TrendAI-tutkijat analysoivat kahdentoista kuukauden aikana 7 779 keskustelupalstojen viestiä, 21 813 markkinailmoitusta ja 95 kiristysohjelma-vuotosivustoa, jotka liittyivät terveydenhuollon kyberrikollisuuteen. Tulokset osoittavat, että terveydenhuollon tiedot ovat edelleen kysytyimpiä hyödykkeitä, joita rikollisessa maanalaisessa maailmassa vaihdetaan. Niiden pysyvyys, herkkyys ja kyky käyttää niitä eri petos- ja kiristysmuodoissa tekevät niistä rikollisten kannalta erityisen houkuttelevia.
Kiristysohjelmien vetämänä maanalainen kauppa toimii tehokkaammin. Kiristysohjelmiin liittyvät tietomyyntitapaukset vastasivat yli kolmasosaa (36,3 prosenttia) koko markkinatoiminnasta. Kiristysohjelmaryhmät yhdistävät yhä useammin salauksen tietovarkauteen ja kiristykseen. Lisäksi tutkijat tunnistivat kasvavan kohdistuksen sähköisten potilastietojen tarjoajiin, joissa yksi onnistunut hyökkäys voi vaarantaa satoja terveydenhuollon laitoksia.
Raportti osoittaa myös, että kyberrikolliset eivät enää rajoitu pelkästään koko tietosarjojen myyntiin. Maanalaisilla markkinoilla terveydenhuollon tietoja käytetään yhä enemmän muun muassa identiteettivarkauksiin, vakuutuspetoksiin, väärennettyihin todistuksiin ja resepteihin sekä potilas- ja työntekijätilien kaappauksiin. Tämän ansiosta varastettuja tietosarjoja voidaan moninkertaistaa rahallisesti vuosia.
'Gesundheitsdaten ovat muuttuneet varastetuista tiedoista resursseiksi, joita kyberrikolliset voivat käyttää pitkällä aikavälillä', selittää Mayra Rosario, TrendAI:n johtava uhkatutkija. 'Toisin kuin luottokortteja, ei ole helppoa estää potilaan diagnooseja, hoitohistoriaa tai biometrisiä tietoja ja myöntää uudelleen — tämä tekee niistä erityisen houkuttelevia kiristysohjelmaryhmille ja tietokauppiaille.'
Yksittäisistä rikollisista rikollisiin toimitusketjuihin: Tutkimuksessa tarkastellaan myös terveydenhuoltosektorin kyberrikollisuuden teollistumista. Maanalaiset markkinat tarjoavat laajan valikoiman — sairaalaverkkojen kirjautumistiedoista vakuutustietoihin, koko identiteettipaketteihin ja väärennettyihin lääketieteellisiin asiakirjoihin.
Erityisesti ns. Initial Access Broker -toimijoiden rooli kasvaa vahvasti. Nämä erikoistuneet toimijat saavat pääsyn sairaaloiden, klinikoiden tai terveyspalveluntarjoajien verkkoihin ja myyvät sitten tämän pääsyn eteenpäin kiristysohjelmaryhmille tai muille kyberrikollisille. Tehtävien jakaminen alentaa hyökkääjien kynnyksiä ja nopeuttaa terveydenhuoltolaitoksiin kohdistuvien hyökkäysten kaupallistamista.
'Mitä tarkkailemme, eivät ole yksittäistapauksia, vaan kypsä maanalainen talous, joka on rakentunut tarkoituksenmukaisesti terveydenhuoltoon kohdistuvien kyberhyökkäysten ympärille', sanoo Dirk Arendt, TrendAI:n director Government, Public and Healthcare DACH. 'Viimeisimmät tapahtumat Saksassa ja maailmalla osoittavat vakuuttavasti, kuinka kyberrikollisten kohteena potilastiedot ovat ja kuinka niiden suojaa tulee parantaa.'
Ohjelmistotoimittajat hyökkäysten porttina: tutkimus varoittaa myös, että toimitusketjujen murtautumiset ohjelmistotoimittajien ja lääketieteellisten alustojen kautta voivat toimia koko sektorin keskeisenä riskitekijänä. Ne antavat hyökkääjille mahdollisuuden laajentaa operaatioitaan paljon yksittäisiä sairaaloita tai klinikoita laajemmalle.
Maailmanlaajuisesti suojattomat lääketieteellisen kuvantamisen järjestelmät: Samanaikaisesti TrendAI-tutkijat tunnistivat huomattavia riskejä internetiin kytketyissä lääketieteellisen kuvantamisen järjestelmissä. Erillisessä tutkimuksessa löydettiin maailmanlaajuisesti 3 627 julkisesti saatavilla olevaa DICOM-palvelinta yli 100 maassa. DICOM (Digital Imaging and Communications in Medicine) on keskeinen standardi lääketieteellisten kuvantamistietojen, kuten MRI-, TT- tai röntgenkuvien vaihtoon.
Osoittautui erityisen kriittiseksi, että vaikka DICOM on tukenut turvallisuusmekanismeja, kuten salaus, todentaminen ja käyttöoikeuksien valvonta, niitä käytetään käytännössä harvoin. Vain 0,14 prosenttia tunnistetuista järjestelmistä hyödynsi määrättyä TLS-salausta, kun taas 99,56 prosenttia hyväksyi yhteydet ilman tehokasta todentamismekanismia. Raportissa varoitetaan, että hyökkääjät voivat tämän vuoksi vakoilla potilastietoja, manipuloida lääketieteellisiä kuvantamistietoja, tunkeutua kiristysohjelmiin tai liikkua sairaalaverkkojen sisällä.
Lisätietoja: Täyden raportin 'The Cybercriminal Underground: Mapping the Healthcare Data Economy' löydät täältä: https://www.trendaisecurity.com/de/resources- insights/research/the-cybercriminal-underground-mapping-the-healthcare-data-economy
Täydellisen raportin 'Exposed DICOM Servers and the Risk to Patient Data' löydät täältä: https://www.trendmicro.com/vinfo/de/security/news/cybercrime-and-digital-threats/a-hidden- vulnerability-in-healthcare-exposed-dicom-servers-and-the-risk-to-patient-data
Mediasuhteet
TrendAI™
c/o BRAND AFFAIRS AG
Mischa Keller
MSc Business Administration Partner
Puhelin: +41 44 254 80 00
Sähköposti: trendmicro-media@brandaffairs.ch
Mühlebachstrasse 8
8008 Zürich
Sveitsi