”Truslen mod sundhedsvæsenet er meget høj, men sygehusene er ikke sikret godt nok mod cyberangreb”, kan læses i dagens artikel i ITWatch og Finans. Odense Universitetshospital er forberedt med et 24-timers vagthold, samtidig med at Danske Regioner ønsker flere penge til beskyttelse mod hackerangreb.

Godt for dem.

For historien viser, at sundhedssektoren er en lækkerbisken for de it-kriminelle. Bl.a. viste en undersøgelse fra analyseinstituttet Ponemon, at hele 67 pct. af de 597 hospitaler, der blev undersøgt, havde oplevet et ransomware-angreb inden for de seneste to år. Hver tredje endda to gange. Konsekvenserne var bl.a. forlængede indlæggelser (71 pct.) og større dødelighed (22 pct.). Gad vide hvor stor skade den ugelange nedlukning af det Grønlandske sundhedsvæsens adgang til patientjournalarne har gjort. Det vil tiden vise.

Men hvorfor er specielt sundhedsorganisationer i de it-kriminelles søgelys?

Det er de, fordi sundhedssektoren er et førsteklasses mål; Her er der potentielt store gevinster at hente. Hospitaler er mere tilbøjelige til at betale løsesummen, fordi databrud kan udløse bekostelige retssager og måneders afbrydelser. Konsekvenserne ved et cyberangreb rettet mod et hospital rækker langt ud over datalæk. Her handler det om liv eller død, fordi patientplejen afbrydes, mens der knokles for at få sundhedstjenesterne online igen.

De it-kriminelle satser netop på det ekstreme pres, som sundhedsorganisationerne er under. For at få systemerne op at køre igen, så hurtigt som muligt, er de mere tilbøjelige til at betale svimlende summer i løsepenge. Ifølge en rapport fra Sophos betaler 34 pct. løsesummen – og det er flere end i alle andre brancher.

Meget kunne vindes på sikkerhedsfronten, hvis der kom mere fokus på at beskytte identitetsstyring

Sundhedsvæsenets identitetsstyringssystemer - deres Active Directory (AD) – er en lækkerbisken for it-kriminelle. Det er her, man styrer de digitale adgange i en organisation. Det er samtidigt her ni ud af 10 af alle angreb begynder. Det er derfor en virkelig god idé at beskytte sit Active Directory, så de it-kriminelle ikke kan skaffe sig adgang til de kritiske systemer herfra.

Der er hjælp at hente her:

Gør Active Directory sikker - Angreb starter ofte med, at it-kriminelle udnytter svagheder i AD-systemet for at få adgang til de kritiske informationssystemer. Ifølge en undersøgelse blandt brugere af Purple Knight, der er et gratis-værktøj til vurdering af AD-sikkerhed, undlader organisationer af alle størrelser og på tværs af alle brancher, at udbedre sikkerhedshuller i deres AD. Sundhedssektoren er blandt de dårligst beskyttede sektorer, kun overgået af forsikringsbranchen. Organisationer i sundhedssektoren har det højeste antal kritiske indikatorer for eksponering og den laveste kontosikkerhed, bl.a. administratorkonti med gamle adgangskoder og brugerkonti uden adgangskoder. Det første skridt er at identificere disse sårbarheder, og det kan gøres med det gratis Purple Knight-værktøj, der findes på purple-knight.com.

Hold øje med ondsindede ændringer i AD - Det vanskelige ved at opdage angreb er, at nogle AD-ændringer flyver under radaren med de traditionelle logningsværktøjer. På traditionelle SIEM-løsninger kan it-kriminelle lurepasse inde i systemet i uger eller måneder, før de slipper deres malware løs. Mens de venter, arbejder de på at skaffe sig højere privilegier og adgange, så de kan bevæge sig sidelæns igennem netværket og hermed kortlægge it-systemer og identificere deres mål. Ved at udnytte værktøjer, der kan identificere angreb, som omgår agentbaseret eller logbaseret registrering, og som giver mulighed for autonom tilbagerulning af mistænkelig aktivitet, kan organisationen opdage disse ondsindede ændringer.

Hav en solid plan for en fuldstændig genopretning af AD-skoven - Når it-kriminelle sender en ransomware-besked afsted og personalet ikke kan tilgå patientjournalerne, kan en hurtig, afprøvet og malwarefri plan for genopretning af AD-skoven minimere katastrofen betydeligt. Ved omfattende nedbrud skal organisationen genoprette deres AD, før de kan genoprette deres systemer. Desværre har kun én ud af fem organisationer en afprøvet plan for at genoprette AD efter et it-angreb, iflg. en undersøgelse fra SANS Instituttet.

Dette kan have ødelæggende konsekvenser for sundhedsorganisationer, da AD-gendannelse er notorisk besværlig og har det med at fejle. Selv om Microsoft leverer en lang teknisk vejledning, der beskriver de 28 nødvendige trin, er processen hovedsagelig manuel og kan tage dage, hvis ikke uger. Gøres det ikke rigtigt, genindfører man blot malwaren, og de it-kriminelle kan gå i gang igen. Sørg derfor for at teste regelmæssigt og brug en automatiseret genoprettelsesproces, der genopretter til normal drift på få minutter og sikrer, at systemerne genoprettes til en kendt og sikker tilstand.

I betragtning af det stigende antal angreb mod sundhedssektoren, der kan lamme et helt hospital, bør alle lukke eksisterende AD-sikkerhedshuller, implementere effektive løsninger til trusselsdetektion og implementere en testet AD-genoprettelsesplan.