En su preámbulo (pdf), ANSSI recuerda que el sector salud “ Está formado por un conjunto de actores caracterizados por su fragmentación y heterogeneidad. ”, lo que obviamente complica la tarea a la hora de reforzar las ciberdefensas a nivel sectorial en su conjunto.
Estos actores son el objetivo de personas malintencionadas procedentes de diversos ámbitos: cibercriminales (para robar datos y/o rescates), hacktivistas (para enviar mensajes, a menudo como reacción a acontecimientos actuales) y apoyados por Estados (Rusia, China, Irán y Corea del Norte). se citan como ejemplos) para el espionaje, particularmente en vacunas y tratamientos durante la pandemia.
El nivel de seguridad es… “variable”
Sobre los ataques de ransomware, ANSSI señala que “ Desde 2020, el sector sanitario ha seguido siendo blanco de ataques. ». Durante la pandemia de Covid-19, “ Muchos operadores de ransomware se han aprovechado de la presión sobre el sector sanitario. “. Sin embargo, ” El sector de la salud no parece ser un objetivo específico de los operadores de ransomware, que en su mayoría parecen actuar de manera oportunista contra entidades vulnerables de todo tipo. ».
Dos fenómenos pueden explicar esta visibilidad: los requisitos de presentación de informes legales y “ mayor cobertura mediática recibida por las estructuras que acogen al público cuando es víctima de incidentes “. Pero también cabe señalar que “ El variable nivel de seguridad de las entidades del sector y en particular de los sistemas informáticos hospitalarios, favorece su focalización. ».
30 compromisos y cifrados en 2022 y 2023
Entre 2022 y 2023, se informaron a ANSSI 30 ataques de ransomware y cifrado. Estos incidentes en establecimientos de salud” representan el 10% de los incidentes relacionados con ransomware notificados a ANSSI durante este período “. Los vectores de ataque son numerosos: Lockbit (incluido Lockbit 3.0), NoEscape, Bitlocker, Bianlian, Phobos, Blackcat, Blackhunt, Wannacry, Scarab y ViceSociety.
ANSSI se hace eco de una estudiar de octubre de 2023 de la Universidad de Minnesota que muestra que, en el contexto de los hospitales, “ Este tipo de intrusión informática podría aumentar el riesgo de mortalidad de los pacientes ya ingresados en el momento del ataque. »… lo que no debería sorprender a nadie.
Meses de trabajo y millones de euros
La Agencia explica que “ La remediación de los ataques de ransomware y el regreso al modo operativo nominal pueden llevar varios meses y generar altos costos asociados con ».
Por ejemplo, el ataque al centro hospitalario de South Francilien habría costado 7 millones de euros. Si en ciertos casos la remediación es rápida, “ la mayoría encuentra serias dificultades », Explica la Agencia Nacional de Seguridad de los Sistemas de Información.
Pagar un rescate no paga
ANSSI aprovecha su análisis del sistema de salud para enviar un mensaje sobre los rescates: “ pagar un rescate en el contexto de un ataque de ransomware no necesariamente permite que una entidad se proteja contra futuros ataques ».
Pone como ejemplo el caso del gestor sanitario estadounidense Change Healthcare. Atacada en febrero de 2024, la empresa habría pagado el rescate. “ Sin embargo, unos meses más tarde, la entidad volvió a ser víctima de chantaje para que la revelara por parte de otro grupo cibercriminal que afirmaba estar también en posesión de datos exfiltrados. […] tras un conflicto interno entre ciberdelincuentes ».
El informe también permite hacerse una idea de los precios. Se dice que un pirata llamado Ansgar lo puso a la venta “ casi siete terabytes de datos personales y médicos de ciudadanos australianos filtrados de los sistemas de Medisecure, un proveedor australiano de servicios de prescripción electrónica, por una suma de cincuenta mil dólares ».
Pago de terceros: los datos podrían revenderse o explotarse
Y Francia no se queda al margen, en particular en lo que respecta a las filtraciones de datos que afectaron a los proveedores de pagos externos Viamedis y Almerys en febrero de 2024. El propósito “ sigue siendo desconocido por el momento. Sin embargo, los datos exfiltrados probablemente podrían revenderse o explotarse con fines fraudulentos. ».
En cuanto a los ataques hacktivistas, ANSSI recuerda que contra la Assistance Publique-Hôpitaux de Paris que había sido “ reclamado en la red social Telegram por el grupo hacktivista Anonymous Sudan15 en respuesta a la muerte de Nahel Merzouk ».
Este año, tras el arresto de Pavel Durov (Telegram), “ Numerosos grupos hacktivistas prorrusos, incluido el grupo Cyber Army of Russia Reborn, han reivindicado ataques DDoS contra sitios web de entidades francesas en diversos sectores. ».
Un lío de recomendaciones
ANSSI finaliza su evaluación con unas diez páginas de recomendaciones. Allí hay una serie de acciones de sentido común, como concienciar a los empleados, realizar un mapa de su SI y su entorno, incluir requisitos de seguridad en las especificaciones, particionar los sistemas, tener una buena gestión de derechos y accesos, endurecer la configuración de los equipos. (contraseñas para acceder a la BIOS, cifrado de disco, eliminar servicios innecesarios, etc.), definir Planes de Continuidad de Negocio (PCA) y Planes de Recuperación ante Desastres (PRA) antes de que ‘sea demasiado tarde…
Leave a Reply