מחקר TrendAI – מידע רפואי הפך לאחת הסחורות היקרות ביותר בכלכלת הפשע המקוון העולמי

מחקר חדש של TrendAI חושף אקו-סיסטם בשל ומפותח המבוסס על סחר בנתוני מטופלים, סחיטת כופר כפולה ומכירת גישה לרשתות בריאות; המחקר מצביע על מעבר מתקיפות מזדמנות לתעשיית פשע מאורגנת הפועלת בשרשרת אספקה גלובלית

מחקר מקיף וחדש של חברת TrendAI חושף כי נתוני בריאות גנובים אינם עוד רק מידע מזדמן, אלא הפכו לסוג נכס פלילי ארוך טווח הנסחר בתוך כלכלה המתבצעת מתחת לרדאר. על פי המחקר, שניתח לאורך תקופה של 12 חודשים (פברואר 2025 עד פברואר 2026) למעלה מ-7,700 פוסטים בפורומים, כ-21,800 רישומים בזירות מסחר ברשת האפילה ו-95 אתרי הדלפות של קבוצות כופר, מגזר הבריאות הפך לאחד היעדים המותקפים והרווחיים ביותר בעולם הפשע הקיברנטי.

נתונים רפואיים: סחורה עם חיי מדף אינסופיים. המחקר חושף כי מידע רפואי גנוב הפך לאחד המוצרים המבוקשים והרווחיים ביותר בכלכלת הפשע המקוון העולמית. הנתונים הרפואיים נחשבים ליקרים במיוחד בגלל אופיים הקבוע. בשונה מכרטיסי אשראי או פרטי גישה לחשבון בנק שניתן לבטל ולהנפיק מחדש, מידע הכולל אבחנות רפואיות, היסטוריית טיפולים ונתונים ביומטריים הוא קבוע ולא ניתן לשינוי. "נתוני בריאות התפתחו ממידע גנוב למעמד של נכס קרימינלי לטווח ארוך", מסביר סטיבן הילט, אחד מכותבי המחקר. "הקביעות הזו הופכת את ארגוני הבריאות למטרות אטרקטיביות במיוחד עבור קבוצות כופר וסוחרי נתונים".

המידע הרפואי הגנוב מאפשר לפושעים לבצע מגוון רחב של הונאות בו-זמנית: גניבת זהות, הונאות ביטוח, הונאות מרשמים, סחיטה ממוקדת על בסיס מצבים רפואיים רגישים ומעשי הונאה מורכבים כמו התחזות רפואית לצורך קבלת טיפול.

כלכלת הכופר והאקו-סיסטם התעשייתי. אחד הממצאים המרכזיים במחקר הוא הדומיננטיות של מודל הסחיטה הכפולה. במודל זה, התוקפים לא רק מצפינים את נתוני הארגון אלא גם גונבים אותם ומאיימים לפרסמם אם הכופר לא ישולם. מכירות נתונים הקשורות לדרישות כופר מהוות למעלה משליש (36.3%) מהפעילות בזירות הרשת האפילה.

המחקר מצא כי חשיפת נתוני הבריאות מרוכזת בידי מספר מצומצם של קבוצות: שתי קבוצות בלבד, Rhysida ו-Interlock, אחראיות ל-68.5% מכלל נתוני הבריאות שפורסמו באתרי הדלפות. נתון זה מצביע על כך שפגיעה ממוקדת בקבוצות אלו עשויה להפחית משמעותית את היקף דליפות המידע במגזר.

הדו"ח מפרט כיצד קבוצות כופר וסוחרי נתונים משתפים פעולה בתוך מערכת תעשייתית משומנת שמתמקדת בפריצה לספקי תוכנה רפואית. גישה זו מאפשרת לעבריינים לפגוע במספר רב של מוסדות בריאות בו-זמנית דרך נקודת כשל אחת. על פי המחקר, זירות המסחר של פושעי הסייבר הפכו לתעשייתיות ומבוזרות והן פועלות כשרשרת אספקה בוגרת: התוקפים הראשונים (Initial Access Brokers) מוכרים נקודות כניסה לרשתות רפואיות במחירים הנעים בין 100 דולר ל-2,000 דולר; קבוצות כופר מבצעות את התקיפה; וסוחרי נתונים משווקים חבילות זהות מלאות הכוללות מספרי ביטוח לאומי, היסטוריה רפואית ופרטי ביטוח.

סיכון שרשרת האספקה: המכפיל הקריטי. מגמה מדאיגה במיוחד שנחשפה היא המעבר של תוקפים להתמקדות בספקי תוכנות EMR  ו-EHR (רשומות רפואיות ממוחשבות). פריצה לספק תוכנה אחד מאפשרת לתוקפים לגשת לנתונים של מאות מרפאות ובתי חולים במקביל, מה שמרחיב את היקף הנזק והחשיפה באופן דרמטי. "מה שאנחנו רואים הוא לא פשע סייבר מבודד אלא כלכלה בשלה ומקושרת", מציין ניומן הוק, מכותבי המחקר. "שרשרת האספקה הזו נועדה לייצר רווח מנתוני מטופלים שוב ושוב ובקנה מידה גדול".

שוק גלובלי ורב-לשוני. המסחר בנתוני בריאות הוא גלובלי ומתנהל בשפות רבות. בעוד שהשפה האנגלית שולטת ב-63.3% מהפעילות, קהילות דוברות טורקית (13.9%) ופורטוגזית (11.2%) מראות פעילות משמעותית, המשקפת התמחות אזורית. המחקר מצא כי שחקנים דוברי רוסית דומיננטיים בתחום גניבת הזהות, בעוד שחקנים דוברי טורקית מתמחים בהפצת נתוני פריצות למערכות  EHR.

מחירי הנתונים נעים בטווח רחב: החל מ-5 דולרים עבור חבילת זהות רפואית בסיסית, דרך 1,000 דולר עבור גישה לבסיס נתונים של חברת ביטוח, ועד לדרישות כופר של 500,000 דולר ומעלה נגד ספקי תוכנה רפואית. המחקר גם זיהה שווקי נישה מתפתחים, כמו מכירת מסמכים רפואיים מזויפים (אישורי מחלה או נכות) במחירים המתחילים ב-25 דולר, וסחר במידע של הדמיה רפואית (DICOM) המצביעים על התרחבות האיום מעבר לרשומות טקסטואליות.

המלצות לארגונים: מעבר לתגובה אקטיבית. נוכח האיום הגובר, TrendAI ממליצה לארגוני בריאות להתמקד בארבעה סדרי עדיפויות:

1. הערכת מצב אבטחתית:  זיהוי נקודות תורפה ופערים בהגדרות המערכת.
2. מיפוי שטח התקיפה:  ניהול מלאי של כל המערכות המחוברות, כולל ספקים וכל נכס החשוף לאינטרנט.
3. זיהוי איומים פעילים:  שימוש בכלי ניטור מתקדמים לזיהוי סימנים חשודים של גניבת זהויות או תנועת נתונים חריגה.
4. ניהול סיכוני ספקים:  התייחסות לסיכון מצד ספקי צד-שלישי כסיכון מתמשך הדורש ניטור רציף.

המחקר מדגים כי אבטחת המידע במגזר הבריאות ניצבת בפני איום חסר תקדים בשל הערך הכלכלי הגבוה של הנתונים הרגישים ומבהיר כי ההגנה על נתוני בריאות היא משימה ביטחונית ורגולטורית כאחד. הארגונים נדרשים לעבור ממודל של תגובה לאירועים למודל של מודעות לאקו-סיסטם, הכולל הקשחה של נתיבי הגישה וניטור ערוצים ברשת האפלה בהם המידע הרפואי ממשיך להימכר זמן רב לאחר הפריצה הראשונית.