ארגוני בריאות – כך תגנו על עצמכם מפני תוכנות כופר

מאת: עופר ישראלי

מתקפות הכופר נמצאות בעלייה. לאחר המעבר החד לעבודה מרחוק, וכאשר העובדים החלו לגשת למשאבים פנימיים של הארגון בדרכים שלא תמיד מאובטחות כהלכה, פשיעת הסייבר הרקיעה שחקים, והגורמים הזדוניים ניצלו את החיים החדשים בסגר לטובתם. התוקפים מצאו יעד רגיש במיוחד להתמקד בו: בתי חולים וספקי שירותי בריאות. ברחבי אירופה, בתי חולים נמצאים תחת מתקפות על בסיס קבוע, מה שגורם לכשל במערכות ה-IT ואפילו לתוצאות קטלניות.

מדוע התוקפים מתמקדים בבתי חולים?

ההיבט המרכזי שהופך את בתי החולים למטרה מפתה כל כך זהו הערך הכספי של הרישומים הרפואיים ברשת האפלה, כאשר ניתן למכור רישומים גנובים ב-1,000 דולר לאחד. אם נשווה זאת לכרטיסי אשראי, אשר לרוב מתומחרים ב-5 דולר לאחד, קל לראות מדוע בתי החולים נמצאים על הכוונת של התוקפים. ברגע שתוכנת כופר חדרה לרשת, היא יכולה להשבית את כל המערכת במידה שלא ינקטו בפעולות הנחוצות. למרבה המזל, ישנן הגנות רבות שניתן לפרוס כדי להגן על המערכות של בתי החולים, אך על מנת לעשות זאת, יש לקבל את המשאבים הנחוצים.

למרות מגוון הכלים הנמצאים בשוק, המיועדים להגביל את ההשפעה של מתקפות זדוניות כמו תוכנות כופר, בתי החולים לעיתים רבות מתקשים לזהות היכן עליהם להשקיע את המשאבים המוגבלים שלהם כדי להפיק את התועלת הרבה ביותר עבורם. הצדקה של אמצעי אבטחה יקרים בעת הערכת התקציבים יכולה להיות קשה, כאשר מערכות אבטחה לא יכולות לספק תחזית בטוחה בכל הנוגע להחזר ההשקעה. אין ארגון, בין אם במגזר הציבורי או הפרטי, שרוצה להיות פגיע – והם לא מוכרחים להיות. מדובר במיצוי התקציב הקיים וניתוב המשאבים הפיננסיים הזמינים לכיוון הנכון.

שומרים על הביטחון

גם אם תוכנות הכופר לא בהכרח מתוחכמות יותר מסוגים אחרים של תוכנות זדוניות, הן ממשיכות להיות בשימוש נרחב של התוקפים. בתי החולים צריכים לוודא כי יש ברשותם גיבוי מתוזמן, מלא ומאובטח של כל הנתונים מחוץ לרשת, ובנוסף לכך, לשקול ליישם אסטרטגיית אבטחה המורכבת משכבות של טכנולוגיות המשמשות למניעה, איתור ותגובה, הפרוסות כהלכה לאורך כל נקודות הכניסה האפשריות.

טכנולוגיות ברמת הרשת כמו מניעת חדירות (IPS) ואנטי-וירוס הן רק חלק מטכנולוגיות המניעה שיש לקחת בחשבון. אפשרויות נוספות כוללות חיבור מאובטח למייל (SEG), היות שהמייל עדיין משמש כאחת מנקודות הכניסה השכיחות ביותר, יחד עם הגנה על יישומי הרשת באמצעות התקן אבטחה אפליקטיבי (WAF).

לאחר שיש ברשותכם שכבת מניעה, ניתן לפרוס טכנולוגיות איתור מרכזיות, כמו איתור ותגובה לנקודות קצה (EDR) ו-sandboxing. כדי לסייע להבטיח כי רק משתמשים והתקנים בעלי אישור יכולים לגשת לרשת, ניתן לפרוס פתרון בקרת גישה לרשת (NAC), בכדי לתמוך בעובדים המרוחקים. כמו כן, חשוב לשקול לשלב פתרון ניהול אבטחת מידע ואירועים (SIEM), לצורך אספקת ניתוח איומי אבטחה בזמן אמת, בשילוב עם נתונים מכל ארכיטקטורת הארגון, או, לחילופין, פתרון איתור ותגובה מורחב (XDR), אשר אוסף נתונים מכל שכבות האבטחה ומתאם ביניהם כדי לחסום איומים שמשפיעים על אזורים אחרים.

באמצעות נקיטה בגישה מרובת-שכבות, ניתן למזער את האיום של חדירת תוכנה זדונית לרשת ולמנוע נזק במקרה שהחדירה כבר התרחשה.

יחד עם זאת, אפילו בהינתן ההגנה הטובה ביותר בעולם, חשוב לזכור כי 99% מהמתקפות מסתמכות על טעות אנוש כדי לקבל גישה לרשת הארגונית. התוקפים מסתמכים על משתמשים אשר לוחצים על קישור, מורידים קובץ או חושפים בהיסח הדעת מידע כמו סיסמאות, כך שהדרכות בנושא היגיינת סייבר הפכו לחשובות לא פחות משמירה על הבריאות. כאשר צוות העובדים חמוש בידע באשר לדברים שמהם יש להימנע ומתי צריך לחשוב פעמיים לפני ביצוע פעולה כלשהי, הארגון כבר נמצא בדרך הנכונה לאבטחה יציבה. 

יישום ההגנות הללו לא חייב לקחת את החלק העיקרי מתקציב בית החולים או לדרוש ידע טכנולוגי מקיף – אך הוא חייב לקבל את התמיכה הנכונה ודפוס חשיבה מניעתי. ככלות הכל, כמו שכל מומחה בתחום הבריאות יודע – מניעה תמיד טובה יותר מתרופה. 

הכותב הוא מנהל פעילות פורטינט בישראל