Serier

Cyberangreb: Alle er i fare, og sundhedssektoren står for tur

Voldsomme ransomware-angreb er blevet hverdag, og mens virksomheder mærker de økonomiske følger, handler det i sundhedssektoren om liv eller død. Desværre misser alle typer af organisationer at beskytte deres identitets-styringssystemer, som er en populær vej ind for it-kriminelle.

Corona rammer verden

Antallet af cyberangreb er steget voldsomt de seneste år. Blandt andet har store danske virksomheder som Demant og Mærsk været udsat for ransomware-angreb, der endte med at koste hhv. 650 mio. og næsten 2,5 mia. kroner. Vestas var seneste offer, hvor it-kriminelle offentliggjorde tusindvis af følsomme data.

Ransomwareangreb kan ramme alle, og jeg er bange for, at vi står over for endnu mere kritiske angreb i fremtiden. For hvis it-kriminelle angriber sundhedssektoren, kan det få uoverskuelige konsekvenser, som da en kvindelig patient på et tysk hospital døde som direkte konsekvens af et ransomwareangreb.

En ny undersøgelse fra analyseinstituttet Ponemon viser, at hele 67 pct. af de undersøgte 597 hospitaler havde oplevet et ransomware-angreb inden for de seneste to år – 33 pct. af dem to gange.

Sundhedssektoren er et lukrativt mål for hackere

Der er potentielt store gevinster at hente i sundhedssektoren, fordi hospitaler ofte er mere tilbøjelige til at betale løsesummen. En ny rapport fra Sophos viser, at 34 pct. af de angrebne sundhedsorganisationer betalte løsesum – det er flere end i alle andre sektorer.

Dét er der en god grund til; for hvis patientjournaler eller kritiske systemer bliver låst, har det nemlig ikke kun forretningsmæssige eller økonomiske konsekvenser. I værste fald handler det om liv eller død, fordi patientplejen afbrydes, mens problemet søges løst. Sundhedssektoren kan derfor heller ikke afvente en løsning lige så længe som i andre sektorer.

Noget tyder på, at it-kriminelle ikke er bange for en sådan kynisk udnyttelse. Cyberangreb på sundhedssektoren er steget voldsomt under pandemien. Seneste eksempler er ransomware-angrebet på Irlands sundhedstjenesteudbyder, som ødelagde diagnostiske tjenester og afbrød covid-19-testning. Hives ransomware-angrebet på Memorial Health Systems, som påvirkede hospitaler og sundhedsklinikker i hele Ohio og West Virginia. Og senest i Israel, hvor 10 hospitaler og medicinske organisationer blev ramt og permanent mistede patientjournaler.

Sørg for at beskytte jeres identitetsstyring

Active Directory (AD), som styrer digitale identiteter og brugerrettigheder i en organisation, bruges i 90 pct. af alle organisationer i dag – og er en lækkerbisken for de it-kriminelle. Det er nemlig her, de kan få det fulde overblik over, hvordan adgangskontroller er skuet sammen og hvem, der har adgang til hvilke oplysninger. Når de først er inde i AD, kan de stille og roligt tildele sig selv bedre brugerrettigheder og bevæge sig igennem systemerne, indtil de har fundet guldgruben. Netop derfor bruger it-kriminelle ofte AD som det første i et angreb.

Her er et par råd, som virker for alle virksomheder og organisationer:

Gør AD sikker - Angreb starter ofte med, at it-kriminelle udnytter svagheder i AD-systemet. Ifølge en nylig undersøgelse blandt brugere af Purple Knight, der er et gratis værktøj til vurdering af AD-sikkerhed, undlader store og små organisationer at udbedre sikkerhedshuller i deres AD. Her er sundhedssektoren blandt de dårligst beskyttede sektorer. De har det højeste antal kritiske indikatorer for eksponering og den laveste kontosikkerhed, bl.a. administratorkonti med gamle adgangskoder. Et godt første skridt er at identificere disse sårbarheder, f.eks. med Purple Knight-værktøjet.

Hold øje med ondsindede ændringer i AD - På traditionelle SIEM-løsninger kan it-kriminelle lurepasse inde i systemet i uger eller måneder, før de slipper deres malware løs. Mens de venter, arbejder de på at skaffe sig højere privilegier og adgange, så de kan bevæge sig igennem netværket, kortlægge it-systemer og identificere deres mål. Ved at udnytte værktøjer, der kan identificere angreb, som omgår agentbaseret eller logbaseret registrering, og som giver mulighed for autonom tilbagerulning af mistænkelig aktivitet, kan virksomheder opdage disse ondsindede ændringer.

Hav en solid plan for en fuldstændig genopretning af AD-skoven - Når it-kriminelle sender en ransomware-besked, der påvirker systemerne, afsted, kan en effektiv, afprøvet og malwarefri plan for genopretning af AD-skoven minimere problemet betydeligt. Ved omfattende nedbrud skal virksomheden genoprette deres AD, før de kan genoprette systemerne. Desværre har kun én ud af fem virksomheder en afprøvet plan for at genoprette AD efter et hackerangreb. Det viser en undersøgelse fra SANS Instituttet, der har specialiseret sig i it-sikkerhed.

Dette kan have ødelæggende konsekvenser for sundhedssektoren, da AD-gendannelse er notorisk besværlig og ofte fejler. Selv om Microsoft leverer en lang teknisk vejledning, er processen hovedsagelig manuel og kan tage dage, hvis ikke uger. Gøres det ikke rigtigt, genindfører man blot malwaren, og de it-kriminelle kan starte forfra. Sørg derfor for at teste regelmæssigt og brug en automatiseret genoprettelsesproces, der genopretter til normal drift på få minutter.

I betragtning af det stigende antal voldsomme ransomwareangreb bør alle lukke eksisterende AD-sikkerhedshuller, implementere effektive løsninger til trusselsdetektion og en testet AD-genoprettelsesplan.

Læs også
Top job