أعلنت مجموعة UnitedHealth Group الأميركية الشهر الماضي عن تعيين Tim McKnight مديراً لأمن المعلومات. مما يمثل تغييراً في قيادة الأمن بالشركة بعد ثمانية أشهر من هجوم برامج الفدية على شركة Change Healthcare التابعة لها. مما أدى ذلك حينها إلى اضطرابات في القطاع الصحي الأميركي. في وقت سابق من ذلك الشهر، أكدت مجموعة UnitedHealth Group أن الهجوم السيبراني، الذي تضمن استخدام بيانات اعتماد مخترقة لبوابة Citrix للوصول عن بُعد، أدى إلى تعريض بيانات 100 مليون شخص على الأقل للخطر. وبالتالي، هو أكبر خرق لبيانات الرعاية الصحية تم الإبلاغ عنه على الإطلاق. كما استند الهجوم إلى خطأ فادح ارتكبته شركة الرعاية الصحية العملاقة في فشلها في حماية نظام بالغ الأهمية. لم تشغل المصادقة متعددة العوامل. كما أنهم لم ينتبهوا إلى أهمية النسخ الاحتياطي بالشكل الكافي. وبالتالي لم يتم عزل النسخ، لذلك تمكن المهاجمون من تشفيرها أيضاً، مما أدى إلى حظر أي فرصة للتعافي من الهجوم.
الهجوم على UnitedHealth و أهمية النسخ الاحتياطي
إن حجم ونطاق الهجوم الإلكتروني لشركة Change Healthcare يحمل أسئلة كثيرة خاصة بالحوكمة. تعالج Change، وهي شركة تابعة لمجموعة UnitedHealth Group، أكثر من 15 مليار معاملة طبية سنوياً. وهو ما يمثل ما يقرب من ثلث سجلات المرضى في الولايات المتحدة. وفي مواجهة هجوم فدية بقيمة 22 مليون دولار في شباط، أغلقت وحدة Optum التابعة لشركة UnitedHealth، مركز تبادل البيانات الذي يخدم معظم مقدمي الخدمات الطبية في الولايات المتحدة، و131 مليون مريض ونحو 67000 صيدلية.
وصفت جمعية المستشفيات الأمريكية (AHA) هذا الهجوم الإلكتروني بأنه “الحادث الأكثر خطورة من نوعه الذي تواجهه منظمة رعاية صحية أمريكية”. وذكرت جمعية المستشفيات الأمريكية أن 94٪ من المستشفيات عانت من بعض التأثيرات المالية السلبية مع تعامل أكثر من نصفها مع “تحديات كبيرة أو خطيرة”. وذكر أكثر من 80٪ من المستشفيات تعرضهم لضغوط مالية مرتبطة بما حدث. وقدرت الخسائر ما يقرب 60٪ من الإيرادات اليومية. أفاد ما يقرب من ثلاثة أرباع (74%) من المشاركين بانتكاسات وتأخيرات في رعاية المرضى ، مما استلزم حلولاً “مكلفة للغاية”.
يمكن مقاربة الأثر الذي أحدثه هجوم برامج الفدية على مجموعة UnitedHealth بما أحدثه الهجوم على Colonial Pipeline، دفع ذلك المشرعين لطلب المسؤولين في الشركة للإدلاء بشهاداهم حرصاً على نظام الرعاية الصحية. على مدار الأشهر القليلة الماضية، كانت هناك جلستان استماع في الكونجرس بشأن الهجوم وكذلك دعوات للتحقيق في كيفية استجابة الحكومة للحادث، إضافة لانتقاد تعامل مدير أمن المعلومات -السابق- في UnitedHealth، مع الحادث. بعد دفع فدية قدرها 22 مليون دولار لمنع تسرب البيانات المسروقة، اضطرت UnitedHealth إلى إعادة بناء أنظمتها بشكل كامل، بعد فك تشفير الملفات.
أهمية النسخ الاحتياطي كما يراها المهاجمون
فيما مضى، كان عدد قليل من مسؤولي أمن المعلومات يولون الاهتمام للنسخ الاحتياطية. لكن ذلك تغير في السنوات الأخيرة. دفعت برامج الفدية عمليات النسخ الاحتياطي والاسترداد إلى صدارة اهنمام الإدارات. يدرك المهاجمون أن الاختراق الناجح لبيئة النسخ الاحتياطي هو العامل الحاسم الأكبر فيما إذا كانت المؤسسة ستدفع الفدية أم لا.
كانت بعض مجموعات برامج الفدية – Lockbit و Crypto، على سبيل المثال – تتجاوز أنظمة المؤسسة وتتجه مباشرة إلى النسخ الاحتياطية. وقد أجبر هذا المؤسسات على النظر مرة أخرى في أهمية النسخ الاحتياطي الذي يمثل شبكة الأمن في حالات الهجمات السيبرانية. ويتم ذلك من خلال مراجعة استراتيجياته من ناحيتي النسخ والاسترداد. فكيف يجب التعامل مع مثل تلك التهديدات؟
حماية النسخ الاحتياطية
تجزئة الشبكة الشبكة
في هجوم برامج الفدية الذي ضرب UnitedHealth، اعترفت الشركة بأن نسخها الاحتياطية لم تكن معزولة بتجزئة الشبكة، وبالتالي تمكن المهاجمون من تشفيرها ، ومنع أي فرصة للتعافي من الهجوم. إن تجزئة الشبكة (network segmentation) هي تكتيك يمكن أن يقلل بشكل كبير من تأثير هجوم برامج الفدية. من خلال تقسيم الشبكة إلى مناطق أصغر، يتم تقليل انتشار البرامج الضارة إذا تم اختراق إحدى تلك المناطق.
المصادقة متعددة العوامل (MFA)
كان غياب المصادقة متعددة العوامل هو أهم أسباب نجاح هجوم الفدية على UnitedHealth. تم تنفيذ الهجوم من قبل قراصنة استغلوا بيانات اعتماد مسروقة للتسلل إلى أنظمة الشركة التي لا تعتمد المصادقة متعددة العوامل. يمكن للحلول مثل StorageGuard التدقيق والتحقق من تنفيذ المصادقة متعددة العوامل وتطبيقها عبر جميع أنظمة النسخ الاحتياطي. من خلال ضمان تطبيق المصادقة متعددة العوامل بشكل متسق، تتم حماية البيانات الحساسة من الوصول غير المصرح به – حتى في حالة اختراق بيانات اعتماد المستخدم.
أهمية النسخ الاحتياطي – تقييد الوصول
يعد تقييد الامتيازات المميزة جزءاً جوهرياً من استراتيجية أمان النسخ الاحتياطي، حيث يمكن أن تكون هذه الامتيازات هدفاً أساسياً للمهاجمين. يتضمن ذلك، التأكد من أن من يصل للنسخ الاحتياطية للمؤسسة، هم فقط الذين يحتاجون إليها حقاً. ويمكن أن يتم ذلك عبر تطبيق قائمة التحكم في الوصول عبر IP وفرص ضرورة وجود شخصين للتغييرات الحرجة في النسخ الاحتياطي. تقلل هذه التوصيات من سطح الهجوم.
النسخ الاحتياطي الممنوع تعديله
تأكد من تخزين نسخة احتياطية واحدة على الأقل على وحدة تخزين غير قابلة للتعديل. سيضمن ذلك عدم إمكانية تغيير بيانات النسخ الاحتياطي أو حذفها أو تشفيرها بواسطة جهات ضارة، بما في ذلك برامج الفدية. ويضمن سلامة بيانات النسخ الاحتياطي وتوافرها للتعافي من الهجمات السيبرانية.
خط الأساس للتكوين الآمن
إن إنشاء خط أساس للتكوين الآمن لبيئة النسخ الاحتياطي والتخزين ، واستخدام الأدوات للكشف عن الانحرافات الأساسية أمر بالغ الأهمية. سيضمن ذلك أن بيئة النسخ الاحتياطي تلتزم بالتوصيات والممارسات والخبرات الأمنية. إحدى التوصيات هي إجراء تدقيق منتظم لأمن أنظمة النسخ الاحتياطي، للتحقق من أن منصات النسخ الاحتياطي محصنة ومحمية ضد العبث والوصول غير المصرح به. ومن المفروض أن يتضمن ذلك التدقيق، التحقق من وجود المصادقة متعددة العوامل و
عدم السماح بتغيير النسخ الاحتياطية لغير المصرح لهم، وكذلك إرشادات CISA #StopRansomware، التفويض المزدوج للتغييرات الحرجة، الوصول الإداري المقيد، وإضافة لعزل النسخ الاحتياطي والالتزام بمعايير NIST وISO وما شابه.
كلمة أخيرة
وفقاً لإفصاحات UnitedHealth، كلف الهجوم الإلكتروني شركة التأمين العملاقة 870 مليون دولار في الربع الأول من عام 2024، مع ما يقرب من 600 مليون دولار لتكاليف استعادة النظام وجهود الاستجابة المباشرة، والباقي مرتبط بخسارة الإيرادات وانقطاع الأعمال. قدر المدير الماليأن تكاليف العام بأكمله ستبلغ 1.4 إلى 1.6 مليار دولار. ولذلك يفترض أن نتعلم جميعاً مما جرى، عبر الحوكمة الصحيحة لعمليات كنولوجيا المعلومات بما يضمن إدارة الوضع الأمني بصورة متسقة، أن تظل أنظمة النسخ الاحتياطي آمنة وموثوقة ومرنة ضد التهديدات السيبرانية المتطورة.