Uppföljningsstudie: Dataintrång inom hälsosektorn
Intervjun är en uppföljning av vår studie från 2019: Dataöverträdelser inom vården; Data breaches in Healthcare; The attractiveness of leaked healthcare data for cybercriminals
I er tidigare studie nämndes att information om dataläckage är svårt att hitta. Är detta fortfarande fallet, mer än ett år senare?
Ja, så är det fortfarande. Det handlar om att centralisera rapportering om dataintrång inom sjukvården och göra dem offentligt tillgängliga. USA har sjukvårdsförordningen Health Insurance Portability and Accountability Act (HIPAA) på plats och informationen om överträdelserna blir allmänt tillgängliga. En europeisk motsvarighet till HIPAA skulle kunna vara den allmänna dataskyddsförordningen (GDPR), men den innebär inte publicering av dataintrångsincidenter som HIPAA Journal gör. Det är därför de flesta uppgifterna kommer från USA. Vi ser dock nyhetsartiklar om incidenter och intrång inom Europa, och därmed är vi säkra på att dataintrång inom hälso- och sjukvårdssektorn i Europa är lika ihållande som i USA.
Teoretiskt sett ja. Hälsodata innehåller mycket information som kan utnyttjas på olika sätt. Vi kommer aldrig att veta säkert vad den som kommer över datat tänker göra med hälsouppgifter de har kommit över. Mycket pekar dock mot att det är ekonomisk vinning som är drivkraften bakom. Identitetsstölder användas för oegentliga aktiviteter, vilket oftast resulterar i en ekonomisk vinst. Vi lärde oss mycket av förra årets research och undersöker nu vidare i ny datainsamling, och det visar sig att det inte bara är information inom hälsouppgifter (t.ex. patientjournaler) som utnyttjas. De stulna uppgifterna från själva hälsosektorn varierar. Exempelvis letade vi förra året efter överkommen hälsodata för att ta reda på hur mycket de är värda och få en uppfattning om hur de utnyttjas. Vi upptäckte dock också stulen data kring “läkar-uppgifter”, dvs innehållande namn, persondata, befattning etc. Dessa listor skulle hjälpa en angripare att låtsas vara en verklig läkare och skapa falska dialoger. Den här gången har vi stött på andra typer av stulna eller manipulerade data från sjukvårdssektorn, vilket kommer publicerades mer i detaljerat i vår rapport i slutet av året.
Förutom de två motiven i ekonomisk vinst och identitetsstöld; har vi (ännu) inte kunnat se någon avsikt i att orsaka fysisk skada, vare sig riktad eller inte. I september 2020 bevittnade vi dock ett av de första kända fallen där person avled indirekt orsakat av en ransomware-attack.
Sammanfattningsvis kan man säga att potentialen finns att använda hälsodata på flera sätt, och framtiden kommer troligen att visa på ännu fler sätt att utnyttja dem på.
Priset på hälsodata varierar kraftigt beroende på om en leverantör erbjuder utdrag ur eller en hel databas med hälsorelaterade data. Vad vi har sett, är det beroende på hur mycket information en lista innehåller; hälsodata erbjuds till ett pris av 3 USD per enhet (se lista # 4) när den säljs i en mycket liten mängd och att den “endast” inkluderar personlig identifierbar information (PII) såsom personnummer (SSN), datum för födelse (DOB) och adress etc. Priset höjs så snart medicinsk information ingår, till exempel i lista # 3, som erbjuder recept, eller lista # 6, som erbjuder “läkar-listor” för 250 USD. Å andra sidan har poster som finns i lista # 1, # 7 och # 10 ett lågt pris per enhet, men antagandet här är att säljaren hoppas kunna sälja hela listan, vilket då skulle innebära ett pris på 12.000.000 USD (# 1), 94,34 USD (# 7) eller 117,27 USD (# 10). Lista # 2 är ett datautdrag från de 110 miljoner posterna i listan # 1. Säljaren skulle antingen kunna sälja en post för 3 USD eller hela listan för 12 miljoner USD.
Den första, #1, har ett oproportionerligt högt pris i förhållande till de andra listorna. Anledningen till detta är att säljaren hävdar att han har medicinska + PII-data om 110 miljoner amerikanska medborgare (se skärmdump 1).
Om vi tittar på priserna, där vi har både pris och enhet, är genomsnittspriset för hälsorelaterade data 26,63 USD per enhet. Detta är ca. 10 gånger högre än vad vi ser när vi tittar på stulna kreditkortsuppgifter eller “endast” listor inkluderat PII-data.
Skärmdump 1: Darknet market lista #1
Vi har inte hittat någon indikation på att så är fallet. Med det sagt, hävdar vi inte heller att vi kan se allt på Darknet. Det är en väldigt dynamisk plats, och även om mycket har hänt under de senaste 1 till 1,5 åren på Darknet så har till exempel några av de ledande marknadsplatserna vi kontrollerade vid vår förra research helt försvunnit (via sk. exit-bluff eller andra skäl); tiden som gått sedan hälsokrisen startade kanske inte heller är tillräckligt lång för att driva förändringar i efterfrågan och priset relaterat till det. Dessutom tillkännagav vissa grupper de pausade sina aktiviteter på grund av den pågående hälsokrisen. Detta var mestadels kopplat till vissa större ransomwaregrupper som Maze, Nefilim & DoppelPaymer. Vissa sa till och med att om sjukvårdssystem av misstag krypterades, skulle de tillhandahålla dekryptering gratis. Långt ifrån alla ransomwaregrupper är dock inte så storslagna. En nyligen inträffad incident påverkade nätverket Universal Health Services, främst baserat i USA. Deras system påstås ha krypterats med Ryuk-ransomware. De hävdade dock att ingen patient- eller anställdas data verkar ha blivit åtkomlig, kopierad eller missbrukad. Ett nyare exempel gäller universitetssjukhuset New Jersey i Newark, som attackerats av en ransomware-operation som kallas SunCrypt. I detta fall hävdade angriparna att de hade 240 GB stulna data; efter att ett arkiv innehållande 48 000 dokument publicerades offentligt, förhandlade sjukhuset om att betala en lösen på 670 000 USD för att förhindra att fler patientdata skulle publiceras eller säljas.
Ärligt talat vet vi inte, och vi kommer förmodligen aldrig veta vem/vilka de är. Vad vi vet är att det finns kundservice på Darknet, vilket innebär att varje leverantör har en profil som visar alla artiklar de säljer, feedback-betyg de fick på transaktioner och deras tjänster, datumet sedan de är aktiva på denna marknad samt också när de senast loggade in (se skärmdump 2). Allt handlar om rykten. Mestadels förknippat med när marknadsplatser försvinner och leverantörer måste börja om och få förtroende och anseende på en ny marknadsplats.
Hälsovårdssektorn är vanligtvis en av få vertikaler, som historiskt, till största del har lidit av insiderhot snarare än externa hotaktörer. Detta har gjort det svårt att upptäcka på kort tid eller ens upptäcka det alls. Intressant nog visar Verizons utredningsrapport för dataintrång 2020 att detta kan ha förändrats under det senaste året. Enligt rapporten är detta det första året vi ser ett litet skifte från insiderhot till externa hot, till exempel en ökning av ransomware-attacker. Under det senaste året har alltså missbruk av interna rättigheter i kombination med externa krafter dvs “brott med flera aktörer” fått en minskning. Om den trenden kommer att stanna, och om det innebär att anställda inom hälsosektorn har blivit och kommer att fortsätta vara mer medvetna och utbildade om hot, kan bara framtiden säga. Det är dock en intressant trend att observera, och som förhoppningsvis kommer att fortsätta.
Generellt sett har sjukvårdssektorn sett en ökning av framgångsrika ransomware-attacker, där angripare hotar att stjäla och publicera hälsodata. Speciellt de senaste månaderna verkar sjukvården vara ett favoritmål:
Annan incident, utöver ransomware, där data oavsiktligt har läckt ut:
En annan typ av attack som sjukvården lider av, är attacker mot webbapplikationer. Enligt Verizons dataintrång och utredningsrapport, leder de inte nödvändigtvis till stulen hälsodata utan är av mer ihållande art med prestandaförluster. Liksom alla andra branscher utvecklas och digitaliseras hälso- och sjukvårdssektorn och därmed erbjuds fler tjänster i digitalt format, exempelvis sammankoppla och interagera med patienter och andra avdelningar. Följaktligen blir attackytan större och öppnar därmed upp nya möjligheter för angripare.
När pandemin startade så blev den snabbt ett lockbete inom phishing-attacker för att spela på människors rädsla och nyfikenhet kring den pågående krisen. Detta är en standardtaktik som används av hotaktörer i deras phishing-kampanjer, dvs en händelse eller situation som har en potentiell global inverkan användas för att rikta in sig på sig på potentiella offer. Även om COVID-19-relaterade trender inom phishing- och skräppostmeddelanden ökade tidigt i samband med pandemins start, tror man inte att den totala volymen phishing-mail har ökat så mycket. Mönstret kring det som användes för bedrägerier, var ett försök att dra nytta av brist på utrustning som skyddar individen, dvs munskydd, handsprit och annat som annonserades ut så som vacciner och botemedel (naturligtvis falska sådana). Ett annat system som användes i ett försök att distribuera skadlig kod var en interaktiv karta över spridning av Coronavirus-infektioner som publicerades av Johns Hopkins University.
Som vi redan har antytt lovade flera cyberbrottsgrupper att inte avsiktligt rikta sig mot vårdinstitutioner under pandemin, detta gällde dock inte alla. Det har noterats en rapporterad ökning av försök till attacker från nationalstaters aktörer inriktade på hälso-, läkemedels- och forskningsorganisationer som arbetar med svar kring COVID-19, såsom utveckling av vaccin, behandling och forskning som försöker hitta ett botemedel. Dessa attacker har lett till att gemensamma varningar utfärdas av USA: s F.B.I. CISA & UK: s NCSC nämner specifikt kinesiska och ryska APT-grupper.
En av de viktigaste faktorerna för alla organisationer är människorna som använder systemen. I de flesta fall är interna incidenter inte avsiktliga; istället beror det på bristande kunskap och medvetenhet om riskerna och potentiella attackvektorer som är förknippade med deras dagliga arbete. Regelbunden utbildning är avgörande för att sjukvårdspersonal ska kunna identifiera misstänkta aktiviteter, förstå varför vissa säkerhetspolicy är nödvändiga och känna till vilka processer som ska följas för att rapportera en möjlig säkerhetsincident. Angripare byter rutinmässigt taktik, och anställda bör uppdateras regelbundet för att förstå vad de ska se upp för. Att använda en simulerad phishing-attacktjänst för kontinuerlig träning bör övervägas för att förhindra att anställda vaggas in i en trygghet och blir ouppmärksamma. Ett viktigt område, men som kan vara komplicerat inom en hälsovårdsmiljö, är sårbarhetshantering av system och applikationer. För att minska risken för att systems sårbarheter utnyttjas i en attack, krävs en sårbarhetshanteringsprocess för att säkerställa att relevanta korrigeringar omedelbart utförs. Detta kräver i sin tur en uppdaterad inventering av miljön för att säkerställa full täckning när uppdateringar distribueras. Medan den dagliga sårbarhetshanteringen av datorer och servrar kan vara relativt enkel, kan utmaningar uppstå när man handhar med äldre programvara, hårdvara och medicinsk utrustning, vilka kan vara svårt att hålla uppdaterade eller om det ens är möjligt alls. För att skydda denna typ av system bör nätverkssegmentering också övervägas, så att endast betrodda enheter kan komma åt dessa högrisksystem över nätverket.
Autentisering och auktorisering kan vara ett annat utmanade område. Alla enheter med standardlösenord bör ändras till nya, unika och komplexa lösenord för att förhindra obehörig åtkomst. För anställdas användarkonton bör principen om minsta möjliga behörighet tillämpas. Detta för att säkerställa att de endast kan få åtkomst till det data och de system de behöver för att utföra sina uppgifter. Där det är möjligt att ha inloggningslösningar baserat på flerfaktorautentisering så bör det införas , vilket ger ytterligare ett lager av säkerhet.
Ett annat alternativ som bör övervägas är fullständig diskkryptering av system som dagligen används av anställda, för att säkerställa att obehörig person inte kan komma åt känslig information. Detta gäller särskilt för bärbara datorer, som är mer benägna att bli stulna eller förlorade.
Våra analytiker i rapporten:
Diana Selck-Paulsson är Threat Research Analyst på Orange Cyberdefense Sverige.
Carl Morris är Lead Security Researcher på Orange Cyberdefense UK.
Christiaan Ileana är Security Analyst på Orange Cyberdefense Holland.
Dennis Bijman är Security Analyst på Orange Cyberdefense Holland.