0
0
De acordo com um memorando de 2020 do Departamento de Saúde Pública da Commonwealth of Massachusetts, um evento de código negro é “definido como quando o Departamento de Emergência de um hospital está fechado, conforme declarado por um administrador hospitalar autorizado, para todos os pacientes (ambulâncias e pacientes ambulatoriais) devido a uma emergência interna.”
O memorando continua listando uma série de situações que constituem emergências internas, incluindo:
- Incêndios
- Explosões
- Derramamentos ou liberações de materiais perigosos
- Outra contaminação ambiental
- inundações
- Falhas de energia ou outras falhas de utilidade
- Ameaças de bomba
- Ações violentas ou hostis impactando o Departamento de Emergência
Código Preto/Código Escuro
Em 20 de abril de 2022, o Bay State adicionou outro item a essa lista, quando eventos de código negro foram declarados em hospitais em Worcester e Framingham, após ataques cibernéticos às instalações da Tenet Healthcare Corporation lá e na Flórida. De acordo com HealthcareITNews , “Tenet suspendeu imediatamente o acesso do usuário a aplicativos de TI afetados, executou extensos protocolos de proteção de segurança cibernética e tomou medidas para restringir outras atividades não autorizadas”.A HealthITSecurity relatou posteriormente que a campanha de ataque incluiu uma infecção de ransomware que acabou custando à Tenet US$ 100 milhões em receita perdida durante o segundo trimestre .
Agora , os ataques cibernéticos têm sua própria designação de resposta de emergência , chamada de ” código sombrio ” . Um artigo recente do Wall Street Journaldescreveu os procedimentos code dark no Hospital Nacional Infantil de Washington , DC , durante o qual , enquanto a equipe de TI responde ao evento, os funcionários do hospital são treinados para desligar equipamentos médicos conectados à Internet para evitar que um ataque se espalhe . Sob tais condições, o CISO do hospital disse: ” Se chamarmos um código escuro, todo o hospital saberá desconectar os dispositivos em qualquer lugar que puderem ” .
Segurança do paciente em risco
Isso não é especialmente reconfortante, dada a dependência dos profissionais de saúde em dispositivos médicos . Hospitais são os principais alvos de agentes de ameaças e, especialmente, de gangues de ransomware. Eles sabem que os provedores de assistência médica estão sob grande pressão para manter a continuidade das operações e proteger a segurança do paciente e, portanto, é mais provável que paguem o custo para desbloquear sistemas, dispositivos e dados médicos, em vez de arriscar um resultado infeliz. Um novo Um estudo do Instituto Ponemon ressalta esse risco , descobrindo que os hospitais vítimas de um ataque de ransomware sofrem um declínio na qualidade e nos resultados do atendimento, incluindo estadias mais longas do paciente, atrasos em testes e procedimentos e ainda mais complicações após o atendimento.
As organizações de saúde investem agressivamente em dispositivos conectados para melhorar o gerenciamento e a administração das instalações e para fornecer uma qualidade superior de atendimento ao paciente. Esses dispositivos incluem a Internet das Coisas (IoT), a Internet das Coisas Médicas (IoMT) e as tecnologias operacionais (OT). Um estudo recente deA Juniper Research prevê que o hospital médio terá até 3.850 dispositivos IoMT conectados às suas redes até 2026 . Cada dispositivo que se conecta aumenta a complexidade do patrimônio de TI de um hospital e sua superfície de ataque.
Zero Trust para dispositivos conectados começa com inventário de ativos e linha de base
A proliferação desses dispositivos na infraestrutura de TI de um hospital exige atenção meticulosa ao risco que cada dispositivo conectado adiciona à rede. Sem os meios para descobrir, monitorar e gerenciar todos os dispositivos conectados, a segurança dos dispositivos, dados e até dos próprios pacientes de uma organização pode ser comprometida. Isso torna imperativo traduzir os elementos de confiança zero ( nunca confiar , sempre verificar e pelo menos privilegiar o acesso) e aplicá-los a uma estratégia de segurança de dispositivo conectado.
O primeiro passo para fazer isso requer conhecer sua superfície de ataque. O ditado ” Você não pode proteger o que não pode ver ” é verdadeiro aqui, tornando a descoberta e classificação completa de dispositivos essenciais e fundamentais para proteger os ambientes de assistência médica. Isso pode variar de dispositivos de TI tradicionais e dispositivos médicos que não podem ser descobertos por meios tradicionais a sistemas de controle de elevadores e HVAC que são essenciais para as operações hospitalares. A abordagem precisa ser ” passiva ” para não afetar o funcionamento do dispositivo.
A próxima etapa é mapear as transações . Com dispositivos conectados, isso começa usando aprendizado de máquina para estabelecer e entender uma linha de base de como cada dispositivo deve se comportar. Como a maioria dos dispositivos IoT, IoMT e OT operam dentro de parâmetros determinísticos, ter uma compreensão precisa do comportamento normal e seguro facilita o reconhecimento de comportamentos anômalos que representam indicadores iniciais de comprometimento. E quando você pode detectar com precisão um ataque ou comportamento de risco, pode automatizar a aplicação de políticas que isolam dispositivos comprometidos ou em risco.
Automatize respostas e políticas com eficiência de máquina
Esse perfil de dispositivo granular – o que é um dispositivo, como ele está se comunicando, onde está conectado e seus padrões normais de comportamento – contém os elementos necessários para arquitetar suas políticas e resposta zero – trust – tanto reativas quanto proativas . O contexto do dispositivo permite responder rapidamente a um ataque e minimizar e conter o raio de explosão. Ele também permite que você mantenha a continuidade operacional, mantendo o equipamento em serviço, em vez de desligar coisas que talvez não precisem ser desligadas ou que possam colocar em risco o atendimento ao paciente se desconectadas.
Por exemplo, em vez de colocar um dispositivo médico conectado offline se estiver sendo usado por um paciente, gere dinamicamente políticas de segmentação de zero -trust que podem isolar rapidamente o dispositivo na rede e permitir que seu comportamento ” sancionado ” continue. Por outro lado, uma câmera de vigilância comprometida que se comunica com um domínio malicioso pode ser bloqueada e retirada da rede imediatamente , sem o risco de um resultado médico adverso.
Iluminado, não escuro
Um protocolo de código escuro que pede a médicos, enfermeiros e equipe de suporte médico para desconectar dispositivos é uma maneira de lidar com um ataque cibernético, mas não é a melhor maneira. Em vez disso, use uma abordagem esclarecida que aplique uma estratégia de proteção zero para proteger os dispositivos conectados . Começando com um inventário de ativos de dispositivos na rede, linha de base do comportamento do dispositivo e aproveitando a automação para responder a ameaças e interromper rapidamente o movimento lateral, você pode manter um perfil de segurança mais alto sem comprometer a qualidade da assistência médica. Quando esse é o modelo, a segurança da rede e do paciente pode ser mantida em alto nível , mesmo em meio a um ataque cibernético, sem puxar o plugue.
FONTE: DARK READING