Aprendendo com as violações de saúde do passado para fortalecer futuras estratégias de segurança cibernética

Views: 185
0 0
Read Time:6 Minute, 48 Second

Diante do aumento das ameaças cibernéticas, o setor de saúde tornou-se um foco de ataques cibernéticos. Dada a gravidade dessa situação, conversamos com Shenny Sheth, Vice CISO da Centura Health , que esclarece os fatores que tornam as organizações de saúde vulneráveis, o papel dos sistemas de TI legados, erros comuns de monitoramento de rede, padrões em violações de dados e as implicações financeiras desses ataques.

Esta conversa também investiga as complexidades de parcerias e relacionamentos com terceiros para influenciar o perfil de risco cibernético de um sistema de saúde.

Dado o aumento de ataques cibernéticos em organizações de saúde, você poderia explicar algumas das razões mais importantes pelas quais esse setor parece ser o alvo principal dos cibercriminosos?

Depois de quase duas décadas de minha carreira liderando um escritório de segurança cibernética, pessoas, fornecedores, partes interessadas e orçamentos na administração de saúde pública, bem como no setor de saúde privada, acho que o setor é particularmente vulnerável a ataques cibernéticos. As organizações de assistência médica têm experimentado um aumento nos ataques, muitas vezes devido à segurança inadequada , à alta probabilidade de atender rapidamente à demanda de pagamento dos invasores e ao valor absoluto dos registros de pacientes que possuem.

Minha observação sugere vários elementos contribuintes:

  • Tecnologia de décadas combinada com prontidão e planejamento menos do que adequados em torno de emergências cibernéticas
  • O ecossistema em ruínas e o grande volume de portas e dispositivos de rede usados ​​em hospitais tornam uma forma de arte ficar no topo da segmentação, zoneamento e segurança
  • A força de trabalho não está tão ciente ou referente a questões e incidentes cibernéticos devido à sua compreensão limitada dos riscos cibernéticos pessoais e online
  • Não existem apetites para interromper as soluções de trabalho convenientes com a introdução de novas tecnologias que possam exigir o realinhamento da equipe ou, em outras palavras, a transformação dos negócios
  • O arranjo de trabalho remoto/híbrido ampliou ainda mais as superfícies de ataque da linha de base da organização
  • A identidade privada e as informações do paciente valem uma grande recompensa para os invasores motivados financeiramente.

Na sua opinião, como os sistemas legados de TI contribuíram para a vulnerabilidade do setor de saúde a ataques cibernéticos e por que a modernização desses sistemas é uma necessidade crítica?

Como uma organização de saúde emblemática, a Centura Health prospera na re-imaginação, inovação e adoção de tecnologia médica de ponta. No entanto, entendo que nem todos os níveis e tamanhos de organização do setor acompanharam o ritmo. Certos sistemas de saúde integrados, por exemplo, devem lidar com déficits de receita, atrasar/adiar atualizações do ciclo de vida dos sistemas e muito menos modernizar totalmente.

Isso sugere uma taxa rápida na qual a tecnologia médica está ficando desatualizada, as fraquezas relacionadas se aprofundam e o setor em geral permanece altamente vulnerável a ataques cibernéticos. É extremamente importante racionalizar proativamente novos investimentos eliminando gradualmente as plataformas de fim de vida útil (EOL) e fim de serviço (EOS). Padrões de arquitetura que promovem a extensibilidade por meio de interfaces de programação de aplicativos (API) seguras e conectores de dados robustos com gerenciamento de configuração cuidadoso, as organizações de saúde podem modernizar sistemas de missão crítica com alto índice de vulnerabilidade/exposição com dólares e pessoas disponíveis.

Você pode detalhar os erros comuns que as organizações de saúde cometem ao monitorar suas redes em busca de ameaças?

Compartilhei anteriormente que alguns membros da força de trabalho podem não praticar as regras de higiene cibernética necessárias, enquanto outros carecem de conhecimento para reconhecer e mitigar as ameaças online que afetam seu ambiente de trabalho. Note, as pessoas não têm culpa!

Em 2022, falei e compartilhei no HITRUST Collaborate que as organizações de saúde devem afastar as “forças das trevas” com “magos” de seu pipeline de talentos cibernéticos. Execute orçamentos de treinamento/conscientização e encontre o caminho para reduzir e, em seguida, remover o alto fator de trabalho, estresse indevido e foco humano desnecessário em tarefas de baixo valor relacionadas a operações de segurança – em vez disso, reúna as equipes para buscar os Indicadores de Comprometimento e Exposição (IoC/ IoE) internamente. Isso é um dever.

Olhando para as violações de dados de saúde mais significativas, quais padrões ou pontos em comum podem ajudar as organizações a prevenir ataques futuros?

Como membro ativo do FBI/InfraGard, fico atento às nossas comunicações do Conselho intersetorial e às mensagens importantes fornecidas pela Agência federal de segurança cibernética e de infraestrutura (CISA). A agência destacou recentemente os padrões de más práticas , observando que tais práticas são “perigosas e elevam significativamente o risco à segurança nacional, à segurança econômica nacional e à saúde e segurança pública nacional”.

A CISA também observou que cada uma dessas práticas “é especialmente flagrante em tecnologias acessíveis pela Internet”. À luz desse aprendizado, as organizações de saúde devem: (1) adotar planos para mudar de software sem suporte (ou em fim de vida) a serviço de infraestrutura crítica e funções críticas nacionais (NCF) e (2) mudar para senhas menos, serviços de comprovação de vários fatores e vários dispositivos para impedir o acesso inicial mal-intencionado ou a execução remota de código (RCE) para impedir a entrada na infraestrutura crítica e no espaço NCF.

Você pode discutir as repercussões financeiras que as organizações de saúde enfrentam devido a violações de dados, especialmente considerando as possíveis multas sob o GDPR e os custos associados a ataques de ransomware?

GDPR afirma explicitamente que algumas violações são mais graves do que outras. Variando em multas de 2% (ou até € 10 milhões) a 4% (ou até € 20 milhões) da receita mundial de uma organização do ano financeiro anterior, o que for maior. Estas são apenas as multas pertinentes à violação de dados protegidos de sujeitos da UE, os custos podem chegar a várias dezenas de milhões quando uma grande entidade de saúde precisa se recuperar de uma violação ou roubo de grandes quantidades de dados após um ataque de ransomware bem-sucedido.

Como a parceria com outras empresas e fornecedores afeta o perfil de risco de um sistema de saúde e como as organizações de saúde podem garantir que seus parceiros possam mitigar as ameaças cibernéticas?

Com a crescente dependência de relacionamentos da cadeia de suprimentos de terceiros, a ocorrência de incidentes é sempre grande; e a exposição financeira direta estimada a um incidente cresceu exponencialmente. Para os legisladores, corporações e clientes, as funções desempenhadas pelos principais fornecedores, parceiros de negócios, parceiros, afiliados ou serviços de hospedagem de tecnologia muitas vezes são indistinguíveis daquelas desempenhadas pelo negócio principal.

Consequentemente, quando as lacunas cibernéticas são exploradas por terceiros, os sistemas de saúde enfrentam os riscos financeiros, de reputação e regulatórios associados. Isso altera tremendamente o perfil de risco da organização. Vamos dar um exemplo, exposições criadas a partir do uso, armazenamento e/ou comunicação de informações de um parceiro de negócios de uma maneira que não é adequadamente protegida contra alterações acidentais ou maliciosas, destruição e acesso não autorizado leva a um impacto cibernético direto na entidade coberta. Um fornecedor de dispositivos médicos ou um fabricante farmacêutico prejudicado por um ataque cibernético bem-sucedido pode resultar em falha no fornecimento de dispositivos, peças, remédios ou serviços críticos devido à incapacidade de gerenciar adequadamente um evento disruptivo, resultando em impacto adverso.

Como faz a Centura Health, as organizações sediadas nos EUA podem evitar a não conformidade com leis, regulamentos ou padrões éticos, incluindo conflito de interesses, resultando em censura de reguladores, litígios e/ou impactos adversos adotando uma estrutura de conformidade adequada, como o The HITRUST Common Security Framework (HITRUST CSF) que fornece estrutura para práticas, responsabilidades e programa de segurança cibernética com recursos suficientes para atender às obrigações de confidencialidade e privacidade dos dados.

Eu, o HITRUST, o Health3PT Council e nossos recursos on-line oferecemos excelentes recomendações sobre como as entidades de saúde e seus terceiros podem realizar avaliações proativas de riscos, remediar e agir continuamente para eliminar desastres cibernéticos que podem levar a graves danos financeiros e à reputação .

FONTE: HELP NET SECURITY

POSTS RELACIONADOS