Cinco etapas comprovadas rápidas podem garantir informações do paciente, proteger a propriedade intelectual e reduzir o risco de um desligamento.
o número de ataques cibernéticos a nós Sistemas de saúde atingiu proporções epidêmicas. De acordo com o barômetro de violação Protenus, em 2020 hackers saltaram 50%, afetando mais de 41 milhões de registros de pacientes. O Covid-19 não desempenhou nenhum papel pequeno na onda, pois os cibernéticos se aproveitam do fato de que mais pessoas estão trabalhando em casa em dispositivos inseguros e se concentram mais em proteger sua saúde do que em Mantendo a segurança cibernética .
Esquerda sem controle, os ataques cibernéticos podem causar danos incalculáveis aos prestadores de cuidados de saúde. As informações de saúde pessoal (PHI) e a propriedade intelectual da pesquisa farmacêutica estão em risco, assim como a capacidade de um hospital de prestar serviços de saúde. Ao mesmo tempo, as organizações devem tomar medidas para garantir um ambiente cibernético seguro a longo prazo. Sistema explorando uma vulnerabilidade ou configuração incorreta no software ou sistema. O hacker então usa esse acesso para atingir um alvo desejado, como a propriedade intelectual de um hospital ou a PHI, para exfiltrar dados ou malware de implante que podem interromper as operações de saúde.
To stem the tide, we recommend that health care provider systems and hospitals pursue a small number of key actions immediately, from assessing the risk of breaches to conducting tabletop simulations. At the same time, organizations should take steps to ensure a secure cyber environment for the long term.
Key Cyber Attack Concepts
Health care providers and hospitals should focus on six primary threats:
- Hacking. The term “hacking” is often used to refer to a security incident that occurs when a cyber attacker finds their way into a system by exploiting a vulnerability or misconfiguration in the software or system. The hacker then uses this access to reach a desired target, such as systems housing a hospital’s intellectual property or PHI, to exfiltrate data or implant malware that could disrupt healthcare operations.
- Phishing. Com o phishing, um ator envia um email com um link para um membro da comunidade hospitalar, como um médico. Quando o destinatário clica no link, eles são levados a fornecer um ID de usuário e senha, o que dá ao ator acesso aos sistemas hospitalares. As tentativas de phishing se mostraram particularmente bem-sucedidas durante o Covid-19, porque as pessoas tendem a clicar mais nos links quando o email tem uma urgência emocional, como uma notificação de que um parente está no hospital ou uma oferta para uma nomeação de vacina. Muitas vezes, é mais fácil obter resultados ao enviar um email de phishing para milhares de pessoas do que encontrar uma única vulnerabilidade explorável nos sistemas ou rede de uma organização.
Phishing is often a leading precursor or contributor to significant security incidents because of its low cost of entry and wide-reaching potential. It’s often easier to get results from sending a phishing email to thousands of people than it is to find a single exploitable vulnerability in an organization’s systems or network. - Malware. malware, ou "software malicioso", geralmente é entregue através do phishing (e executado por um usuário desavisado). Como alternativa, ele pode ser instalado por um ator de ameaças que obteve acesso não autorizado aos sistemas ou rede de uma organização. Freqüentemente, um invasor usa malware para acessar repetidamente a rede e os sistemas de um hospital, se devem exfiltrar IP ou PHI valiosos ou interromper a capacidade do hospital de fornecer serviços ao paciente.
Existem diferentes tipos de malware. O ransomware é um tipo que os atacantes usam para roubar informações e desativar os sistemas hospitalares, abandonando o controle apenas quando o hospital paga. Os criminosos cibernéticos usam ransomware principalmente para ganho financeiro. - Espionagem. Espionagem cibernética, ou espionagem, é o ato de coletar informações sem o conhecimento ou permissão do titular dessas informações. Uma nação que rouba os dados de pesquisa farmacêutica sobre vacinas covid-19 é um bom exemplo.
- Contas comprometidas. Qualquer conta que esteja sendo usada ilegalmente-seja por senhas roubadas, adivinhadas ou forçadas brutas, phishing ou malware-é considerado comprometido. AN A security incident typically involves the abuse of a privileged account—that is, a legitimate user’s system or network account and access rights. An Conta não revogada (uma que não foi excluída quando o usuário deixou a comunidade hospitalar) é outra maneira de hackers e funcionários descontentes obterem acesso aos sistemas hospitalares.
- Unauthorized Data Disclosures. divulgações de dados não autorizadas são outro risco prevalente. Essa questão é particularmente irritante no setor de saúde, onde a proteção do acesso a dados sensíveis ao paciente e à pesquisa é uma parte fundamental do trabalho de um funcionário. Tais divulgações podem ocorrer acidentalmente, como quando um pesquisador bem-intencionado inclui informações confidenciais em uma publicação ou quando um clínico usa um método não autorizado ou inseguro de armazenamento ou transmissão de dados por conveniência. A perda e o descarte inadequado de hardware, como laptops, servidores e unidades de polegar, é outra razão pela qual ocorrem divulgações acidentais. As divulgações não autorizadas também podem ser intencionais, como no caso de roubo de dispositivo ou as ações de um funcionário descontente. Cinco etapas essenciais são fundamentais:
Five Steps to Take Immediately
Given the urgency of the situation, health care providers and hospitals need to improve their cybersecurity at once. Five essential steps are key:
- Determine e priorize os dados mais críticos e os ativos cibernéticos. Avalie quais ameaças (como malware, espionagem ou divulgação de dados não autorizados) provavelmente serão bem -sucedidos contra cada ativo crítico e usarem essa análise para determinar quais ações de mitigação devem ter prioridade. Ao considerar cada ameaça, é útil pensar na cadeia de eventos que devem ocorrer para que ela seja bem -sucedida (por exemplo, o phishing deve ser seguido pelo compromisso da conta, depois à propagação de malware e assim por diante). O próximo passo seria focar os esforços de mitigação nos links mais fracos ou mais impactantes nessa cadeia de ataque. Segmentar ou isolar ativos críticos em sua rede também pode ser uma estratégia eficaz. Como nenhum controle é 100% eficaz, é importante estabelecer várias camadas de controles que possam interromper a cadeia de ataques de eventos em quantos lugares possível. Outros hospitais podem adotar da mesma forma essas ações, que incluem (entre outros) proteções por email, autenticação multifator (MFA), Gerenciamento de Acesso Privilegiado (PAM), Prevenção Avançada de Malware, Segurança de Rede, Detecção de Atividades de Dados e Informações de Segurança Enterprise e Gerenciamento de Eventos (SIEM). (Veja o Anexo 1.) Organizations should quickly assess which assets are the most essential and focus on protecting them first. Assess which threats (such as malware, espionage, or unauthorized data disclosure) are most likely to be successful against each critical asset and use that analysis to determine which mitigation actions should take priority.
- Assess the risks and determine the key actions for reducing them. When considering each threat, it’s useful to think of the chain of events that must occur in order for it to be successful (for example, phishing must be followed by account compromise, then malware propagation, and so on). The next step would be to focus mitigation efforts on the weakest or most impactful links in that attack chain.
Perhaps strong phishing controls are in place, but malware prevention capabilities need to be bolstered. Segmenting or isolating critical assets on your network may also be an effective strategy. Since no one control is ever 100% effective, it’s important to put in place multiple layers of controls that can interrupt the attack chain of events in as many places as possible.
Memorial Sloan Kettering Cancer Center (MSK) has implemented a number of technical controls to address each step of a ransomware or malware attack. Other hospitals can similarly adopt these actions, which include (among others) email protections, multifactor authentication (MFA), privileged access management (PAM), advanced malware prevention, network security, data activity detection, and enterprise security information and events management (SIEM). (See Exhibit 1.)
É igualmente importante realizar uma avaliação de risco para ameaças de espionagem. Embora essa análise possa se sobrepor um pouco com uma avaliação de ransomware, há uma diferença importante: o ransomware tende a ser muito fácil de detectar, porque gera uma grande quantidade de "ruído" - em outras palavras, tráfego de rede e acesso ao disco, que são fáceis de capturar em um centro de operações de segurança que usa um sistema SIEM. Os invasores de espionagem cibernética exfiltraem paciente e lentamente as informações valiosas que estão buscando porque não querem ser notadas gerando tráfego de rede e disco. Portanto, dependendo do seu perfil de ameaças, podem ser necessários mais controles, como camadas adicionais de proteção cibernética e treinamento especial para os pesquisadores. Levar em consideração os controles existentes e o uso de uma abordagem baseada em risco pode ajudar os hospitais a determinar em quais processos, procedimentos e tecnologias investir na maior redução no risco cibernético.
By contrast, espionage is very quiet. Cyber espionage attackers patiently and slowly exfiltrate the valuable information they are seeking because they don’t want to be noticed by generating network and disk traffic. So depending on your threat profile, more controls may be required, such as additional layers of cyber protection and special training for researchers.
Depending on the threat, there may be many other layers of controls that an organization will want to consider (data loss prevention (DLP) software, encryption, and so on), but there may be competing priorities and resource restraints to deal with. Taking into account existing controls and using a risk-based approach can help hospitals determine which processes, procedures, and technologies to invest in for the greatest reduction in cyber risk.
- Educar e renderizar comportamentos cibernéticos de funcionários arriscados “irrelevantes”. (Consulte Anexo 2.) Consequentemente, é fundamental para os hospitais avaliarem comportamentos que colocam em risco os sistemas de saúde e tornam esses comportamentos "irrelevantes" para que os funcionários não sejam mais seguras de comportamentos. difícil. Muitos usuários estão simplesmente procurando a maneira mais rápida e fácil de fazer seu trabalho. Em vez de proibir completamente coisas como colaboração ou compartilhamento de arquivos, os hospitais devem considerar o fornecimento de soluções corporativas com segurança configuradas e gerenciadas como Box, Office 365, G-Suite ou Slack, que podem ajudar a reduzir o uso de contas pessoais enquanto colocam os controles necessários de supervisão e redução de risco. Além disso, salvaguardas técnicas, como desativar macros não assinadas e sandboxing (separar aplicativos de recursos críticos), podem mitigar as consequências dos usuários que abrem anexos ou clicando em links maliciosos. É fundamental mostrar aos funcionários por que a cibersegurança é tão vital quanto segurança e ética e ensiná -los a evitar causar um incidente no futuro. Além disso, os hospitais devem considerar não apenas punir o comportamento de risco, mas também reconhecer e recompensar boas práticas de segurança. A MSK implementou um programa de conscientização sobre segurança que aproveita atividades como treinamento formal, webinars, horários de expediente, concursos e avaliações de phishing em toda a organização. BCG analysis found that 77% of all cyber attacks are due to human failures and only 23% to tech glitches. (See Exhibit 2.) Consequently, it’s paramount for hospitals to assess behaviors that put health care systems at risk and make those behaviors “irrelevant” so that employees default to more-secure behaviors.
But getting employees to adopt different behaviors is difficult. Many users are simply looking for the quickest and easiest way to get their job done. Rather than outright prohibiting things like collaboration or file sharing, hospitals should consider providing securely configured and managed enterprise solutions like Box, Office 365, G-Suite, or Slack, which can help reduce the use of personal accounts while putting the necessary oversight and risk reduction controls in place. Additionally, technical safeguards like disabling unsigned macros and sandboxing (separating apps from critical resources) can mitigate the fallout from users opening attachments or clicking malicious links.
While technical controls are key to a robust risk mitigation strategy, they are not a replacement for a strong culture of security awareness. It’s critical both to show employees why cybersecurity is as vital as safety and ethics and to teach them how to avoid causing an incident in the future. In addition, hospitals should consider not only punishing risky behavior but also acknowledging and rewarding good security practices. MSK has implemented a security awareness program that leverages activities such as formal training, webinars, office hours, contests, and organization-wide phishing assessments.
- Develop crisis management and cybersecurity incident response teams. Incidentes significativos exigirão a participação de partes interessadas de toda a organização. Muitos hospitais têm uma equipe multidisciplinar de gerenciamento de crises (CMT) e uma equipe de resposta a incidentes de segurança cibernética (CSIRT) responsável por dirigir os dois aspectos principais de tais esforços. O CSIRT deve lidar com o ataque cibernético real, além de restaurar sistemas, avaliar impactos e implementar planos de continuidade de negócios. O CMT deve coordenar as atividades da análise forense externa, relações públicas e especialistas jurídicos. E deve gerenciar comunicações internas e externas de segurança cibernética, para que funcionários, pacientes, público, policiais, reguladores e administração do hospital, curadores e diretores de administração sejam mantidos atualizados. A coordenação entre essas duas equipes é essencial. Na MSK, eles são combinados em uma equipe chamada Hospital Incident Command (HIC). Como a MSK, muitos hospitais já têm uma equipe de comando de incidentes que responde a eventos significativos. Em vez de criar uma equipe completamente nova, as organizações podem preferir desenvolver planos de resposta que alavancem os processos, participantes e a estrutura de comando do grupo existente. Os eventos cibernéticos podem exigir participantes e transportes de trabalho adicionais, mas o uso de procedimentos familiares e bem testados pode garantir uma resposta mais perfeita.
Developing the necessary playbook and response plan is also essential. Like MSK, many hospitals already have an incident command team that responds to significant events. Instead of creating a completely new team, organizations may prefer to develop response plans that leverage the processes, participants, and command structure of the existing group. Cyber events may require additional participants and workstreams, but using familiar, well-tested procedures can ensure a more seamless response.
Conduct tabletop exercises (TTXs). Muito poucos incidentes cibernéticos seguem um script, é claro. No entanto, é importante testar todos os planos antes de qualquer incidente. Como parte deste teste, um hospital deve realizar TTXs para que os executivos seniores, o CMT e o CSIRT possam desenvolver o conhecimento e a memória muscular necessários para responder efetivamente no caso de um ataque, quando eles poderiam ter apenas alguns segundos para tomar decisões. Eles podem aproveitar a oportunidade para aprender sobre a restauração de backups, entrar em contato com a aplicação da lei, emitir comunicados à imprensa e garantir operações contínuas de atendimento ao paciente.
Few cyber incidents follow a script, of course, but it’s still important to test all plans well in advance.
Isso também significa que os hospitais precisam determinar com antecedência quem deve ter autoridade para tomar decisões monumentais, como o fechamento da rede. É essencial delegar essa autoridade a alguém que pode tomar essas decisões sem medo de recriminação. E todos no CMT e no CSIRT devem ter pelo menos um delegado com total autoridade para agir em sua ausência.
Conducted properly, these TTXs will uncover gaps well before an incident occurs.
Segredos ao sucesso a longo prazo
Para garantir que seus sistemas sejam protegidos por ameaças cibernéticas a longo prazo, os hospitais precisam considerar seis imperativos estratégicos:
- Design cybersecurity measures into systems from the start. There are clear advantages to designing cybersecurity into systems at the beginning of a digital transformation rather than adding it later on. Designers are able to move faster when they know a system is secure. There’s also less need for expensive rework—and less risk of introducing new errors. Shorter development times also allow a hospital to generate revenue faster. (See Exhibit 3.)
This approach also makes it easier to design secure software in a uniform way across the entire organization. Not only will development costs will be lower as a result, but operating costs will be, too, since operations and maintenance processes are the same for many applications. Training costs will also be lower, and security and operations teams will be more efficient and effective.
- Ensure continued IT system hygiene and governance. O que está seguro hoje pode não ser amanhã. A implementação tão rápida de patches de segurança, atualizações do sistema e outras práticas de “higiene de TI” são fundamentais. Para reduzir o escopo do risco geral, recomendamos as práticas de governança de TI e de TI que garantirão um inventário preciso do sistema e dados, aplicarão o gerenciamento do ciclo de vida e minimizarão a duplicação de dados e investimentos de TI. Essas atividades devem ser validadas pela varredura regular de vulnerabilidade e teste de penetração. Certamente, é importante apontar os esforços de mitigação dos riscos mais críticos enfrentados no presente - especialmente se o hospital em questão estiver apenas começando a implementar uma estratégia de segurança. Mas também é importante desenvolver um programa de segurança cibernética que acomodará a estratégia de negócios de estado futuro, como planos de expandir para novos mercados ou diferentes áreas terapêuticas. Isso pode economizar custos abaixo da linha.
- Map the cybersecurity strategy to the business strategy. Many organizations design cybersecurity to protect their systems today, while the board is focusing on five years from now. To be sure, it’s important to aim mitigation efforts at the most critical risks being faced in the present—especially if the hospital in question is just starting to implement a security strategy. But it’s also important to develop a cybersecurity program that will accommodate future-state business strategy, such as plans to expand into new markets or different therapeutic areas. Doing so can save costs down the line.
Developing a cybersecurity program that will accommodate future-state business strategy can save costs down the line.
- Sistemas de escala com segurança e econômica. Como a construção de data centers é uma maneira cara e demorada de obter mais capacidade de computador e armazenamento de dados, recomendamos a parceria com os provedores de serviços em nuvem pública. Mudar para a nuvem é a melhor maneira de escalar, desde que as organizações tomem as etapas que estamos defendendo neste artigo. As hospitals increasingly move from the physical realm to the digital, they will need to scale and grow their digital systems. Since building data centers is an expensive and time-consuming way to get more computer capacity and data storage, we recommend partnering with public cloud service providers instead. Moving to the cloud is the best way to scale, provided organizations take the steps we are advocating in this article.
- Suponha que um ataque seja inevitável. Como é praticamente impossível fornecer 100% de proteção contra um ataque cibernético, resposta a incidentes, continuidade dos negócios e planos de backup e recuperação de dados são críticos para minimizar o impacto. Quando se trata de selecionar projetos de segurança cibernética para investir, os hospitais precisam ser capazes de quantificar o risco de um ataque bem -sucedido e o efeito que esse ataque poderia ter. Eles podem então selecionar o portfólio de projetos mais apropriado. As simulações de Monte Carlo podem ajudar a identificar quais iniciativas podem fornecer a maior redução no risco cibernético para qualquer quantidade de gastos.
When it comes to selecting cybersecurity projects to invest in, hospitals need to be able to quantify the risk of a successful attack and the effect such an attack could have.
- Prepare -se para desastres simultâneos. Todos os hospitais sabem que os planos de continuidade e recuperação de desastres de negócios são críticos para mitigar o impacto dos ataques cibernéticos. A maioria dos hospitais possui planos de resposta a emergências para cada tipo de desastre: atirador natural, cibernético, ativo e assim por diante. Mas é essencial ter planos que possam lidar com mais de uma emergência ao mesmo tempo - um ataque cibernético, um furacão e uma pandemia, por exemplo. Os exercícios de mesa são a melhor e mais econômica maneira de testar esses planos. Esperar até que uma situação real ocorra pode ser muito cara. A saúde e o bem-estar dos pacientes que eles atendem dependem disso.
As the pandemic has so vividly demonstrated, health care provider systems and hospitals need to make cybersecurity a top priority today. The health and well-being of the patients they serve depend on it.
