Хакеры похищают не только личные данные, но и вакцины от COVID-19

Исходя из свежих данных IBM, средние потери от неотражённой атаки в сфере здравоохранения в 2021-м году выросли почти на 30% по сравнению с прошлым годом: с 7-ми с лишним до более чем 9-ти миллионов долларов. Одним из ключевых факторов этого скачка стала необходимость глобальных поставок вакцины для борьбы с вирусом — при том, что из-за того же COVID-19 многие участники цепочки поставок работают на слабозащищённых домашних компьютерах.

Потери велики. Исходя из данных компании Comparitech, совокупные убытки здравоохранительного сектора США из-за кибератак по итогам 2020-го года составили около 21-го миллиарда долларов. Причём потери измеряются не только в деньгах, но и косвенно — в человеческих жизнях. Характерный пример — атака вымогателей на компанию Merck. Было заражено 7500 серверов и свыше 30 тысяч персональных компьютеров, потери составили 1,3 миллиарда долларов — но также встали и производственные линии. А это значит, что где-то десятки тысяч людей вовремя не получили вакцину.

Следует отметить, что непосредственно перенаправление поставок — всё ещё редкость. Хакеры привыкли работать с цифровыми активами, и контейнер ампул для них — непривычный формат. Однако людям из группы риска в конечном итоге всё равно, улетела ли вакцина на «серый» склад или вообще не была произведена из-за перебоев, так что риски подобных атак недооценивать не стоит. Но выпады в сторону отдельных компаний — пускай и таких крупных, как Merck — это ещё не самый серьёзный из рисков: хакеры действуют на международном уровне.

Ярчайшим примером стала долгосрочная кампания таргетированного фишинга, направленная в первую очередь на европейские контролирующие органы в сфере трансграничных перевозок и налогообложения, но также и более чем на десять крупных компаний в Германии, Италии, Чехии, на Тайване, в Южной Корее и ряде других стран. Злоумышленники похитили огромный массив личных данных топ менеджеров Qingdao Haier Biomedical и стали вести деловую переписку от их имени. Эта китайская компания — мировой лидер в сфере обеспечения холодной цепочки поставок полного цикла. Как известно, многим вакцинам требуются особые условия хранения, и чаще всего это низкие температуры.

Злоумышленники вели весьма правдоподобную деловую переписку: они не только похитили личные данные и отправляли корреспонденцию с правильных электронных ящиков, но и проанализировали сотни писем каждого отдельного топ менеджера, что позволило в каждом случае реалистично имитировать немного неправильный «китайский» английский того или иного отправителя. У адресатов в большинстве случаев из-за суеты, связанной с ковидом, не возникало никаких подозрений.

При этом первые письма стали приходить 7 — 9 сентября 2020-го года, ещё до международного утверждения крупнейших западных вакцин, что позволило экспертам говорить о критических инсайдерских утечках. Далее полученные данные использовались для шантажа на международном уровне. Конкретные жертвы и точные суммы убытков не разглашаются, но ясно, что потери более чем серьёзные. В СМИ периодически освещаются скандалы с задержкой поставок сотен тысяч доз на несколько месяцев или с порчей крупных партий вакцин. Какая-то часть из них связана с упомянутой имперсонификацией менеджеров Haier Biomedical, но какая именно — не уточняет даже IBM, чьё подразделение кибербезопасности, Security X-Force, и раскрыло механизм атаки.

Если говорить об уязвимостях в ходе атак конкретно на цепочки поставок вакцины от COVID-19, то самыми слабыми звеньями, как и в подавляющем большинстве случаев, оказываются конечные точки сети — то есть персональные компьютеры, смартфоны, планшеты и так далее. При этом компания Absolute пришла к весьма любопытному выводу: слишком много безопасности — это почти так же плохо, как и её полнейшее отсутствие. Исходя из данных исследования Endpoint Risk Report 2021, на 52% девайсов установлено от трёх приложений, напрямую или косвенно отвечающих за безопасность. Конфликты при столкновении их протоколов подчас создают «дыры», которые хакерам эксплуатировать даже проще, чем если бы никакого антивируса, шифровальщика, банка паролей и так далее вообще не было.

Свой отпечаток накладывает и работа из дома. Как свидетельствуют данные Cybersecurity Insider, 60% организаций могут со стопроцентной точностью идентифицировать только 75% устройств в своей рабочей сети. Грубо говоря, в остальных 25% случаев приходиться лишь уповать на то, что это новый ноутбук или смартфон какого-то из сотрудников на удалёнке. Это усложняет принятие превентивных мер и борьбу с последствиями кибератак. Менее 60% компаний заявили о том, что смогут определить уязвимое устройство в течении 24-х часов после утечки данных, а почти 10% признали, что у них на такую диагностику уйдёт неделя.

Способы борьбы с подобными уязвимостями в фарминдустрии (как и в других секторах) есть — прежде всего, это UEM, унифицированный стандарт управления безопасностью конечных точек сети. Он должен распространяться на все устройства, включая мобильные. Если предельно упрощать, у каждого участника цепочки поставок вакцины должен быть один и тот же антивирус на всех устройствах — даже на личном смартфоне, и тогда удастся добиться высокой степени безопасности. Крупными игроками в сфере UEM с опытом конкретно в секторе здравоохранения считаются Blackberry, Microsoft и Citrix.

Ещё один важный момент — защита непосредственно «в полях». В этой связи нельзя не отметить решение SenseAwareID, которое в 2020-м году запустил FedEx. С каждой посылкой можно отправить небольшой трекер (приблизительно в полтора раза меньше кредитной карты), который в режиме реального времени передаёт не только координаты, но и температуру, влажность, освещённость и прочие ключевые параметры. При пересылке партий вакцины это не просто приятный бонус, а жизненно важная необходимость.