Tăng 94% cuộc tấn công ransomware vào các tổ chức chăm sóc sức khỏe

Tấn công bằng mã độc tống tiền (ransomware) vẫn luôn là một vấn đề lớn đối với hầu hết các lĩnh vực. Và dữ liệu chăm sóc sức khỏe (CSSK) được coi là một trong lĩnh vực tội phạm mạng nhắm mục tiêu.

Tại khu vực Đông Nam Á, một số cơ sở CSSK đã gặp phải những sự cố lớn về ransomware và vi phạm dữ liệu liên quan đến dữ liệu bệnh nhân trong năm 2021. Một số sự cố khác liên quan đến việc dữ liệu được truy cập từ các nhà cung cấp dịch vụ bên thứ ba làm việc với tổ chức CSSK.

Báo cáo này cũng cho thấy các tổ chức CSSK đang trở nên mạnh mẽ hơn trong việc đối phó với hậu quả của các cuộc tấn công ransomware. 99% các tổ chức CSSK bị tấn công bởi ransomware đã lấy lại được ít nhất một số dữ liệu của họ sau khi tội phạm mạng mã hóa trong các cuộc tấn công.

Năm 2021, các tổ chức CSSK cũng chứng kiến mức chi phí trung bình phục hồi sau các cuộc tấn công ransomware cao thứ hai với 1,85 triệu USD so với mức trung bình toàn cầu là 1,40 triệu USD. Thời gian phục hồi sau các cuộc tấn công cũng lâu với 44% tổ chức bị tấn công trong năm ngoái đã mất tới một tuần để phục hồi, và 25% trong số đó mất đến một tháng.

Đặc biệt, báo cáo cũng cho biết các tổ chức CSSK có nhiều khả năng trả tiền chuộc nhất, với 61% các tổ chức trả tiền chuộc để lấy lại dữ liệu được mã hóa, so với mức trung bình toàn cầu là 46%; con số này gần gấp đôi so với 34% của năm 2020. Tuy nhiên, đây cũng là lĩnh vực trả tiền chuộc trung bình thấp nhất, 197.000 USD, so với mức trung bình toàn cầu là 812.000 USD (trên tất cả các lĩnh vực trong cuộc khảo sát). Trong số các tổ chức trả tiền chuộc, chỉ 2% lấy lại được toàn bộ dữ liệu.

Theo John Shier, chuyên gia bảo mật cấp cao tại Sophos, ransomware trong lĩnh vực CSSK có nhiều sắc thái hơn các ngành khác về cả bảo vệ và phục hồi. Dữ liệu mà các tổ chức CSSK khai thác là cực kỳ nhạy cảm và có giá trị, điều này khiến nó trở nên rất hấp dẫn đối với những kẻ tấn công.

Ngoài ra, với nhu cầu truy cập hiệu quả và rộng rãi vào loại dữ liệu này để các chuyên gia CSSK có thể cung cấp dịch vụ chăm sóc thích hợp - có nghĩa là xác thực hai yếu tố điển hình và các chiến thuật phòng thủ zero-trust không phải lúc nào cũng khả thi.

Điều này khiến các tổ chức CSSK đặc biệt dễ bị tổn thương và khi bị tấn công, họ có thể lựa chọn trả tiền chuộc để giữ cho dữ liệu bệnh nhân có thể truy cập được.

Do những yếu tố đặc thù này, theo ông John Shier các tổ chức CSSK cần phải mở rộng hệ thống phòng thủ nhằm chống lại các cuộc tấn công ransomware bằng cách kết hợp công nghệ bảo mật với khả năng săn lùng mối đe dọa do con người dẫn đầu để chống lại những kẻ tấn công mạng tiên tiến hiện nay.

Tỷ lệ ngày càng tăng của các cuộc tấn công ransomware trong lĩnh vực CSSK phản ánh sự thành công của mô hình ransomware như là một dịch vụ (ransomware-as-a-service), giúp mở rộng đáng kể phạm vi tiếp cận của ransomware bằng cách giảm mức độ kỹ năng cần thiết để triển khai một cuộc tấn công. Hầu hết các tổ chức CSSK đang lựa chọn các giải pháp khác nhau để giảm rủi ro tài chính liên quan đến các cuộc tấn công như vậy bằng cách tham gia bảo hiểm mạng.

Bảo hiểm mạng thúc đẩy khả năng phòng thủ mạng tốt hơn - 97% tổ chức CSSK có bảo hiểm mạng đã nâng cấp hệ thống phòng thủ mạng để cải thiện vị thế bảo hiểm mạng của họ.

Tuy nhiên, trên thực tế tỷ lệ bao phủ bảo hiểm mạng trong lĩnh vực này vẫn còn thấp với 78% so với mức trung bình toàn cầu là 83%.

Một số khuyến nghị

Các chuyên gia của Sophos đã đưa ra khuyến nghị về một số phương pháp tối ưu cho các tổ chức trên tất cả các lĩnh vực trong việc phòng thủ và hạn chế các cuộc tấn công ransomware.

Cụ thể, các tổ chức cần cài đặt và duy trì hệ thống phòng thủ chất lượng cao trên tất cả các điểm trong hệ thống của tổ chức; Thường xuyên đánh giá các biện pháp kiểm soát an ninh và đảm bảo rằng chúng vẫn hoạt động tốt, đáp ứng được những nhu cầu của tổ chức.

Ngoài ra, các tổ chức cũng nên củng cố môi trường CNTT bằng cách tìm kiếm và vá các lỗ hổng bảo mật chính. Các giải pháp phát hiện và phản hồi mở rộng (XDR) là lý tưởng để giúp thu hẹp những khoảng cách này. 

Đồng thời, cũng nên sao lưu và thực hành khôi phục để tổ chức có thể phục hồi và quay trở lại hoạt động sớm nhất với sự gián đoạn tối thiểu nhất có thể./.