מחקר פורסקאוט: רשתות במוסדות בריאות עדיין חשופות לסיכון משמעותי של התקפות ושיבוש פעילות

מעבדת המחקר של פורסקאוט מפרסמת היום דוח חדש המנתח את רמת האבטחה של מוסדות בריאות בשנת 2020. הדוח, המספק בין היתר השוואה למחקר דומה שנעשה בשנת 2019, מגלה בעיות משמעותיות הנובעות משימוש במערכות ותיקות וסגמנטציה לא מספקת.

לדברי דניאל דוס סנטוס, חוקר בכיר בפורסקאוט, הגידול במספר המכשירים והגיוון שלהם במערכות בריאות תרם לגידול בסיכוני אבטחת סייבר במוסדות אלו. היכולת לפגוע במכשירים ורשתות, לצד האפשרות להרוויח מנתוני מטופלים, הביאו לגידול במספר התקפות הסייבר המתוחכמות על שירותי בריאות במהלך השנים האחרונות. רק בשבועות האחרונים דווח על המוות הראשון בעקבות מתקפת כופרה על בית חולים גרמני, בעוד שמתקפה אחרת פגעה בפעילות של יותר מ- 400 בתי חולים ברחבי ארה"ב, פורטו ריקו ובריטניה. בתי חולים רבים וארגוני בריאות מרחיבים בחודשים האחרונים את נוכחות המכשירים ברשת כדי להתמודד עם האתגרים של מגיפת COVID-19. במקביל, התפקיד החיוני שלהם במשבר הגלובלי הופך אותם גם למטרות נחשקות עבור תוקפים. התוצאה היא "סערה מושלמת" אשר מציבה את אבטחת הסייבר של שירותי הבריאות  בחזית הפעילות, יותר מאי פעם.

מתוך התבוננות אל אופק האיומים הנוכחי, פורסקאוט לקחה על עצמה לנתח את מצב אבטחת הרשתות של שירותי הבריאות. בשיתוף פעולה עם מספר ספקי שירותי בריאות גדולים, נאספו נתוני התעבורה ברשת, ובוצע ניתוח של יותר מ- 3 מליון מכשירים ב-Device Cloud של פורסקאוט. הממצאים מתפרסמים בדוח "אבטחת מכשור רפואי מרושת: מבט עמוק אל רשתות שירותי הבריאות"

ממצאים מרכזיים:

1. ראינו ירידה באחוז המכשירים המריצים מערכות הפעלה מסוג Windows שאינן נתמכות – ירידה מ-71% ב-2019 ל-32% ב-2020. עם זאת, אחוז המכשירים שמריצים גרסאות Windows אשר יצאו לחלוטין משירות נותר על 0.4%. למרות שמדובר באחוז קטן מהמכשירים, הנתונים מצביעים על כך שבעיית המערכות המיושנות צפויה להיות נוכחת גם בעתיד.
   
   
2. השנה זיהינו כי מתוך כל אזורי הרשת (segments) אשר מכילים לפחות מכשיר רפואי אחד, ב-60% מהם פועל מכשור IoT נוסף שאינו רפואי. בנוסף, אצל 90% מאזורי הרשת של שירותי הבריאות יש שילוב של מכשור רפואי ומכשירי IT. המכשירים האלה עלולים להכיל חולשות בתוכנה אשר עלולות להוביל לפגיעה במכשירים האחרים ברשת.
   
   
3. זיהינו ציוד רפואי (במיוחד מוניטורים וסורקי CT) המוגדר עם הרשאות הגישה של ברירת המחדל, הממוקם לצד ציוד IT ו-IoT נוסף. בתרחיש זה, המכשור הרפואי פועל כחוליה החלשה ברשת.
   
   
4. אצל רוב ספקי שירותי הבריאות שהשתתפו במחקר, הבחינו החוקרים בתקשורת העוברת בין כתובות IP פרטיות וציבוריות באמצעות פרוטוקול תקשורת רפואי (HL7) המשמש להחלפת מידע רפואי בטקסט פתוח (clear-text). הדבר יכול להביא בקלות לדליפה של מידע רגיש של מטופלים, כגון שמות, כתובות, נתוני משפחה, אלרגיות ותוצאות בדיקות.
   
   
5. נמצאו מקרים של פרוטוקולי רשת שאינם מאובטחים בשימוש אצל כל אחד מספקי הבריאות שנבדקו. לדוגמא, כולם השתמשו בגסאות ישנות ולא מאובטחות של Transport Layer Security (TLS) ובפרוטוקלים נוספים. מדאיג מכך, נמצאו מקרים של שימוש ב-Telnet אצל יותר מחצי משירותי הבריאות. Telnet הינו פרוטוקול בטקסט גלוי, שאינו מוצפן, תוכנן בשנת 1969 והוחלף על ידי פרוטוקול SSH.

ממצאים אלה חושפים כי בעוד ספקי שירותי הבריאות נקטו מספר צעדים כדי לאבטח טוב יותר את המכשירים המרושתים והרשתות שלהם, עדיין ישנם מספר פערים וסיכונים באבטחת הסייבר שיש לטפל בהם.

אנו ממליצים לספקי שירותי הבריאות לתעדף את המהלכים הבאים כדי להקטין הסיכונים ברשתות שלהם:

• מכשור ומערכות הפעלה ישנים. חיוני לזהות ולסווג באופן מדויק מכשור רפואי המריץ מערכות הפעלה מיושנות. מכשירים שלא ניתן להוציא משימוש או לעדכן צריכים להיכלל בטופולוגיית סגמנטציה מתאימה כדי להגביל את הגישה אך ורק למידע ולשירותים חיוניים למכשיר.
  
  
• תקשורת חיצונית וחשיפה. מיפוי של זרימת התקשורת הקיימת היא לא רק דרישה בסיסית כדי ליצור אזורי סגמנטציה אפקטיביים, היא גם מהווה את הבסיס להבנת אפיקי התקשורת החיצוניים ואל האינטרנט. הדבר מסייע לזהות תקשורת חיצונית בלתי רצויה ולמנוע מנתונים רפואיים מלהיחשף באופן ציבורי.
  
  
• פרוטוקולים שאינם מאובטחים ומוצפנים. יש להתחיל עם פרויקט למיפוי זרימת הרשת כדי לזהות פרוטוקולים הנמצאים בשימוש. כל אימת שמתאפשר, יש לעבור לגרסאות מוצפנות של פרוטוקולים ולחדול משימושבפרוטוקולים שאינם מאובטחים העובדים עם טקסט גלוי, כגון Telnet. כאשר הדבר אינו מתאפשר, יש להשתמש בסגמנטציה לצורך בניית אזורים ומזעור הסיכון.
  
  
• סיסמאות ברירת מחדל וססמאות חלשות. יש לזהות ולשנות סיסמאות ברירת מחדל וסיסמאות חלשות. נקודה חלשה אחת באזור של הרשת יכולה לסכן את כל האזור. אם לא ניתן לשנות סיסמאות שמקודדות לתוך המערכת, יש למנף יכולות סגמנטציה כדי לבודד את המערכות.
  
  
• סגמנטציה אפקטיבית. ניתן להשתמש בסגמנטציה כבקרה מפצה וכטכניקה למזעור סיכונים עבור כל התרחישים שלעיל. זהו גם תהליך איכותי לסיוע בעמידה ברגולציה, כאשר הוא מגביל את יכולת התנועה הרוחבית של איומים ומצמצם את היקף הנזקים של התקפות. בעוד שגוברת המודעות ליתרונות הסגמנטציה, ישנם מצבים של עודף-סגמנטציה, תת-סגמנטציה וסגמנטציה שלא תוכננה כראוי. יש להתחיל בזיהוי מדויק של מכשירים כדי לבצע סגמנטציה בהתאם להקשר העסקי שלהם, ולהבין את זרימת הרשת הקיימת בין קבוצות מכשירים. לאחר מכן יש לתכנן אזורים ומדיניות גישה מתאימים כדי להשיג את התוצאות הרצויות הנדרשות מיכולות הסגמנטציה.