Datele medicale sunt printre cele mai valoroase active pentru criminalitatea informatică

Pe parcursul a douăsprezece luni, cercetătorii TrendAI au analizat 7.779 de postări pe forumuri subterane, 21.813 anunțuri de piață și 95 de site-uri de scurgere de ransomware legate de criminalitatea informatică în domeniul sănătății. Rezultatele arată că datele medicale rămân unele dintre cele mai râvnite active care sunt tranzacționate în subteranul criminal. Permanența lor, sensibilitatea și capacitatea de a le utiliza pentru diferite forme de fraudă și șantaj le fac deosebit de atractive pentru infractori.

Ransomware-ul ca motor al comerțului subteran

Vânzările de date din incidentele de ransomware au reprezentat mai mult de o treime (36,3%) din activitatea totală de pe piață. Actorii de ransomware combină din ce în ce mai mult criptarea cu furtul și șantajul datelor. În plus, cercetătorii au identificat o concentrare din ce în ce mai mare pe furnizorii de dosare electronice de sănătate. Un singur atac reușit poate apoi compromite sute de instituții medicale subordonate.

Raportul arată, de asemenea, că infractorii cibernetici nu se mai limitează doar la vânzarea de seturi complete de date. Pe piețele subterane, datele medicale sunt din ce în ce mai mult utilizate ca bază pentru furt de identitate, fraude de asigurare, certificate și rețete false, precum și preluarea conturilor de pacienți și angajați. Astfel, seturile de date furate pot fi monetizate de mai multe ori pe parcursul anilor.

„Datele medicale s-au transformat din informații furate în active pe care infractorii cibernetici le pot folosi pe termen lung”, explică Mayra Rosario, Cercetător Principal în Amenințări la TrendAI. „Spre deosebire de un card de credit, diagnosticurile, istoricul tratamentelor sau datele biometrice ale unui pacient nu pot fi pur și simplu blocate și reproiectate – ceea ce le face deosebit de atractive pentru grupurile de ransomware și dealeri de date.”

De la singuratic la lanț criminal organizat

Studiul examinează și industrializarea progresivă a criminalității informatice în sectorul medical: piețele subterane oferă acum un spectru larg – de la date de acces la rețelele de spitale și date de asigurare până la pachete complete de identitate și documente medicale false.

Crește în mod semnificativ rolul așa-numiților brokeri de acces inițial. Acești actori specializați obțin acces la rețelele spitalelor, clinicilor sau furnizorilor de servicii de sănătate și vând ulterior acest acces grupurilor de ransomware sau altor infractori cibernetici. Împărțirea muncii reduce barierele de intrare pentru atacatori și accelerează comercializarea atacurilor asupra unităților de sănătate.

„Ceea ce observăm nu sunt cazuri izolate, ci o economie subterană avansată, construită special în jurul atacurilor cibernetice asupra sectorului sănătății”, spune Dirk Arendt, Director Guvernamental, Public și Sănătate DACH la TrendAI. „Incidentele recente din Germania și din întreaga lume demonstrează clar cât de mult sunt datele pacientului în centrul atenției infractorilor cibernetici și că trebuie neapărat să fie mai bine protejate.”

Furnizorii de software ca poartă de intrare: risc cu efect multiplicator

Studiul avertizează, de asemenea, că compromiterea lanțurilor de aprovizionare prin intermediul furnizorilor de software și platformelor medicale devine un factor central de creștere a riscurilor pentru întregul sector. Ele permit atacatorilor să își extindă operațiunile mult dincolo de spitale sau clinici individuale.

Sisteme neprotejate la nivel mondial pentru imagistica medicală

În paralel, cercetătorii TrendAI au identificat riscuri semnificative la sistemele de imagistică medicală conectate la internet. O investigație separată a găsit 3.627 de servere DICOM accesibile publicului în peste 100 de țări. DICOM (Digital Imaging and Communications in Medicine) este standardul central pentru schimbul de date de imagistică medicală, precum imagini RMN, CT sau radiografii.

S-a constatat că, deși DICOM acceptă de decenii mecanisme de securitate precum criptarea, autentificarea și controalele de acces, acestea sunt puțin utilizate în practică. Doar 0,14% din sistemele identificate utilizau criptarea TLS prevăzută, în timp ce 99,56% dintre conexiuni acceptau verificări de autentificare ineficiente. Raportul avertizează că, prin aceasta, atacatorii ar putea spiona datele pacientului, manipula datele de imagistică medicală, injecta ransomware sau se muta lateral în rețelele spitalelor.

Informații suplimentare

Raportul complet „The Cybercriminal Underground: Mapping the Healthcare Data Economy” poate fi găsit aici: https://www.trendaisecurity.com/de/resources-insights/research/the- cybercriminal-underground-mapping-the-healthcare-data-economy

Raportul complet „Exposed DICOM Servers and the Risk to Patient Data” poate fi găsit aici: https://www.trendmicro.com/vinfo/de/security/news/cybercrime-and-digital-threats/a-hidden-vulnerability- in-healthcare-exposed-dicom-servers-and-the-risk-to-patient-data

Contact media TrendAI™

c/o BRAND AFFAIRS AG
Mischa Keller
MSc Partener în Administrarea Afacerilor
Telefon: +41 44 254 80 00
E-Mail: trendmicro-media@brandaffairs.ch
Mühlebachstrasse 8
8008 Zürich
Switzerland

Notă editorială: Drepturile asupra imaginilor aparțin editorului respectiv.