Ataques de ransomware a organizações de saúde dos EUA custaram US$ 7,8 bilhões em 2021
Em 2021, 108 ataques individuais de ransomware afetaram 2.302 organizações médicas, o que potencialmente impactou 19,76 milhões de registros de pacientes. Estimamos que esses ataques custaram às entidades médicas quase US$ 7,8 bilhões apenas em tempo de inatividade.
Desde 2016, os ataques de ransomware têm sido uma ameaça bem conhecida para as organizações médicas. Vimos um influxo maciço de ataques a partir da pandemia. Embora os ataques de ransomware, em geral, sejam destrutivos, os impactos nas instalações de saúde são sem dúvida alguns dos mais catastróficos. Eles paralisam os principais sistemas e impedem que os hospitais acessem dados cruciais dos pacientes até que uma taxa seja paga ao hacker (ou o ransomware seja removido por especialistas de TI). Adicione uma pandemia global à mistura e você terá um problema ainda maior que leva a graves atrasos e custos para as organizações de saúde, pacientes que não são tratados e consultas canceladas.
Por exemplo, a Scripps Health, uma operadora sem fins lucrativos sediada na Califórnia com 5 hospitais e 19 clínicas ambulatoriais, sofreu um ataque de ransomware em maio de 2021. O custo total do ataque ultrapassou US$ 112 milhões. Quatro hospitais tiveram que redirecionar pacientes com AVC e ataques cardíacos, e dois hospitais também perderam acesso ao seu sistema de registros médicos eletrônicos e a servidores externos.
Então, qual é o verdadeiro custo destes ataques de ransomware no setor de saúde nos EUA, como a ameaça de ransomware mudou nos últimos anos e o que aconteceu até agora em 2022?
Para descobrir, a nossa equipa de investigadores reuniu informações sobre todos os ataques de ransomware que afetaram organizações médicas desde 2016. No entanto, muitas entidades estão relutantes em divulgar ataques de ransomware, especialmente quando os montantes de resgate foram pagos. Muitas vezes, só quando o hospital/clínica tem de reconhecer a violação devido a sistemas interrompidos ou perda de dados de pacientes é que as informações sobre o ataque são divulgadas ao público. Se este for o caso, esses relatórios terão sido incluídos em nosso estudo.
Nossa equipe analisou vários recursos diferentes de saúde – notícias especializadas de TI, relatórios de violação de dados e ferramentas de relatórios estaduais – para coletar o máximo de dados possível sobre ataques de ransomware a prestadores de saúde dos EUA. Em seguida, usamos todos os dados disponíveis sobre tempo de inatividade e valores de resgate para estimar um intervalo para o custo provável de ataques de ransomware em organizações médicas. Devido às limitações de descobrir estes tipos de violações, acreditamos que os números apenas arranham a superfície do problema.
Observação: nesta atualização, separamos organizações baseadas na saúde, como hospitais, clínicas, farmácias e lares de idosos, de empresas que atendem exclusivamente ao setor de saúde, por exemplo. empresas farmacêuticas e fabricantes de produtos médicos. Portanto, o foco deste estudo está em empresas que oferecem principalmente serviços de saúde e lidam diretamente com pacientes e seus dados. Como resultado, alguns números podem diferir das versões anteriores deste estudo.
Principais conclusões
Em 2021:
- 108 ataques individuais de ransomware a organizações médicas – um ligeiro aumento em relação a 2020 (103)
- 2.302 hospitais/clínicas/organizações diferentes foram potencialmente afetados – um aumento de 45% em relação a 2020 (1.586)
- 19.755.950 registros de pacientes individuais poderiam ter sido afetados – um aumento de 312% em relação a 2020 (4.798.963)
- Os valores do ransomware variaram de US$ 250.000 a US$ 5 milhões
- O tempo de inatividade variou desde interrupções mínimas (graças aos backups frequentes de dados) até meses e meses de tempo de recuperação
- Em média, as organizações médicas perderam quase seis dias devido ao tempo de inatividade (5,78), o que representou um total estimado de 624 dias de inatividade
- Os hackers exigiram até US$ 7 milhões em apenas três ataques e receberam pagamento em 3 dos 19 casos em que as organizações médicas divulgaram se pagaram ou não o resgate (no entanto, é mais provável que divulguem que pagaram ou não o resgate).não tenhopagaram o resgate do que se tivessem pago)
- O custo total destes ataques é estimado em cerca de 7,8 mil milhões de dólares.
- Pysa, Avaddon e Conti foram os hackers mais prolíficos (onde a entidade divulgou o nome do hacker ou o hacker assumiu a responsabilidade pelo ataque)
Qual estado teve o maior número de ataques de ransomware a organizações médicas em 2021?
Como podemos ver no mapa acima, a Califórnia teve o maior número de ataques de ransomware (13), representando 12% dos ataques em 2021. Mas com uma concentração tão grande de prestadores de cuidados de saúde neste estado, talvez isto não seja muito. uma surpresa. O Texas ficou em segundo lugar, com nove ataques de ransomware de saúde relatados em 2021.
O cenário também é semelhante para o número de registros afetados. A Califórnia foi a que teve o maior número de registros impactados (pouco mais de 4 milhões no total). A maioria desses registros provém do hack da SmileBrands, Inc. Esse ataque, realizado pelo DarkSide, afetou 2,6 milhões de registros de pacientes. Embora não se saiba qual foi o valor do resgate e se foi pago ou não, o grupo criminoso publicou cerca de 700 GB de dados online.
O Texas também tem um grande número de registros afetados (1,85 milhões em 9 ataques), mas Wisconsin foi o segundo estado com maior número de pacientes afetados, com 2,4 milhões no total. Por ser um estado com menor população, isso talvez seja mais uma surpresa. Todos esses registros violados também vêm de um único ataque. Em maio de 2021, Forefront Dermatology, S.C. foi atingida por ransomware Cuba e arquivos de pacientes foram acessados. Em julho de 2021, a Forefront Dermatology começou a notificar 2,4 milhões de pessoas de que os seus registos podem ter estado entre os acedidos pelos atacantes. No entanto, é importante observar (como acontece com todos esses ataques) que os pacientes podem ter vindo de fora da sede da empresa – Wisconsin.
Quanto esses ataques de ransomware custaram às organizações médicas em 2021?
As demandas de resgate variaram dramaticamente de US$ 250.000 a US$ 5 milhões. Além disso, apenas alguns provedores divulgam publicamente os números envolvidos (só conseguimos encontrar um valor de pedido de resgate para três dos 108 ataques). Compreensivelmente, as organizações não querem discutir os valores dos resgates ou se os pagaram, pois isso pode incentivar novos ataques.
Abaixo estão alguns ataques em que valores de resgate foram reconhecidos:
- A Allergy Partners sofreu um ataque em que hackers desconhecidos exigiram US$ 1,75 milhão em resgate. A clínica médica alegou que não pagou o resgate, mas passou oito dias restaurando os sistemas.
- Os hackers exigiram um resgate exorbitante de US$ 5 milhões da UF Health Central Florida. A UF Health Central Florida recusou-se a comentar se o resgate foi pago ou não, mas um relatório de violação de dados foi apresentado para 700.981 pacientes.
- Em outubro de 2021, o ator ameaçador ‘Groove’ exigiu US$ 250.000 da TriValley Primary Care. Em bate-papo online, Groove exigiu que o consultório médico atendesse às suas demandas, porém, não há evidências de que isso tenha ocorrido. Não está claro se algum pedido de resgate foi pago, mas o site do Care ficou indisponível por algum tempo.
Adicionando tempo de inatividade
Embora seja difícil determinar quanto é perdido nestes ataques devido a pedidos de resgate pagos, há um custo que afeta a maioria das organizações atacadas: o tempo de inatividade.
Como já vimos, os servidores podem ficar off-line por horas, semanas e até meses. E, em alguns casos, os dados e/ou computadores são irrecuperáveis.
De acordo com os números que encontrámos para 11 dos ataques, as entidades médicas sofreram um tempo de inatividade médio de quase 6 dias (5,78) em 2021. O tempo de inatividade refere-se ao encerramento de hospitais/clínicas e/ou à indisponibilidade de serviços. Com base nesses números, os ataques de ransomware podem ter causado 624 dias (quase 15.000 horas) de inatividade.
Então, quanto isso poderia ter custado aos prestadores de serviços médicos?
Uma estimativa de 2017 coloca o custo médio por minuto de tempo de inatividade em US$ 8.662 (em 20 setores diferentes). Isto significaria que o custo do tempo de inatividade para as organizações médicas em 2021 foi de cerca de 7,8 mil milhões de dólares. Embora elevado, este valor representa menos de metade do valor de 18,8 mil milhões de dólares de 2020.
Embora 2021 tenha registado um maior número de ataques, as entidades sofreram muito mais períodos de inatividade em 2020 (14,7 dias, em média). Este número de períodos de inatividade muito mais elevados em 2020 pode resultar do início da pandemia e do caos que a rodeia, incluindo pessoal a trabalhar a partir de casa, fornecedores de TI talvez menos disponíveis e um número crescente de pacientes.
Estes números, embora astronômicos, estão alinhados com alguns dos custos divulgados pelas organizações:
- Conforme mencionado acima, a Scripps Health informou que o custo total do incidente de ransomware ultrapassou US$ 112 milhões . Este foi o maior valor relatado (por uma instalação que informa sobre os custos totais de ataques) de 2016 até os dias atuais e resultou principalmente da perda de receitas.
- SmileDirectClub estimado que seu ataque de ransomware de abril de 2021 poderia custar à empresa até US$ 15 milhões. Embora tivesse seguro, o impacto do ataque nas suas operações comerciais e resultados financeiros foi prejudicial para os seus lucros.
- Dermatologia de vanguarda concordou em pagar US$ 3,7 milhões em setembro de 2022 para resolver o litígio do ataque de 2021, que afetou 2,4 milhões de pacientes.
Principais conclusões de janeiro de 2016 a setembro de 2022:
Nossa equipe registrou todos os ataques de ransomware de janeiro de 2016 a setembro de 2022. Durante esse período:
- 424 ataques individuais de ransomware foram realizados em organizações médicas
- 6.835 entidades médicas individuais foram potencialmente afetadas e quase 35 milhões de registros de pacientes potencialmente afetados
- As organizações médicas sofreram cerca de 4.602 dias de inatividade devido a ataques de ransomware
- Os pedidos de resgate variaram de US$ 1.600 a US$ 14 milhões
- Hackers exigiram cerca de US$ 436,5 milhões em resgate
- Os hackers receberam pelo menos US$ 2,78 milhões em pagamentos de resgate, com o pagamento médio sendo de US$ 253.000.
- Estimamos que o tempo de inatividade custou às organizações médicas US$ 57,4 bilhões
Custos de ataque de ransomware em organizações de saúde por ano
Estado | Nº de ataques | Nº de locais potencialmente afetados | Nº de registros de pacientes afetados | Custo do tempo de inatividade ($) | Nº de ataques | Nº de locais potencialmente afetados | Nº de registros de pacientes afetados | Custo do tempo de inatividade ($) | Nº de ataques | Nº de locais potencialmente afetados | Nº de registros de pacientes afetados | Custo do tempo de inatividade ($) | Nº de ataques | Nº de locais potencialmente afetados | Nº de registros de pacientes afetados | Custo do tempo de inatividade ($) | Nº de ataques | Nº de locais potencialmente afetados | Nº de registros de pacientes afetados | Custo do tempo de inatividade ($) | Nº de ataques | Nº de locais potencialmente afetados | Nº de registros de pacientes afetados | Custo do tempo de inatividade ($) | Nº de ataques | Nº de locais potencialmente afetados | Nº de registros de pacientes afetados | Custo do tempo de inatividade ($) | Nº de ataques | Nº de locais potencialmente afetados | Nº de registros de pacientes afetados | Custo do tempo de inatividade ($) |
Alabama | 6 | 24 | 402.322 | 907.805.318 | 0 | 0 | 0 | 0 | 1 | 1 | 0 | 72.095.558 | 0 | 0 | 0 | 0 | 3 | vinte e um | 391.472 | 598.717.440 | 0 | 0 | 0 | 0 | dois | dois | 10.850 | 236.992.320 | 0 | 0 | 0 | 0 |
Alasca | dois | vinte | 3.546 | 345.509.856 | 0 | 0 | 0 | 0 | 0 | 0 | 0 | 0 | 1 | 1 | 1.538 | 183.357.216 | 1 | 19 | 2.008 | 162.152.640 | 0 | 0 | 0 | 0 | 0 | 0 | 0 | 0 | 0 | 0 | 0 | 0 |
Arizona | onze | 63 | 1.337.383 | 1.162.135.498 | 1 | 44 | 737.448 | 292.498.416 | 4 | 5 | 135.812 | 288.382.234 | 3 | 7 | 452.295 | 404.134.272 | 0 | 0 | 0 | 0 | 1 | 5 | 10.465 | 52.387.776 | 0 | 0 | 0 | 0 | dois | dois | 1.363 | 124.732.800 |
Arcansas | 3 | 12 | 141.146 | 485.210.592 | 0 | 0 | 0 | 0 | 0 | 0 | 0 | 0 | dois | onze | 13.146 | 366.714.432 | 0 | 0 | 0 | 0 | 0 | 0 | 0 | 0 | 1 | 1 | 128.000 | 118.496.160 | 0 | 0 | 0 | 0 |
Califórnia | cinquenta | 1.037 | 5.787.288 | 5.898.738.845 | 1 | 1 | 850.000 | 292.498.416 | 13 | 981 | 4.010.921 | 1.127.085.581 | onze | 14 | 178.258 | 2.024.413.344 | 7 | 22 | 237.174 | 1.147.541.760 | 4 | 4 | 141.029 | 209.551.104 | 4 | 4 | 288.906 | 473.984.640 | 10 | onze | 81.000 | 623.664.000 |
Colorado | 12 | 111 | 349.858 | 1.768.087.440 | 1 | 1 | 7.130 | 292.498.416 | 0 | 0 | 0 | 0 | 4 | 4 | 303.956 | 637.384.608 | 3 | 102 | 1.475 | 486.457.920 | 1 | 1 | 4.065 | 52.387.776 | dois | dois | 26.381 | 236.992.320 | 1 | 1 | 6.851 | 62.366.400 |
Connecticut | 4 | 4 | 81.299 | 560.050.272 | 0 | 0 | 0 | 0 | 0 | 0 | 0 | 0 | 1 | 1 | 25.727 | 183.357.216 | dois | dois | 31.994 | 324.305.280 | 1 | 1 | 23.578 | 52.387.776 | 0 | 0 | 0 | 0 | 0 | 0 | 0 | 0 |
Delaware | 7 | 7 | 235.663 | 1.075.820.400 | 1 | 1 | 3.500 | 292.498.416 | 0 | 0 | 0 | 0 | 3 | 3 | 136.087 | 550.071.648 | 0 | 0 | 0 | 0 | 1 | 1 | 50.000 | 52.387.776 | 1 | 1 | 19.203 | 118.496.160 | 1 | 1 | 26.873 | 62.366.400 |
Distrito da Colombia | 1 | 1 | 0 | 118.496.160 | 0 | 0 | 0 | 0 | 0 | 0 | 0 | 0 | 0 | 0 | 0 | 0 | 0 | 0 | 0 | 0 | 0 | 0 | 0 | 0 | 1 | 1 | 0 | 118.496.160 | 0 | 0 | 0 | 0 |
Flórida | 19 | 76 | 2.004.030 | 2.616.582.312 | dois | onze | 360.746 | 294.057.576 | 5 | 35 | 823.353 | 360.477.792 | 8 | 26 | 776.462 | 1.466.857.728 | dois | dois | 3.500 | 324.305.280 | 1 | 1 | 6.092 | 52.387.776 | 1 | 1 | 33.877 | 118.496.160 | 0 | 0 | 0 | 0 |
Geórgia | 14 | 172 | 1.994.694 | 1.956.433.968 | 3 | 10 | 313.045 | 877.495.248 | 5 | 156 | 1.482.054 | 360.477.792 | dois | dois | 5.600 | 366.714.432 | 0 | 0 | 0 | 0 | 1 | 1 | 16.000 | 52.387.776 | dois | dois | 177.995 | 236.992.320 | 1 | 1 | 0 | 62.366.400 |
Havaí | 3 | 3 | 40.800 | 286.635.974 | 0 | 0 | 0 | 0 | 1 | 1 | 0 | 72.095.558 | 0 | 0 | 0 | 0 | 1 | 1 | 0 | 162.152.640 | 1 | 1 | 40.800 | 52.387.776 | 0 | 0 | 0 | 0 | 0 | 0 | 0 | 0 |
Idaho | 1 | 1 | 0 | 62.366.400 | 0 | 0 | 0 | 0 | 0 | 0 | 0 | 0 | 0 | 0 | 0 | 0 | 0 | 0 | 0 | 0 | 0 | 0 | 0 | 0 | 0 | 0 | 0 | 0 | 1 | 1 | 0 | 62.366.400 |
Illinois | onze | 224 | 795.620 | 1.407.110.717 | 1 | 12 | 0 | 292.498.416 | 4 | 202 | 740.291 | 231.504.077 | 3 | 3 | 27.490 | 550.071.648 | 1 | 5 | 0 | 162.152.640 | 1 | 1 | 20.371 | 52.387.776 | 1 | 1 | 7.468 | 118.496.160 | 0 | 0 | 0 | 0 |
Indiana | quinze | 80 | 2.272.173 | 1.556.540.611 | 1 | 9 | 362.833 | 292.498.416 | 6 | 63 | 1.740.676 | 453.278.995 | dois | dois | 7.264 | 366.714.432 | 1 | 1 | 160.000 | 162.152.640 | 3 | 3 | 1.400 | 157.163.328 | 0 | 0 | 0 | 0 | dois | dois | 0 | 124.732.800 |
Iowa | 4 | 4 | 578.995 | 405.132.134 | 0 | 0 | 0 | 0 | 1 | 1 | 527.378 | 72.095.558 | 0 | 0 | 0 | 0 | 1 | 1 | 11.617 | 162.152.640 | 1 | 1 | 40.000 | 52.387.776 | 1 | 1 | 0 | 118.496.160 | 0 | 0 | 0 | 0 |
Kansas | 7 | 7 | 128.309 | 677.798.035 | 0 | 0 | 0 | 0 | 3 | 3 | 25.008 | 216.286.675 | 0 | 0 | 0 | 0 | 1 | 1 | 17.214 | 162.152.640 | 0 | 0 | 0 | 0 | dois | dois | 86.087 | 236.992.320 | 1 | 1 | 0 | 62.366.400 |
Kentucky | 6 | 6 | 235.271 | 1.272.274.560 | 1 | 1 | 190.209 | 810.763.200 | 0 | 0 | 0 | 0 | 0 | 0 | 0 | 0 | dois | dois | 20.000 | 162.152.640 | 0 | 0 | 0 | 0 | dois | dois | 25.062 | 236.992.320 | 1 | 1 | 0 | 62.366.400 |
Luisiana | 10 | 929 | 458.474 | 1.877.228.640 | 3 | 28 | 501 | 622.416.672 | 0 | 0 | 0 | 0 | 4 | 898 | 321.030 | 812.010.528 | dois | dois | 127.262 | 324.305.280 | 0 | 0 | 0 | 0 | 1 | 1 | 9.681 | 118.496.160 | 0 | 0 | 0 | 0 |
Maine | 0 | 0 | 0 | 0 | 0 | 0 | 0 | 0 | 0 | 0 | 0 | 0 | 0 | 0 | 0 | 0 | 0 | 0 | 0 | 0 | 0 | 0 | 0 | 0 | 0 | 0 | 0 | 0 | 0 | 0 | 0 | 0 |
Maryland | 7 | 89 | 134.313 | 1.065.966.509 | 0 | 0 | 0 | 0 | dois | 13 | 50.000 | 144.191.117 | 3 | 65 | 53.193 | 740.912.832 | 0 | 0 | 0 | 0 | 0 | 0 | 0 | 0 | 1 | 1 | 31.120 | 118.496.160 | 1 | 10 | 0 | 62.366.400 |
Massachussets | onze | 36 | 454.546 | 1.201.114.498 | 1 | 16 | 1.541 | 292.498.416 | 6 | 16 | 422.677 | 296.178.034 | 3 | 3 | 13.900 | 550.071.648 | 0 | 0 | 0 | 0 | 0 | 0 | 0 | 0 | 0 | 0 | 0 | 0 | 1 | 1 | 16.428 | 62.366.400 |
Michigan | 9 | 38 | 91.620 | 1.401.123.542 | 1 | 17 | 25.318 | 292.498.416 | 1 | 4 | 43.071 | 72.095.558 | 4 | 12 | 21.988 | 637.384.608 | 1 | 1 | 0 | 162.152.640 | 0 | 0 | 0 | 0 | dois | 4 | 1.243 | 236.992.320 | 0 | 0 | 0 | 0 |
Minesota | 7 | 17 | 123.158 | 971.668.512 | 0 | 0 | 0 | 0 | 0 | 0 | 0 | 0 | dois | 5 | 5.282 | 357.983.136 | dois | 9 | 90.993 | 324.305.280 | 1 | 1 | 6.546 | 52.387.776 | dois | dois | 20.337 | 236.992.320 | 0 | 0 | 0 | 0 |
Mississipi | 4 | 33 | 130.006 | 501.176.390 | 0 | 0 | 0 | 0 | 1 | 27 | 62.342 | 72.095.558 | dois | 5 | 9.664 | 366.714.432 | 0 | 0 | 0 | 0 | 0 | 0 | 0 | 0 | 0 | 0 | 0 | 0 | 1 | 1 | 58.000 | 62.366.400 |
Missouri | 10 | 57 | 407.512 | 1.438.917.581 | dois | 14 | 0 | 584.996.832 | dois | 29 | 101.916 | 144.191.117 | 0 | 0 | 0 | 0 | 3 | onze | 259.000 | 486.457.920 | dois | dois | 44.979 | 104.775.552 | 1 | 1 | 1.617 | 118.496.160 | 0 | 0 | 0 | 0 |
Montana | dois | 8 | 4.000 | 144.191.117 | 0 | 0 | 0 | 0 | dois | 8 | 4.000 | 144.191.117 | 0 | 0 | 0 | 0 | 0 | 0 | 0 | 0 | 0 | 0 | 0 | 0 | 0 | 0 | 0 | 0 | 0 | 0 | 0 | 0 |
Nebrasca | 5 | 8 | 277.341 | 744.654.816 | 0 | 0 | 0 | 0 | 0 | 0 | 0 | 0 | 1 | 4 | 219.000 | 183.357.216 | dois | dois | 48.000 | 324.305.280 | 0 | 0 | 0 | 0 | dois | dois | 10.341 | 236.992.320 | 0 | 0 | 0 | 0 |
Nevada | 5 | 8 | 1.475.620 | 573.271.949 | 0 | 0 | 0 | 0 | dois | 5 | 1.303.000 | 144.191.117 | dois | dois | 168.722 | 366.714.432 | 0 | 0 | 0 | 0 | 0 | 0 | 0 | 0 | 1 | 1 | 3.898 | 62.366.400 | 0 | 0 | 0 | 0 |
Nova Hampshire | 3 | 47 | 12.542 | 448.414.416 | 1 | 37 | 10.461 | 292.498.416 | 1 | 9 | 0 | 37.419.840 | 0 | 0 | 0 | 0 | 0 | 0 | 0 | 0 | 0 | 0 | 0 | 0 | 1 | 1 | 2.081 | 118.496.160 | 0 | 0 | 0 | 0 |
Nova Jersey | 16 | 59 | 325.656 | 1.969.156.714 | 1 | 7 | 8.110 | 292.498.416 | 4 | vinte | 192.941 | 288.382.234 | 4 | 4 | 40.278 | 733.428.864 | 3 | 19 | 24.176 | 349.251.840 | 0 | 0 | 0 | 0 | 1 | 1 | 16.474 | 118.496.160 | 3 | 8 | 43.677 | 187.099.200 |
Novo México | 4 | 19 | 945.988 | 729.187.949 | dois | 10 | 101.541 | 584.996.832 | dois | 9 | 844.447 | 144.191.117 | 0 | 0 | 0 | 0 | 0 | 0 | 0 | 0 | 0 | 0 | 0 | 0 | 0 | 0 | 0 | 0 | 0 | 0 | 0 | 0 |
Nova Iorque | vinte e um | 79 | 1.733.523 | 2.873.968.445 | 1 | 1 | 318.558 | 292.498.416 | 7 | 30 | 1.192.253 | 504.668.909 | 7 | 17 | 0 | 1.257.306.624 | 4 | 27 | 222.712 | 648.610.560 | 1 | 3 | 0 | 52.387.776 | 1 | 1 | 0 | 118.496.160 | 0 | 0 | 0 | 0 |
Carolina do Norte | 10 | 962 | 493.130 | 1.770.332.630 | 3 | 830 | 214.128 | 877.495.248 | dois | 127 | 43.687 | 171.881.798 | 3 | 3 | 234.390 | 550.071.648 | 0 | 0 | 0 | 0 | 1 | 1 | 0 | 52.387.776 | 1 | 1 | 925 | 118.496.160 | 0 | 0 | 0 | 0 |
Dakota do Norte | 0 | 0 | 0 | 0 | 0 | 0 | 0 | 0 | 0 | 0 | 0 | 0 | 0 | 0 | 0 | 0 | 0 | 0 | 0 | 0 | 0 | 0 | 0 | 0 | 0 | 0 | 0 | 0 | 0 | 0 | 0 | 0 |
Ohio | 12 | 128 | 274.279 | 1.416.091.478 | 1 | 1 | 2.763 | 292.498.416 | 1 | 75 | 216.478 | 72.095.558 | 3 | 8 | 22.378 | 385.424.352 | 3 | 3 | 9.319 | 498.931.200 | 3 | 40 | 0 | 104.775.552 | 0 | 0 | 0 | 0 | 1 | 1 | 23.341 | 62.366.400 |
Oklahoma | 7 | 13 | 192.120 | 1.173.985.114 | 1 | 1 | 38.239 | 760.870.080 | 5 | onze | 147.881 | 350.748.634 | 0 | 0 | 0 | 0 | 0 | 0 | 0 | 0 | 0 | 0 | 0 | 0 | 0 | 0 | 0 | 0 | 1 | 1 | 6.000 | 62.366.400 |
Óregon | 7 | 131 | 1.173.371 | 1.017.944.381 | 1 | 96 | 380.984 | 292.498.416 | dois | 31 | 790.387 | 144.191.117 | dois | dois | 0 | 366.714.432 | 1 | 1 | 0 | 162.152.640 | 1 | 1 | 2.000 | 52.387.776 | 0 | 0 | 0 | 0 | 0 | 0 | 0 | 0 |
Pensilvânia | quinze | 466 | 1.224.679 | 1.978.885.872 | 1 | 25 | 75.628 | 292.498.416 | 5 | 18 | 565.485 | 360.477.792 | 4 | 416 | 240.566 | 812.010.528 | 1 | 1 | 0 | 162.152.640 | 1 | 1 | 30.000 | 52.387.776 | dois | 4 | 300.000 | 236.992.320 | 1 | 1 | 13.000 | 62.366.400 |
Porto Rico | dois | dois | 522.439 | 324.305.280 | 0 | 0 | 0 | 0 | 0 | 0 | 0 | 0 | 0 | 0 | 0 | 0 | dois | dois | 522.439 | 324.305.280 | 0 | 0 | 0 | 0 | 0 | 0 | 0 | 0 | 0 | 0 | 0 | 0 |
Ilha de Rodes | 3 | 8 | 15.478 | 186.849.734 | 0 | 0 | 0 | 0 | 1 | 1 | 0 | 72.095.558 | 0 | 0 | 0 | 0 | 0 | 0 | 0 | 0 | 1 | 3 | 0 | 52.387.776 | 0 | 0 | 0 | 0 | 1 | 4 | 15.478 | 62.366.400 |
Carolina do Sul | 4 | 5 | 2.851 | 502.174.253 | 0 | 0 | 0 | 0 | dois | 3 | 0 | 144.191.117 | 1 | 1 | 2.851 | 183.357.216 | 0 | 0 | 0 | 0 | 0 | 0 | 0 | 0 | 1 | 1 | 0 | 174.625.920 | 0 | 0 | 0 | 0 |
Dakota do Sul | dois | dois | 10.200 | 301.853.376 | 0 | 0 | 0 | 0 | 0 | 0 | 0 | 0 | 1 | 1 | 0 | 183.357.216 | 0 | 0 | 0 | 0 | 0 | 0 | 0 | 0 | 1 | 1 | 10.200 | 118.496.160 | 0 | 0 | 0 | 0 |
Tenessi | 7 | 113 | 450.321 | 975.535.229 | 1 | 1 | 422.531 | 292.498.416 | dois | 108 | 3.634 | 144.191.117 | 1 | 1 | 656 | 183.357.216 | 0 | 0 | 0 | 0 | 0 | 0 | 0 | 0 | 3 | 3 | 23.500 | 355.488.480 | 0 | 0 | 0 | 0 |
Texas | 33 | 782 | 3.498.501 | 4.513.082.170 | 5 | 654 | 445.094 | 1.444.405.824 | 9 | 104 | 1.852.788 | 648.860.026 | 5 | 9 | 717.319 | 908.054.784 | dois | dois | 12.689 | 324.305.280 | 1 | 1 | 40.000 | 52.387.776 | 8 | 8 | 366.944 | 947.969.280 | 3 | 4 | 63.667 | 187.099.200 |
Utá | 3 | 12 | 336.875 | 417.605.414 | 0 | 0 | 0 | 0 | 1 | 1 | 8.059 | 72.095.558 | 1 | 1 | 8.816 | 183.357.216 | 1 | 10 | 320.000 | 162.152.640 | 0 | 0 | 0 | 0 | 0 | 0 | 0 | 0 | 0 | 0 | 0 | 0 |
Vermonte | 3 | 41 | 59.381 | 661.083.840 | 1 | 6 | 59.381 | 124.732.800 | 0 | 0 | 0 | 0 | 1 | 6 | 0 | 374.198.400 | 1 | 29 | 0 | 162.152.640 | 0 | 0 | 0 | 0 | 0 | 0 | 0 | 0 | 0 | 0 | 0 | 0 |
Virgínia | 6 | 6 | 110.344 | 867.890.822 | 0 | 0 | 0 | 0 | 1 | 1 | 2.000 | 72.095.558 | 4 | 4 | 95.107 | 733.428.864 | 0 | 0 | 0 | 0 | 0 | 0 | 0 | 0 | 0 | 0 | 0 | 0 | 1 | 1 | 13.237 | 62.366.400 |
Washington | 10 | 61 | 1.203.360 | 1.436.173.459 | 0 | 0 | 0 | 0 | 3 | 9 | 9.858 | 216.286.675 | 4 | 39 | 696.000 | 733.428.864 | 3 | 13 | 497.502 | 486.457.920 | 0 | 0 | 0 | 0 | 0 | 0 | 0 | 0 | 0 | 0 | 0 | 0 |
West Virginia | 3 | 8 | 3.912 | 594.351.792 | 1 | 1 | 3.912 | 292.498.416 | 0 | 0 | 0 | 0 | 1 | 6 | 0 | 183.357.216 | 0 | 0 | 0 | 0 | 0 | 0 | 0 | 0 | 1 | 1 | 0 | 118.496.160 | 0 | 0 | 0 | 0 |
Wisconsin | 5 | 807 | 2.434.918 | 567.284.774 | 0 | 0 | 0 | 0 | 1 | 195 | 2.413.553 | 72.095.558 | 0 | 0 | 0 | 0 | dois | 610 | 0 | 324.305.280 | 1 | 1 | 3.731 | 52.387.776 | 1 | 1 | 17.634 | 118.496.160 | 0 | 0 | 0 | 0 |
Wyoming | dois | 9 | 0 | 199.572.480 | 1 | 8 | 0 | 37.419.840 | 0 | 0 | 0 | 0 | 0 | 0 | 0 | 0 | 1 | 1 | 0 | 162.152.640 | 0 | 0 | 0 | 0 | 0 | 0 | 0 | 0 | 0 | 0 | 0 | 0 |
Como 2021 se compara aos anos anteriores?
Os ataques de ransomware começaram a tomar conta do setor médico em 2020. Com apenas 59 ataques relatados em 2019, mas 103 relatados em 2020, este foi um aumento de 75% em relação ao ano anterior. Estes números continuaram a aumentar em 2021, passando de 103 para 108.
Mas o que talvez seja mais surpreendente (e preocupante) é o aumento astronômico nos registros dos pacientes que são afetados como resultado desses ataques. De 2020 a 2021, o número de registos de pacientes afetados nestes ataques aumentou 312 por cento (de 4,8 milhões para 19,8 milhões de registos afetados). Manter esses dados importantes sob resgate pode aumentar suas chances de receber pagamentos. E também coincide com o aumento dos ataques duplos, nos quais hackers criptografam sistemaseroubar dados.
- Número de ataques:
- 2022 – 40
- 2021 – 108
- 2020 – 103
- 2019 – 59
- 2018 – 29
- 2017 – 51
- 2016 – 34
- Número de registros de pacientes potencialmente impactados:
- 2022 – 4.933.601
- 2021 – 19.755.950
- 2020 – 4.798.963
- 2019 – 3.010.546
- 2018 – 481.056
- 2017 – 1.619.824
- 2016 – 368.915
- Tempo médio de inatividade:
- 2022 – 23,45 dias
- 2021 – 5,78 dias
- 2020 – 14,7 dias
- 2019 – 13 dias
- 2018 – 4,2 dias
- 2017 – 9,5 dias
- 2016 – 5 dias
- Tempo de inatividade causado (casos conhecidos):
- 2022 – 164 dias (7 casos)
- 2021 – 63,6 dias (11 casos)
- 2020 – 220,5 dias (15 casos)
- 2019 – 65 dias (5 casos)
- 2018 –Nenhuma quantia conhecida
- 2017 – 19 dias (2 casos)
- 2016 – 5 dias (1 caso)
- Tempo de inatividade estimado causado (com base em casos conhecidos e média em casos desconhecidos):
- 2022 – 938 dias
- 2021 – 624 dias
- 2020 – 1.514 dias
- 2019 – 754 dias
- 2018 – 118 dias
- 2017 – 485 dias
- 2016 – 170 dias
- Custo estimado do tempo de inatividade:
- 2022 – US$ 11,7 bilhões
- 2021 – US$ 7,8 bilhões
- 2020 – US$ 18,9 bilhões
- 2019 – US$ 9,4 bilhões
- 2018 – US$ 1,5 bilhão
- 2017 – US$ 6 bilhões
- 2016 – US$ 2,1 bilhões
Como 2022 está buscando ataques de ransomware em organizações médicas?
Como podemos ver acima, os ataques de ransomware em organizações médicas foram baixos durante os primeiros nove meses deste ano. Mas como muitos ataques muitas vezes só são revelados depois de terem ocorrido, estes números poderão aumentar nos próximos meses.
Os números do tempo de inatividade também aumentaram dramaticamente em 2022 (até agora). Isso se deve a duas entidades que sofreram grandes interrupções: a Clínica Indiana de Oklahoma City ainda não havia se recuperado do ataque depois de dois meses e o Hospital Regional Taylor sofreu uma interrupção de 10 semanas. No entanto, à medida que mais relatórios chegam (e mais informações sobre os ataques de ransomware), essas estimativas de tempo de inatividade podem mudar. Mas o que fica claro nestes dois ataques, em particular, é que o ransomware continua a ser uma ameaça enorme e preocupante para as organizações médicas nos EUA, tendo o potencial de paralisar sistemas importantes e causar perturbações generalizadas.
Além disso, o número de registos de pacientes afetados permanece elevado (especialmente porque muitas violações pós-ataque ainda podem ser comunicadas), destacando a tendência de “duplo mergulho” anteriormente mencionada, em que os hackers encriptam sistemas e roubam dados.
2022 tem sido, até agora, um ano mais tranquilo no que diz respeito a ataques de ransomware confirmados publicamente, como mostra nosso mapa de ataques de ransomware nos EUA (atualizado diariamente). O mesmo também é verdade mundialmente . No entanto, muitas vezes, só quando as organizações são encerradas ou os dados são violados é que os ataques de ransomware são confirmados pela organização envolvida.
Ataques de ransomware em empresas focadas na saúde
Embora não tenhamos incluído empresas em nossos números de ransomware de saúde, vale a pena notar que muito mais registros de pacientes e organizações médicas sofrem como resultado de ataques de ransomware a empresas focadas em saúde, por exemplo. empresas farmacêuticas e fornecedores de TI.
De acordo com as nossas descobertas, outros 53 ataques de ransomware podem ter afetado organizações de saúde nos EUA desde 2016, com mais 11,2 milhões de registos de pacientes afetados. Você pode ver uma lista completa dessas entidades abaixo.
Alguns dos maiores ataques incluem:
- CaptureRx (NEC Networks) – 2,42 milhões de registros afetados: No início de 2021, a CaptureRx, fornecedora de TI para organizações de saúde, sofreu um ataque de ransomware. Os dados dos pacientes foram roubados antes do ataque e a empresa concordou com um acordo de US$ 4,75 milhões no início deste ano.
- Líderes de atendimento oftalmológico – 2,7 milhões de registros afetados: O número de registos afectados de Eye Care Leaders está, no momento em que este artigo foi escrito, em constante crescimento. Após um ataque de ransomware em dezembro de 2021, inúmeras clínicas e organizações de saúde estão apresentando relatórios de violação de dados devido ao ataque. O número atingiu 2,2 milhões em junho de 2022, mas um relatório recente da Clínica Wolfe adicionou mais 542.776 registros de pacientes à contagem.
- Magalhães – 1,7 milhão de registros afetados: Este enorme ataque à seguradora de saúde Magalhães, em 2020, viu 1,7 milhões de registros afetados.
O que isso não inclui, no entanto, são ataques de ransomware a terceiros que também podem conter dados de saúde. Um excelente exemplo disso é o ataque de 2020 ao fornecedor de software de computação em nuvem, Blackbaud, que era conhecido por ter afetado um grande número de entidades médicas.
Nossa pesquisa descobriu que 100 organizações médicas foram afetadas, com 12.328.221 pacientes potencialmente impactados como resultado da violação.
Por estado, Nova York teve o maior número de ataques, com 15 no total. Isto foi seguido pela Pensilvânia com 7 ataques e Massachusetts, Minnesota, Connecticut e Virgínia com 5 ataques cada.
Quanto aos registros afetados por estado, Michigan registrou mais de 3,3 milhões de registros de pacientes potencialmente impactados, seguido pela Virgínia com 1,12 milhão de registros e Nova York, com 1,11 registros afetados. Esses três estados foram os únicos a ultrapassar 1 milhão de registros afetados.
Quando você compara o número de registros com o tamanho da população de cada estado, Maine registrou que quase 50% de sua população foi afetada pela violação (49,24%), seguido por Michigan (44,78%), Delaware (37,83%) e Arizona. (28,75%).
Blackbaud relatado US$ 10,4 milhões em despesas relacionadas ao ataque de ransomware e estima-se que tenham tido mais US$ 9,4 milhões em recuperações de seguros.
O verdadeiro custo do ransomware para as organizações de saúde e seus pacientes
O que foi dito acima demonstra é que os números e detalhes divulgados publicamente em torno dos ataques de ransomware às organizações de saúde dos EUA apenas arranham a superfície.
Como vimos, é difícil ter uma ideia completa do custo dos ataques de ransomware para os prestadores de saúde dos EUA devido à falta de informações divulgadas sobre eles. Estimamos que os ataques de ransomware custaram às organizações de saúde nos EUA mais de US$ 57 bilhões nos últimos seis anos – pelo menos. Dado que os ataques não são divulgados se afectarem menos de 500 pacientes e os montantes dos resgates não são em grande parte declarados, estes números são provavelmente muito mais elevados.
O que está reservado para o futuro?
Com hospitais e outros prestadores de serviços de saúde frequentemente vistos como “alvos fáceis” para hackers, o ransomware continuará a ser uma preocupação crescente tanto para organizações como para pacientes. Embora a maioria dos ataques de ransomware até agora tenham como alvo dados de pacientes e sistemas hospitalares, há potencial para algo muito pior. À medida que a tecnologia continua a evoluir, os esforços de segurança cibernética têm de acompanhar o ritmo. Sem as medidas de segurança adequadas, os hospitais poderão em breve enfrentar ataques de ransomware a equipamentos e tecnologias que salvam vidas, bem como a dados e sistemas cruciais de pacientes.
Metodologia
Nossa pesquisa encontrou 424 ataques de ransomware afetando no total 6.835 organizações médicas. A partir disso, pudemos determinar quanto resgate foi exigido, quanto foi pago e quanto tempo de inatividade foi causado como resultado dos ataques. Em seguida, utilizamos os números que conseguimos encontrar para criar estimativas (uma média por ano) para a quantidade de tempo de inatividade causado por um ataque de ransomware e aplicamos isso às entidades de saúde onde não havia números de tempo de inatividade disponíveis. Para 2018, onde não havia valores de tempo de inatividade disponíveis, usamos Dados da Coveware. Então, usando um custo médio por minuto de tempo de inatividade (US$ 8.662) de um relatório recente, conseguimos criar estimativas de quanto podem ter custado o fechamento de hospitais/clínicas e interrupções graves.
Incluímos apenas ataques de ransomware direcionados especificamente a instalações médicas que oferecem serviços a pacientes. Os ataques a empresas baseadas na área da saúde foram registados separadamente, mas não estão incluídos nos números de tempo de inatividade, uma vez que não é provável que os serviços dos pacientes tenham sido afetados, apenas os registos dos pacientes.
Porto Rico foi incluído em nossos dados, mas não aparece em nenhum mapa.
Pesquisador de dados: Charlotte Bond
Fontes
https://healthitsecurity.com/topic/latest-health-data-breaches