดาษอีก นี่เป็นสถานการณ์ที่เลวร้ายที่สุด ในฐานะผู้ปฏิบัติงานด้านความปลอดภัย เราต้องช่วยเหลือพวกเขาด้วยความต่อเนื่องทางธุรกิจ นั่นเป็นหนึ่งในความท้าทายที่เผชิญอยู่ในปัจจุบันกับการดูแลสุขภาพ
โรงพยาบาลสามารถป้องกันภัยคุกคามทางไซเบอร์ได้อย่างไร? ควรติดต่อผู้จำหน่ายอุปกรณ์ทุกรายเพื่อค้นหาช่องโหว่ในทุกอุปกรณ์หรือไม่
ซัพพายเออร์ควรมีแนวทางความเสี่ยง เช่นเดียวกับการช่วยเหลือฉุกเฉิน CIO ควรใช้แบบเดียวกันโดยพิจารณาว่าอะไรคือความเสี่ยง พวกเขาไม่สามารถแก้ไขทุกอย่างได้เนื่องจากจะไม่ปิดประตูทุกบานเว้นแต่จะตัดการเชื่อมต่อทั้งหมด และนั่นไม่ใช่ทางเลือก
แก๊งแรนซัมแวร์กำลังกำหนดเป้าหมายระบบที่จำเป็น เราจึงต้องมีแนวทางในระดับเดียวกันได้ อาชญากรไซเบอร์มักใช้วิธีง่ายๆ หากกำแพงที่ปกป้องระบบของคุณเจาะได้ยาก พวกมันจะหายไป พวกเขาจะลองใช้ช่องโหว่แบบเก่าก่อน ซึ่งเป็นช่องโหว่ที่อยู่ที่นี่มาระยะหนึ่งแล้วและไม่ได้รับการแพตช์ หากผู้คุกคามไม่สามารถเข้าสู่ระบบของคุณในทันที พวกเขาจะพบเป้าหมายอื่น อาชญากรไซเบอร์ไม่สนใจ พวกเขาขี้เกียจและไม่ต้องการใช้เวลามาก เป้าหมายหลักของพวกเขาคือเงินที่รวดเร็ว
ที่มา : Hacked hospital equipment could be lethally dangerous – interview | CyberNews
บทความที่เกี่ยวข้อง
ข่าว
ความปลอดภัย
มัลแวร์ Octo2 ตัวใหม่คุกคามความปลอดภัยของธนาคารบนมือถือ
นักวิจัย ThreatFabric พบว่าตัวแปรนี้ลดเวลาแฝงได้อย่างมากระหว่างเซสชันการควบคุมระยะไกล แม้ภายใต้สภาวะเครือข่ายที่ไม่ดีก็ตาม ด้วยการเพิ่มประสิทธิภาพการส่งข้อมูล นอกจากนี้ Octo2 ยังบูรณาการเทคนิคการบดบังขั้นสูง รวมถึงอัลกอริทึมการสร้างโดเมน (DGA) ซึ่งทำให้มัลแวร์สามารถเปลี่ยนที่อยู่เซิร์ฟเวอร์คำสั่งและการควบคุม (C2) แบบไดนามิก ทำให้การตรวจจับมีความท้าทายยิ่งขึ้น
2024.09.27
ข่าว
บริการใหม่
โปรโมชั่น
สรุปข่าวลือ iPhone 16 Series มีอะไรใหม่บ้าง มีจำหน่ายแล้ววันนี้ !
2024.09.24
ข่าว
ความปลอดภัย
ตำรวจสิงคโปร์จับกุมแฮกเกอร์ 6 รายที่เชื่อมโยงกับกลุ่มอาชญากรไซเบอร์ระดับโลก
ชายทั้ง 6 คน อายุระหว่าง 32-42 ปี ถูกสงสัยว่ามีส่วนเกี่ยวข้องกับ "กลุ่มอาชญากรระดับโลก" ที่ก่ออาชญากรรมไซเบอร์ จากปฏิบัติการดังกล่าว ทางการได้ยึดอุปกรณ์อิเล็กทรอนิกส์และเงินสดได้ นอกจากนี้ ชายสัญชาติสิงคโปร์ยังถูกตั้งข้อหาสนับสนุนการเข้าถึงเว็บไซต์โดยไม่ได้รับอนุญาต ซึ่งเป็นความผิดที่ต้องรับโทษปรับไม่เกิน 5,000 ดอลลาร์สิงคโปร์ (3,830 ดอลลาร์สหรัฐ) หรือจำคุกไม่เกิน 2 ปี หรือทั้งจำทั้งปรับ สำหรับผู้กระทำผิดครั้งแรก
2024.09.12