In einem Krankenhaus oder einer Gesundheitsorganisation hängt nun alles vom Informationssystem ab: Patientenakte, Aufnahme, Apotheke, Bildgebung, Gehaltsabrechnung, Teamkoordination...
Wenn Ransomware Server verschlüsselt oder ein einfacher Arbeitsplatzrechner als Einfallstor für einen Angreifer dient, die Kontinuität der Pflege auf dem Spiel steht.
Deshalb ist der Schutz von Arbeitsstellen (PCs, Klinikstationen, Laptops) und der “Maschinen”, die sie antreiben (Server, Netzwerk, Speicher) ist zu einem strategischen Thema geworden, nicht nur zu einem IT-Thema.
1. Warum Posten und Infrastruktur im Zentrum des Risikos stehen
Fast alle jüngsten Angriffe auf den Gesundheitssektor folgen demselben Muster:
Eine Benutzerstation kompromittiert ist (gehackte E-Mail, gehackte Website, USB-Stick).
Der Angreifer sammelt Kennungen, Die Geschichte der Kinder, die sich in der Schule befindet, wird immer stärker und erreicht die’Verzeichnis und Servern.
Er verschlüsselt oder stiehlt Daten, schaltet kritische Anwendungen ab und blockiert das Krankenhaus.
Anders formuliert:
- die Arbeitsplatz ist die Eingangstür,
- l’Infrastruktur ist das endgültige Ziel.
Diese beiden Ebenen zu stärken, bedeutet, das Risiko einer Massenblockade ganz konkret zu verringern.
2. Die richtigen Reflexe zur Sicherung von Arbeitsplätzen
Hier ist die Idee, einen einfache, homogene und beherrschbare Grundlage für Arbeitsplätze.
Homogene und kontrollierte Posten
Wir definieren einige Stellenprofile (Pfleger, Verwaltung, Management ...), die von gemeinsamen Bildern ausgehen, mit denselben Grundeinstellungen.
Wir nutzen die Gelegenheit, um unnötige Software entfernen die die Angriffsfläche vergrößern und die Verwaltung erschweren.
Je ähnlicher sich die Stellen sind, desto leichter ist es, sich zu sie zu verwalten, zu korrigieren und zu überwachen.
Begrenzte Rechte, um den Schaden zu begrenzen
Die Nutzer bleiben auf Standardkonten, Sie haben keine Administratorrechte auf ihrem Computer.
Die technischen Teams verwenden dagegen getrennte Adminkonten, Sie werden nur dann eingesetzt, wenn es notwendig ist.
Wenn also ein Benutzerkonto gestohlen wird, kann der Angreifer nicht mit wenigen Klicks die volle Kontrolle über den Posten übernehmen.
Schützen und Erkennen auf jedem Posten
Jeder Posten verfügt über einen zentral verwaltete Anti-Malware.
Wenn möglich, wird ein fortschrittlicherer Baustein (Typ EDR/XDR) hinzugefügt, der das Verhalten der Maschinen überwacht und bei verdächtigen Aktivitäten (massive Verschlüsselung, ungewöhnliche Ausführung usw.) Warnungen ausgibt.
In der Praxis ist es ein “Alarmsystem” für jede Stelle.
Posten auf dem neuesten Stand halten
Man setzt einen regelmäßiger Prozess von Aktualisierungen für das System und die wichtigste Software :
-
schnelle Tests in einem kleinen Umkreis,
-
und dann auf den Rest des Parks ausrollen.
Es ist für die Nutzer kaum sichtbar, aber es ist eines der wirksamste Hebel um die bereits bekannten Türen für Angreifer zu schließen.
Laptops und Daten schützen
Alle tragbaren PCs sollten ihre verschlüsselte Diskette.
Im Falle eines Verlustes oder Diebstahls wird verhindert, dass Dritte direkt Patientendaten von der Festplatte abrufen.
Nutzer ausbilden und trainieren
Schließlich reicht die technische Grundlage ohne die richtigen Reflexe auf der menschlichen Seite nicht aus.
Es wird eine kurze, berufsbezogene Sensibilisierung (Pfleger, Sekretariate, Führungskräfte...) und der Simulationen von E-Mail-Bomben um die richtigen Reaktionen zu verankern: nicht klicken, alarmieren, an den Support weiterleiten.
Das Ganze bildet einen Arbeitsplatzsockel sowohl realistisch für das Feld ... als auch robust gegen die häufigsten Angriffe.
3. Die richtigen Reflexe zur Sicherung der Infrastruktur (Server, Netzwerk...)
Auf der Seite der “Maschinen” werden zwei Ziele verfolgt: Kompromittierung erschweren und die Ausbreitung einschränken wenn etwas schief läuft.
Beherrschtes Verzeichnis (Active Directory)
- Trennen Sie die Verwaltungskonten von den “alltäglichen” Konten.
- Die Anzahl der Personen mit sehr hohen Rechten einschränken.
- Überwachen Sie sensible Vorgänge (Hinzufügen zu Admin-Gruppen, Ändern von Richtlinien usw.).
Wenn das Verzeichnis kompromittiert ist, ist alles andere für den Angreifer in Reichweite: Es verdient besondere Aufmerksamkeit.
Segmentiertes Netzwerk
- Trennen Sie Netzwerke: Nutzer, Server, biomedizinische Geräte, Gäste usw.
- Anstatt alles mit allem zu verbinden, lassen Sie nur die notwendigen Datenströme zu.
Die Idee: Wenn ein Rechner infiziert ist, soll er nicht in der Lage sein, innerhalb weniger Sekunden alle kritischen Server zu erreichen.
Gehärtete und überwachte Server
- Einheitliche Sicherheitseinstellungen auf allen Servern anwenden (unnötige Dienste abschalten, Protokolle aktivieren, Zugriffe filtern).
- Technische Systeme und Komponenten auf dem neuesten Stand halten.
- Zentralisieren Sie die Zeitungen (Logs), um abnormale Aktivitäten erkennen zu können.
Zuverlässige und isolierte Backups
- Backups getestet regelmäßig (man überprüft, ob man wirklich wiederherstellen kann).
- Ein Teil der aufbewahrten Backups auf isoliert des Netzwerks, damit eine Ransomware sie nicht auch noch verschlüsselt.
- Klare Priorisierung: Welche Systeme zuerst wiederhergestellt werden müssen, um den klinischen Betrieb wieder aufzunehmen.
Supervision und Reaktion
- Sammeln Sie die Protokolle von Rechnern, Servern, Firewalls usw. an einem Ort.
- Sich auf ein (internes oder externes) Supervisionszentrum stützen, um Warnungen zu analysieren.
- Dokumentieren von Reaktionsverfahren Die folgenden Maßnahmen können ergriffen werden: Isolieren eines Arbeitsplatzes, Abschalten eines Netzwerksegments, Umschalten auf einen abgespeckten Modus, Informieren der Behörden.
4. Wie Phishia Krankenhäusern und Vereinen konkret hilft
Phishia greift ein als Praxispartner um diese Prinzipien in operative Realität umzusetzen:
- Gezielte Diagnose : Kartierung der kritischen Computer, Server und Abläufe, Analyse der wichtigsten Schwachstellen.
- Festlegung einer realistischen Grundlage : Arbeitsplatzprofile, Anpassung von Rechten, Update-Politik, einfache, aber effektive Netzwerksegmentierung.
- Begleitung bei der Umsetzung : Unterstützung interner Teams und Ihrer Dienstleister bei der Umsetzung von Maßnahmen, ohne die Pflege zu blockieren.
- Sensibilisierung und Übungen : Kampagnen zur Simulation von E-Mail-Angriffen, Übungen zum Krisenmanagement, Aktualisierung des BCP/PRA, um diese Schutzmaßnahmen einzubeziehen.
Das Ziel ist nicht, Ihnen eine x-te Schicht Technologie zu verkaufen, sondern einen kohärenten und verwertbaren Schutz aufbauen mit Ihren Mitteln.
5. Wie wäre es, wenn wir über Ihre Stellen und Ihre infra sprechen würden?
Sie leiten ein Krankenhaus, einen Verband oder eine Gesundheitsorganisation und haben das Gefühl, dass Ihre Stellen oder Ihre Infrastruktur anfällig sind?
Lassen Sie uns darüber sprechen: In wenigen Gesprächen können wir Ihre Prioritäten ermitteln und einen geeigneten Aktionsplan erstellen.
