מתקפת סייבר על בית חולים אסף הרופא והנחיות מערך הסייבר בעקבותיה
במהלך יום הכיפורים הותקף המרכז הרפואי שמיר-אסף הרופא במתקפת סייבר שבוצעה כנראה בידי קבוצת האקרים ממזרח אירופה בשם QILIN.
ההאקרים דרשו כופר של 700 אלף דולר ואיימו לפרסם מידע רפואי של מטופלים אם לא ישולם.
במשרד הבריאות הבהירו שפעילותו השוטפת של בית החולים נמשכה כסדרה, אך קיים חשש לדליפת מידע.
מבדיקות ראשוניות עלה שדלפו מיילים שנשלחו אל בית החולים וממנו ב- 25.9 ובתוכם גם פרטים רפואיים שהופיעו בהודעות אלה.
עדיין נבדק האם דלף מידע ממערכת ניהול המידע הרפואי המרכזית (הקמיליון).
בתחילת המתקפה, נראה היה שההאקרים ניצלו פירצה במחשב נייד פרטי של איש תמיכה בחברת אבטחת מחשבים ומשם הצליחו ההאקרים לפרוץ למערכות של בית החולים.
בעקבות האירוע פרסם מערך הסייבר הלאומי הנחיות להקשחת ממשקי הניהול הנגישים מרשת האינטרנט, כדי למנוע מקרים דומים.
בין אם המתקפה באסף הרופא היתה דרך צד ג' או לא, מדובר בשיטת תקיפה נפוצה מאוד – ולכן ההנחיות החדשות חשובות לכל ארגון, ובמיוחד לגופים רפואיים המחזיקים במידע רגיש.
הנחיות מערך הסייבר:
- ארגונים רבים מאפשרים גישה למנהלנים (אדמין), כולל מנהלנים של ארגוני צד ג' כגון אינטגרטורים, גישה לממשקי ניהול של מערכות שונות מרשת האינטרנט, כולל למערכות אבטחה.
- ממשקי ניהול הינם וקטור תקיפה מועדף על ידי תוקפים, משום שגישה דרכם מאפשרת להם בדרך כלל המשך תנועה רוחבית, לעיתים בלתי מוגבלת, אל הרשת הארגונית, ואף אפשרות לשבש חקירה עתידית והסתרת עקבותיהם בשל גישה ללוגים במערכות אלו.
- במקרים רבים, הגישה לממשקי ניהול מרשת האינטרנט אינה מוגבלת וניתן לממשה מכל כתובת, וההזדהות היא באמצעות שם משתמש וסיסמה בלבד, ללא הזדהות חזקה (MFA).
- במקרים אלו, מספיק שתוקף ישיג נגישות לנתוני ההזדהות, כגון באמצעות רכש נתוני הזדהות ב- DarkWeb, פריצה לעמדת הקצה של המנהלן, או בכל דרך אחרת, ומתאפשרת נגישות ברמת מנהלן למערכת קצה אשר בדרך כלל מקושרת לרשת הארגונית, ולעיתים אף למערכת אבטחה ארגונית.
דרכי התמודדות:
- יש למנוע גישה ישירה מרשת האינטרנט לממשקי הניהול של כל מערכת בשימוש ארגונכם.
- אם נדרשת גישה לציוד מרשת האינטרנט מסיבות עסקיות, כגון ניהול המערכת כשירות באמצעות צד ג', תמיכה מרחוק על ידי מנהלני הארגון וכד', יש להגביל את הגישה לממשקי הניהול לכתובות ספציפיות מוכרות, או להשתמש בשירות כגון VPN או ZTNA עם הצפנה והזדהות חזקה מתאימה.
- אם בציוד קיימת סיסמת ברירת מחדל, יש לשנותה לסיסמה ארוכה, מורכבת וקשה לניחוש. אם האפשרות נתמכת בציוד, מומלץ מאד להפעיל מנגנונים להזדהות חזקה (MFA).
- יש לוודא באופן עיתי בחינה והתקנה של כל עדכוני האבטחה הרלוונטיים של היצרן על הציוד, ובפרט כאשר היצרן מפרסם עדכוני אבטחה קריטיים לפגיעויות המאפשרות הרצת קוד או פקודות מרחוק על הציוד.
- ארגונים המנהלים ציוד באמצעות מערכות ענן, ההנחיות בסעיפים לעיל רלוונטיות גם עבורכם, בשינויים המתחייבים עבור גישה למערכות הענן עצמן (הגבלת גישה לכתובות ידועות או VPN/ZTNA, שינוי סיסמה מברירת מחדל לסיסמה ארוכה, מורכבת וייחודית, הפעלת MFA אם נתמך, ווידוא כי ספק הענן או אתם מתקינים את כל עדכוני האבטחה הרלוונטיים במערכות באופן עיתי).
פעולות מידיות לביצוע:
- וודאו כי כל גישה מרחוק לממשקי ניהול של מערכות או ציוד הנגישים מרשת האינטרנט, מוגבלים לכתובות ספציפיות, או מוגבלים לגישה באמצעות ציוד כגון VPN או ZTNA עם הצפנה והזדהות חזקה מתאימה.
- אם הציוד עצמו תומך גם כן בהזדהות חזקה, מומלץ לבחון אותה ולהפעילה.
- וודאו התקנת הגרסה העדכנית ביותר של הציוד או התוכנה.
