“Những bài học từ cuộc tấn công vào hệ thống chăm sóc sức khỏe của Ireland”

Bộ Y tế và Dịch vụ Nhân sinh Hoa Kỳ gần đây đã ban hành một bản tóm tắt về mối đe dọa nêu rõ tình hình nghiêm trọng và những sai lầm nghiêm trọng đã mắc phải trong cuộc tấn công bằng mã độc tống tiền năm 2021 nhằm vào Cơ quan Điều hành Dịch vụ Y tế (HSE) ở Ireland và kêu gọi tất cả các cơ sở chăm sóc sức khỏe kiểm tra tương tự. các vấn đề.

Cuộc tấn công này dẫn đến tình trạng tê liệt nghiêm trọng các dịch vụ y tế ở Ireland. Hàng nghìn dữ liệu tiêm chủng của công dân Ireland (bao gồm một lượng lớn dữ liệu sức khỏe cá nhân được bảo vệ) cũng bị kẻ tấn công đánh cắp từ mạng HSE, với tổng khối lượng dữ liệu khoảng 700 GB.

Vào tháng 6 năm 2021, Dịch vụ Y tế Ireland đã ủy quyền cho PwC tiến hành đánh giá độc lập sau sự kiện này. Cuộc họp giao ban của Bộ Y tế và Dịch vụ Nhân sinh Hoa Kỳ dựa trên báo cáo đánh giá. Đánh giá cho thấy rằng lý do dẫn đến tác động tiêu cực đáng kể của các cuộc tấn công vào HSE IT là do Bộ đã thiếu sự chuẩn bị cho trường hợp khẩn cấp như vậy.

Bộ Y tế và Dịch vụ Nhân sinh Hoa Kỳ cho biết trong cuộc họp giao ban: “Vào thời điểm xảy ra vụ việc, HSE không có người chịu trách nhiệm về an ninh mạng, kể cả ở cấp quản lý cấp cao hay cấp trung. HSE cũng không có một ủy ban chuyên trách để lãnh đạo và giám sát công việc an ninh mạng và bắt đầu tổ chức các hành động cụ thể để giảm rủi ro mạng HSE.”

“HSE cũng thiếu nhóm thảo luận về an ninh mạng, khiến họ gặp khó khăn trong việc tổ chức các cuộc thảo luận và ghi chép chi tiết về an ninh mạng, cũng như khả năng xác định và giám sát các hành động khắc phục hậu quả. HSE đơn giản là không có chức năng an ninh mạng tập trung cần thiết để quản lý và kiểm soát rủi ro an ninh mạng.”

Quan trọng hơn, HSE không sử dụng giải pháp giám sát bảo mật để điều tra và ứng phó với các mối đe dọa bảo mật được tìm thấy trong môi trường CNTT của mình.

Vì những lý do trên, HSE đã không thể phản ứng lại các hành động nguy hiểm của nhóm ransomware Conti.

Thật vậy, làn sóng tấn công này là trắng trợn. Ngay từ ngày 7 tháng 5 năm 2021, Cobalt Strike Beacon được triển khai trên một số máy chủ HSE đã bị các giải pháp chống vi-rút điểm cuối phát hiện nhưng cảnh báo đã bị bỏ qua.

Bộ Y tế và Dịch vụ Nhân sinh Hoa Kỳ cũng đề cập rằng “ban quản lý HSE đã báo cáo rằng 80% cơ sở hạ tầng CNTT đã bị xâm phạm và mã hóa bởi phần mềm trong cuộc tấn công này.”

“Các cuộc tấn công ransomware có tác động nghiêm trọng đến thông tin liên lạc. Do HSE trước đây hầu như chỉ sử dụng các hệ thống thư cục bộ (bao gồm cả Exchange), nên các thông tin liên lạc hoàn toàn không sử dụng được sau khi mã hóa.

May mắn thay, phần mềm tống tiền Conti hoạt động. Băng nhóm đã cung cấp cho HSE một bộ giải mã miễn phí có khả năng khôi phục hệ thống nhưng cảnh báo rằng nếu HSE không trả khoản tiền chuộc 20 triệu đô la, dữ liệu bị đánh cắp sẽ được bán hoặc phát hành công khai.

Conti ransomware “Chúng tôi sẽ cung cấp công cụ giải mã mạng miễn phí,” Gang tuyên bố trên trang trò chuyện thảo luận, “nhưng chúng tôi phải nói rõ rằng nếu bạn không liên hệ với chúng tôi và cố gắng giải quyết vấn đề, chúng tôi sẽ bán hoặc công bố công khai một lượng lớn dữ liệu cá nhân.” .”

“HSE thực sự đã có được khóa mã hóa,” Bộ Y tế Ireland tuyên bố vào thời điểm đó, “nhưng nó cần thực hiện đánh giá và điều tra bảo mật về khóa trước khi có thể sử dụng nó trên các hệ thống HSE.”

Công việc khôi phục HSE mất bốn tháng và tiêu tốn hơn 600 triệu đô la Mỹ. Quỹ phục hồi đặc biệt với tổng trị giá 120 triệu đô la được sử dụng chủ yếu để thay thế và nâng cấp tất cả các hệ thống bị nhiễm ransomware.

Cuộc tấn công ransomware là lần đầu tiên một sự kiện mạng ảnh hưởng đến toàn bộ dịch vụ y tế của quốc gia và đây cũng là một trong những sự kiện có chu kỳ gián đoạn dài nhất do kẻ tấn công độc hại trực tiếp gây ra. Ngược lại, vụ tấn công Wannacry gây chấn động thế giới năm 2017 chỉ ảnh hưởng đến một phần dịch vụ y tế quốc gia của Vương quốc Anh.

Mặc dù cuộc tấn công đã làm tê liệt hệ thống chăm sóc sức khỏe của Ireland, Thủ tướng Ireland Taoiseach Michel á l Martin tuyên bố rằng HSE sẽ không trả tiền chuộc.

Một kho lưu trữ mẫu các tệp HSE bị đánh cắp có chứa dữ liệu bệnh nhân đã nhanh chóng được tải lên trang web quét phần mềm độc hại VirusTotal ngay sau cuộc tấn công.

Sau đó, một tòa án Ireland đã yêu cầu VirusTotal cung cấp thông tin về những khách hàng đã tải xuống hoặc tải lên lô dữ liệu chăm sóc sức khỏe quốc gia bí mật của Ireland này (bao gồm địa chỉ email, số điện thoại, địa chỉ IP hoặc địa chỉ cư trú thực).

Theo một tạp chí truyền thông nước ngoài, số lượt tải xuống dữ liệu bị đánh cắp HSE được lưu trữ trên VirusTotal tính đến ngày 25 tháng 5 năm 2021 là 23 lượt trước khi dữ liệu bị xóa.

Tài sản quý giá nhất của doanh nghiệp là thông tin của nó, được lưu trữ dưới dạng dữ liệu trên máy tính và đám mây. Để đảm bảo hoạt động kinh doanh liên tục và thành công của doanh nghiệp, tất cả các loại dữ liệu phải được bảo vệ. Lỗi do con người, lỗi ổ cứng, virus máy tính, thiên tai và các yếu tố khác đều có thể dẫn đến mất dữ liệu và thiệt hại không kể xiết cho doanh nghiệp. Vấn đề chính là xác định làm thế nào để đạt được nó phục hồi ngay lập tức hoặc khắc phục thảm họa để trở lại kinh doanh như bình thường. Hiện tại, phương pháp hiệu quả nhất và được sử dụng rộng rãi là tạo một bản sao lưu hiệu quả.