Se advirtió a los clientes del NHS que utilizan la plataforma de gestión de pacientes clínicos Adastra de Advanced Software, incluido el servicio de primera línea 111, que podrían enfrentar una espera de un mes para recuperar por completo sus operaciones normales, ya que el proveedor lucha con el impacto de una motivación financiera ahora confirmada. ataque de ransomware.
Advanced pudo contener rápidamente el ataque de la mañana del 4 de agosto, que afectó a otros servicios además de la plataforma Adastra. Desde entonces, no ha detectado más incidentes y su seguimiento continuo ha confirmado que el ataque ha sido contenido.
Sin embargo, esto se ha producido a expensas de que sus clientes del sector de la salud y la atención social puedan acceder a la infraestructura que aloja los productos necesarios para funcionar de manera efectiva. Esto ha dejado muchos procesos vitales, como el envío de ambulancias, la reserva de citas, las recetas de emergencia, la atención fuera del horario de atención y las referencias de pacientes en desorden en los cuerpos afectados.
“Continuamos progresando en nuestra respuesta a este incidente. Estamos haciendo esto siguiendo un riguroso enfoque por etapas, en consulta con nuestros clientes y las autoridades pertinentes”, dijo Simon Short, director de operaciones de Advanced.
“Agradecemos a todas nuestras partes interesadas por su paciencia y comprensión mientras nuestro equipo trabaja las 24 horas para reanudar el servicio de la manera más segura posible. Para obtener la última actualización de nuestra respuesta, visite www.oneadvanced.com para obtener más información”.
En otra actualización, Advanced dijo que todavía estaba trabajando con el NHS y el Centro Nacional de Seguridad Cibernética (NCSC) para validar los pasos tomados hasta ahora, luego de lo cual el NHS podrá comenzar a volver a poner los servicios en línea, con NHS 111 y otros cuerpos de atención de urgencia inician este camino en los próximos días.
Para otros, dijo, la visión actual es que será necesario contar con planes de contingencia -es decir, lápiz y papel- durante tres o cuatro semanas más, aunque se está trabajando para adelantar ese cronograma.
Advanced se encuentra actualmente en el proceso de reconstrucción y restauración de los sistemas afectados en un entorno separado y seguro. Esto incluye implementar reglas de bloqueo adicionales y restricciones de cuentas privilegiadas para su personal, escanear y parchear todos los sistemas afectados, restablecer todas las credenciales, implementar nuevos agentes de respuesta y detección de puntos finales e implementar monitoreo las 24 horas. Una vez hecho esto, puede comenzar a poner sus sistemas en línea nuevamente y hacer que los clientes vuelvan a funcionar.
La firma dijo que estaba investigando la posibilidad de que los datos se hayan visto afectados y emitirá más actualizaciones si sale a la luz más información sobre el acceso o la exfiltración de datos.
Sin embargo, según la revista del sector salud HSJ, existe una creciente preocupación dentro de múltiples fideicomisos y organismos del NHS que utilizan los servicios de Advanced, de que los datos confidenciales de los pacientes hayan sido robados en el ataque. Citó una fuente no identificada con conocimiento directo del ataque, quien afirmó que los atacantes habían hecho “algunas demandas”, aunque no estaban claras sobre la naturaleza de esas demandas, o si habían sido hechas por organismos avanzados o del NHS.
Si las organizaciones del NHS están siendo extorsionadas, el ataque a los sistemas de Advanced proporciona una prueba más de que la ‘moratoria’ de los ataques cibernéticos a las organizaciones de atención médica declarada por algunos actores de amenazas durante los primeros días de la pandemia de Covid-19 ha terminado.
De hecho, durante el segundo trimestre de 2022, los datos recientemente revelados por el especialista en gestión de datos Kroll revelaron que las organizaciones de atención médica experimentaron un aumento del 90 % en los volúmenes de ataque en comparación con los primeros tres meses del año, impulsado por ransomware.
Laurie Iacono, directora general asociada de riesgo cibernético de Kroll, comentó: “Es preocupante ver que el cuidado de la salud sube tan dramáticamente en la lista de la industria más específica, en un momento en que los servicios, sin duda, todavía están bajo presión a medida que se recuperan del entorno tenso causado por COVID-19.
“El ransomware siempre es disruptivo, pero su capacidad para detener las operaciones de la empresa se vuelve más significativa en un entorno donde la continuidad del negocio significa salvar vidas.
“El legado de la pandemia quizás también se pueda ver en la vulnerabilidad de los servicios remotos externos. En el segundo trimestre, vimos a muchos grupos de ransomware aprovechar los entornos remotos mediante el uso de brechas de seguridad en esas herramientas para comprometer las redes”, dijo Iacono.
“Todas las organizaciones, y especialmente las del cuidado de la salud, harían bien en probar la resiliencia de sus servicios remotos externos y la preparación para el ransomware a la luz de este último informe”, dijo.
