Zdravotnická data patří k nejcennějším komoditám kyberkriminality

Během dvanácti měsíců analyzovali výzkumníci TrendAI 7 779 příspěvků v undergroundových fórech, 21 813 inzercí na trzích a 95 webů s únikem ransomwaru souvisejících s kyberkriminalitou ve zdravotnictví. Výsledky ukazují: Zdravotní data stále patří k nejžádanějším komoditám obchodovaným v kriminálním undergroundu. Jejich trvanlivost, citlivost a možnost použít je pro různé formy podvodů a vydírání současně je pro zločince velmi atraktivní.

Ransomware jako motor undergroundového obchodu

Prodeje dat z ransomware událostí tvořily více než třetinu (36,3 %) veškeré tržní aktivity. Skupiny s ransomwarem stále častěji kombinují šifrování s krádeží dat a vydíráním. Výzkumníci také identifikovali rostoucí zaměření na poskytovatele elektronických zdravotních záznamů. Jeden úspěšný útok pak může ohrozit stovky následných zdravotnických zařízení.

Report také ukazuje, že se kyberzločinci již neomezují na prodej kompletních datových sad. Na undergroundových trzích se zdravotní data stále častěji obchodují jako základ pro krádež identity, podvody s pojištěním, padělané osvědčení a recepty a převzetí účtů pacientů a zaměstnanců. Díky tomu lze ukradené datové soubory zpeněžit několik let.

„Zdravotní data se vyvinula z odcizených informací na aktiva, která kyberzločinci mohou dlouhodobě používat,“ vysvětluje Mayra Rosario, Senior Threat Researcher ve společnosti TrendAI. „Na rozdíl od kreditní karty nelze diagnózy, léčebné historie nebo biometrická data pacienta jednoduše zablokovat a znovu vydat – to je činí pro skupiny s ransomwarem a obchodníky s daty obzvlášť atraktivní.“

Od jednotlivce ke kriminálnímu dodavatelskému řetězci

Studie také osvěcuje postupující industrializaci kyberkriminality ve zdravotnickém sektoru: Undergroundové trhy nyní nabízejí široké spektrum – od přihlašovacích údajů k nemocničním sítím a pojišťovacím datům až po kompletní identity a padělané lékařské dokumenty.

Obzvláště výrazně roste role tzv. Initial Access Broker. Tito specializovaní aktéři získávají přístup k sítím nemocnic, klinik nebo poskytovatelů zdravotních služeb a potom je prodávají skupinám s ransomwarem nebo jiným kyberzločincům. Dělba práce snižuje vstupní překážky pro útočníky a urychluje komercializaci útoků na zdravotnická zařízení.

„Sledujeme ne izolované jednotlivé případy, ale rozvinutou undergroundovou ekonomiku, která byla cíleně vytvořena kolem kyberútoků na zdravotnictví,“ říká Dirk Arendt, ředitel Government, Public and Healthcare DACH ve společnosti TrendAI. „Aktuální případy v Německu a po celém světě jasně ukazují, jak velmi jsou data pacientů v centru zájmu kyberzločinců a musí být bezpodmínečně lépe chráněna.“

Softwarové dodavatele jako vstupní bod: Riziko s multiplikátorovým efektem

Studie také varuje, že kompromitace dodavatelských řetězců prostřednictvím softwarových dodavatelů a lékařských platforem se stává hlavním faktorovým rizikem pro celý sektor. Umožňují útočníkům šířit jejich operace daleko za jednotlivé nemocnice nebo kliniky.

Celosvětové nechráněné systémy pro lékařské zobrazování

Parallelní tomu výzkumníci TrendAI identifikovali významná rizika u k internetu připojených systémů pro lékařské zobrazování. Samostatné vyšetřování zjistilo celosvětově 3 627 veřejně dostupných DICOM serverů ve více než 100 zemích. DICOM (Digital Imaging and Communications in Medicine) je ústředním standardem pro výměnu lékařských obrazových dat, jako jsou MRI, CT nebo rentgenové snímky.

Zvláště kritické bylo, že i když DICOM podporuje bezpečnostní mechanismy jako šifrování, autentizaci a přístupové kontroly po celá desetiletí, v praxi se využívají jen zřídka. Pouze 0,14 % identifikovaných systémů použilo předepsané TLS šifrování, zatímco 99,56 % přijalo připojení bez platné autentizace. Report varuje, že útočníci mohou špehovat data pacientů, manipulovat s lékařskými obrazovými daty, vložit ransomware nebo se pohybovat laterálně v nemocničních sítích.

Další informace

Plnou zprávu "The Cybercriminal Underground: Mapping the Healthcare Data Economy" naleznete zde: https://www.trendaisecurity.com/de/resources-insights/research/the-cybercriminal-underground- mapping-the-healthcare-data-economy

Plnou zprávu "Exposed DICOM Servers and the Risk to Patient Data" naleznete zde: https://www.trendmicro.com/vinfo/de/security/news/cybercrime-and-digital- threats/a-hidden-vulnerability-in-healthcare-exposed-dicom-servers-and-the-risk-to-patient-data

Mediální kontakt TrendAI™
c/o BRAND AFFAIRS AG
Mischa Keller
MSc Business Administration Partner
Telefon: +41 44 254 80 00
E-Mail: trendmicro-media@brandaffairs.ch

Mühlebachstrasse 8
8008 Curych
Švýcarsko

Poznámka redakce: Autorská práva k obrázku náleží príslušnému vydavateli.