De vinger aan de pols houden – Ransomware-trends in de gezondheidszorg.
De afgelopen jaren is ransomware organisaties blijven overweldigen. Hoewel bijna elke branche te maken heeft gehad met een ongekende toestroom van bedreigingen, is de zorgsector bijzonder vatbaar voor ransomware-aanvallen.
Ransomware-aanvallen op zorgorganisaties zijn in 2021 bijna verdubbeld, waarbij 66% van deze organisaties het afgelopen jaar minstens één aanval heeft meegemaakt. Deze toestroom heeft ook geleid tot grote bezorgdheid in de sector met betrekking tot de openbaarmaking van gegevens.
In de kern is ransomware een berekende en afgemeten aanval gericht op het veroorzaken van maximale schade. De meeste ransomware-aanvallen zijn niet willekeurig; dreigingsactoren hebben de neiging om hun doelen te kennen, de soorten gegevens die ze kunnen hebben en welke activa ze moeten versleutelen en compromitteren. Hierdoor kunnen aanvallers de meest kritieke delen van het netwerk van een organisatie aanvallen, waardoor maximale verstoring wordt veroorzaakt.
Aangezien zorgorganisaties een overvloed aan gevoelige en waardevolle gegevens beheren, is het van cruciaal belang dat leidinggevenden in de organisatie de frequente trends van het vrijgeven van gegevens bij een ransomware-aanval begrijpen en de soorten gegevens identificeren die het meest kwetsbaar zijn voor dergelijke aanvallen.
Het vrijgeven van gegevens is een dringende zorg geworden
In het afgelopen jaar zijn ransomware-aanvallen geëvolueerd van het basisprincipe van: een systeem binnendringen, bestanden versleutelen en losgeld eisen om ze te ontgrendelen. Bedreigingsactoren brengen vaak tijd door in het systeem van het slachtoffer, het verzamelen en exfiltreren van gevoelige gegevens, met een plan om de gegevens vrij te geven voor extra financieel gewin.
Het vrijgeven van ransomware-gegevens gebeurt meestal in twee fasen. Aanvankelijk compromitteren aanvallers een steekproef van de versleutelde gegevens om de dreiging geloofwaardig te maken voor de slachtoffers en hen te dwingen het losgeld te betalen. De tweede fase omvat het bekendmaken of verkopen van de gegevens aan andere kwaadwillenden, wat de organisatie mogelijk kwetsbaar maakt voor toekomstige aanvallen.
Het vrijgeven van gegevens wordt een veel voorkomende trend voor ransomware-bendes om snel geld te verdienen. Dit komt vooral omdat organisaties steeds meer vertrouwen op gegevensback-ups om losgeld te voorkomen. Met back-ups kunnen slachtoffers de bestanden herstellen die zijn versleuteld, maar het biedt geen bescherming tegen openbaarmaking van gegevens. Het vrijgeven van gegevens stelt dreigingsactoren dus vaak in staat om financieel voordeel te halen uit hun aanvallen, zelfs als het slachtoffer het losgeld niet betaalt. In gevallen waarin het slachtoffer wel betaalt, dient de openbaarmaking van gegevens als een middel tot dubbele afpersing. Het spreekt voor zich dat gelekte gegevens verlammende gevolgen kunnen hebben voor zorgorganisaties, aangezien deze organisaties uiterst gevoelige gegevens vastleggen, zoals medische informatie, persoonsgegevens van patiënten, financiële gegevens en andere vertrouwelijke informatie. Elke openbaarmaking kan de geloofwaardigheid van de organisatie vernietigen en de relaties met patiënten, werknemers, partners en leveranciers in gevaar brengen.
Dus, hoe kunnen zorgorganisaties stappen ondernemen om zichzelf te beschermen tegen de groeiende dreiging van openbaarmaking van gegevens als gevolg van ransomware-aanvallen? De eerste stap is het identificeren van de soorten gegevens die het meest vatbaar zijn.
De meest bekendgemaakte gegevenstypen in de gezondheidszorg
Als onderdeel van ons doorlopende onderzoek bij Rapid7 hebben we 161 onthullingen van gegevens onderzocht in afzonderlijke ransomware-incidenten in verschillende sectoren, die plaatsvonden tussen april 2020 en februari 2022. In de gezondheidszorg was er een duidelijke trend van onthullingen. Intern financiën en boekhoudkundige bestanden waren de meest voorkomende gegevenstypen in de gezondheidszorg
openbaarmakingen, waarbij dergelijke gegevens 71% van de tijd voorkomen. In 66% van de incidenten werden klant- en patiëntgegevens bekendgemaakt, in 19% van de gevallen kwamen verkoop- en marketinggegevens voor.
De grote vraag is nu waarom deze gegevenscategorieën vaker worden vrijgegeven dan andere. We hebben ontdekt dat dit vooral komt door de factor waarde. Zorgorganisaties registreren een groot aantal financiële transacties van patiënten en verzekeraars. Ze houden ook een hoog volume aan boekhoudkundige gegevens, omdat ze vaak veel geld uitgeven aan het kopen van tastbare middelen van leveranciers.
Op dezelfde manier hebben klant- en patiëntgegevens ook een hoge 'verkoopwaarde' voor bedreigingsactoren, omdat persoonlijke gebruikersinformatie aanvallers in staat kan stellen toekomstige aanvallen en langere aanvalsketens te creëren.
Ook in termen van dubbele afpersing kan het vrijgeven van een deel van dergelijke gevoelige gegevens slachtoffers vaak dwingen om te voldoen aan de eisen van losgeld.
Een sterkere weerstand opbouwen tegen ransomware-bedreigingen
Om de dreiging van dubbele afpersing en openbaarmaking van gegevens te verminderen, moeten organisaties verder gaan dan back-ups. Het is absoluut noodzakelijk dat zorgorganisaties meer proactieve strategieën in hun beveiligingsinfrastructuur introduceren, waaronder sterkere versleuteling en netwerksegmentatie.
Netwerksegmentatie verdeelt het bedrijfsnetwerk in microsegmenten, waarbij elk segment en zijn verschillende toepassingen van elkaar zijn geïsoleerd. Om toegang te krijgen tot verschillende netwerksegmenten en applicaties, moeten gebruikers voortdurend hun identiteit en toegangsprivileges valideren, waardoor de zijwaartse beweging van een dreigingsactor wordt beperkt. Ook kan het gebruik van sterkere versleutelingsmethoden en -algoritmen in databases de gegevens mogelijk verbergen achter langere en complexere versleutelingssleutels. Deze strategieën helpen organisaties om de schade te beperken als er zich toch een inbreuk voordoet en kunnen aanvallers ervan weerhouden om kritieke gegevens te exfiltreren.
Het is ook duidelijk dat sommige soorten gegevens meer bescherming nodig hebben dan andere. Datacenters of applicaties die deze kwetsbare datatypes bevatten, moeten niet alleen microgesegmenteerd zijn, maar ze moeten ook worden beveiligd met geautomatiseerde oplossingen voor bedreigingsinformatie die potentiële bedreigingen in realtime kunnen detecteren, rapporteren en elimineren.
In sommige gevallen is openbaarmaking vaak een onvermijdelijke realiteit. Daarom moeten bedrijven altijd een reactiebeleid en -strategie hebben om hun acties in dergelijke scenario's effectief te sturen. Met ransomware-bedreigingen die elk jaar toenemen, kunnen deze praktijken een grote bijdrage leveren aan het beschermen van zorgorganisaties en het verminderen van de potentiële impact van een aanval.
