Dataintrång kan ha livsfarliga konsekvenser. Den senaste ransomware-attacken mot NHS-sjukhus i London har resulterat i att känsliga uppgifter om nästan en miljon patienter har läckt ut. Detta visar på de allvarliga konsekvenserna cyberattacker har, särskillt inom hälso- och sjukvårdssektorn.
Känsliga medicinska och personliga detaljer som testresultat exponerades efter en attack av Qilin ransomware-gruppen. Det här intrång belyser det akuta behovet av robusta cybersäkerhetsåtgärder i organisationer som hanterar känsliga uppgifter. I den här artikeln undersöks de viktigaste slutsatserna av Qilin-intrånget för Chief Information Security Officers (CISO). Med målet att hjälpa CISO:s förstå konsekvenserna av sådana attacker i känsliga miljöer.
Nyckepunkter i attacken
- Attack Vektor: En ransomware-attack av Qilin ransomware-gruppen komprometterade data för nästan 900 000 NHS-patienter. Känsliga medicinska uppgifter, inklusive personuppgifter och uppgifter om medicinska tillstånd, publicerades online.
- Påverkan: Intrånget har påverkat tillgången på blodlager i Storbritannien på grund av störningar i patologitjänsterna. De läckta uppgifternas känsliga karaktäre – som omfattar tillstånd som cancer och sexuellt överförbara infektioner – utgör en betydande integritetsrisk för individer.
- Kontext: Den här incidenten är en del av en bredare ökning av ransomware-attacker riktade mot hälso- och sjukvårdssektorn i Storbritannien. En sektor som nu står för över 12 % av rapporterad cyberutpressning orsakad av intrång.
Höga insatser för hälso- och sjukvårdssektorn
Den här incidenten illustrerar hur hälso- och sjukvårdsorganisationer är primära mål för ransomware-grupper. Sektorn hanterar extremt känsliga uppgifter, vilket gör konsekvenser vid av dataintrång mer skadliga och allvarliga. I det här fallet kränkte offentliggörandet av känslig medicinsk information inte bara patienternas integritet utan störde också viktiga hälso- och sjukvårdstjänster som blodprover, vilket potentiellt kunde äventyra liv.
Rekommendationer:
- Prioritera investeringar i cybersäkerhet i i de delar av hälso- och sjukvård som hanterar känslig personlig information. Det bör omfatta robust datakryptering, säkra lagringslösningar och åtkomstkontroller.
- Säkerställa kontinuerlig övervakning och skydd av kritiska infrastruktur, till exempel diagnostiska tjänster som är avgörande för patientvården.
Uppgifternas känslighet och exponering av allmänheten
Läckan a intima medicinska detaljer såsom cancerdiagnoser och sexuellt överförbara infektioner belyser den kritiska karaktären hos de data som komprometterades. Offentliggörandet av den här informationen utgör allvarliga integritetsproblem och kan leda till juridisk skada och ryktesspridning för sjukvården. Det kan även påverka allmänhetens förtroende för sjukvården.
Rekommendationer:
- Gör en grundlig riskbedömning av all personligt identifierbar information (PII) och känsliga medicinska uppgifter för att säkerställa att den är tillräckligt skyddad.
- Implementera strikta metoder för anonymisering och minimering av data. Därmed minskar mängden känsliga uppgifter som lagras och begränsar exponeringen av kritisk information i händelse av ett intrång.
- Förbered er för potentiella juridiska utmaningar genom att implementera ett robust protokoll för anmälan och svar på överträdelser.
Cyber recovery – återställningsplaner
Mer än tre månader efter den första attacken arbetar hälsotjänstleverantören Synnovis fortfarande med att återställa kritiska patologitjänster. Vilket har kaskadeffekter på sjukvården i hela Storbritannien. Den långsiktiga effekten på den operativa kontinuiteten understryker komplexiteten och utmaningarna med att återhämta sig från en ransomware-attack i vårdmiljöer.
Rekommendationer:
- Utveckla omfattande planer för haveriberedskap och affärskontinuitet som är skräddarsydd för scenarier med utpressningstrojaner. Vilket säkerställer att kritiska tjänster kan fortsätta att fungera även under en längre återställningsperiod.
- Investera i nätverkssegmentering för att begränsa spridningen av attacker, minimera konsekvenser vid ett dataintrång, och se till att viktiga system förblir i drift även om andra delar av nätverket komprometteras.
Anmälan av dataintrång och förseningar i kommunikationen
Ett stort problem i den här incidenten är dröjsmålet med att informera berörda personer om intrånget och den potentiella exponeringen av deras medicinska data. Trots den stora mängd data som publiceras online har patienterna ännu inte fått några officiella meddelanden från NHS England eller Synnovis. Denna försening kan öka det rättsliga ansvaret och skada allmänhetens förtroende för vården.
Rekommendationer:
- Säkerställ att dataskyddsbestämmelser som GDPR följs, som bland annat kräver att berörda personer meddelas om överträdelser.
- Implementera en incidenthanteringsplan med tydliga riktlinjer för att snabbt kommunicera med intressenter, tillsynsmyndigheter och berörda personer efter en attack.
Strategiska riktlinjer för att mildare konsekvenser vid dataintrång
Stärka ramverken för cybersäkerheten. Utifrån varje organisations sårbarhet bör CISO:s förespråka specialiserade ramverk för cybersäkerhet som är skräddarsydda för organisationen. Vilket bör omfatta försvarsstrategier i flera lager, såsom identifiering och åtgärd på slutpunkt (EDR), nätverkssegmentering och kontinuerlig övervakning av kritisk infrastruktur. Allt för att mildra konsekvenser av ett dataintrång.
Riskhantering från tredje part. Intrånget involverade en leverantör av patologitjänster, Synnovis, vilket belyser riskerna med tredjepartsleverantörer. Därför måste organisationer se till att leverantörer följer samma höga cybersäkerhetsstandarder som organisationen själv.
Regelbunden utbildning i cybersäkerhet. Utbilda anställda om de senaste cybersäkerhetshoten, inklusive nätfiske, social engineering och attacker med utpressningstrojaner. Eftersom anställda ofta befinner sig i frontlinjen för dessa attacker är medvetenhet nyckeln till tidig upptäckt och reaktion.
Avancerad hotinformation. Investera i verktyg för hotinformation i realtid som identifierar grupper av utpressningstrojaner, till exempel Qilin. Vilket hjälper organisationer att ligga steget före nya hot. Hotinformation kan hjälpa till med tidig identifiering och ge användbara insikter om nya taktiker, tekniker och procedurer för utpressningstrojaner (TTP:er).
Samarbeta med branschpartner. Uppmuntra samarbete med branschkollegor, cybersäkerhetsexperter och statliga myndigheter för att förbättra informationsutbytet. Detta gör det möjligt för organisationer att vara mer proaktiva när det gäller att försvara sig mot utpressningstrojaner och andra cyberhot.
Av: David Kasabji
Threat Intelligence Engineer, Conscia Group
Även publicerad i vårt ThreatInsights Newsletter.