El risc cibernètic de tercers és el vostre risc cibernètic. Com entendre, mitigar i preparar-se per a l’exposició al risc cibernètic de tercers

És un fet trist que els hospitals i els sistemes sanitaris segueixin sent un objectiu principal per als ciberdelinqüents. Però és el creixement vertiginós dels ciberatacs a tercers, com ara socis comercials, proveïdors de dispositius mèdics i proveïdors de la cadena de subministrament, el que suposa actualment un dels reptes més grans, i sovint desates, en el panorama del ciberrisc sanitari.

El cinquanta-cinc per cent de les organitzacions sanitàries enquestades van experimentar una violació de dades de tercers en els darrers 12 mesos, i set de les 10 principals infraccions de dades sanitàries informades fins ara el 2022 van implicar proveïdors de tercers. L’incompliment més gran, que va afectar més de 30 proveïdors d’atenció mèdica i assegurances mèdiques, així com 2,6 milions de pacients, va implicar OneTouchPoint, un proveïdor de correu i impressió de tercers.

I aquesta llista dels 10 principals ni tan sols inclou altres atacs importants que afecten l’assistència sanitària, com ara el contra Ultimate Kronos Group, el proveïdor de solucions de gestió de recursos humans i mà d’obra, o Elekta, un proveïdor extern de radioteràpia, radiocirurgia i tractament del càncer. i serveis de gestió clínica.

El creixent interès dels ciberdelinqüents en proveïdors de tercers i quarts té tot el sentit com a part d’una estratègia de “central i parla” molt eficaç. En obtenir accés al centre (el proveïdor de serveis gestionats (MSP)), tenen accés a tots els raigs: les organitzacions sanitàries que són clients del MSP. Això proporciona als actors maliciosos una via digital per infectar diverses entitats cobertes amb programari maliciós o ransomware, o per exfiltrar dades.

Compte amb les ramificacions de l’augment del risc

Atès que un dels ciberatacs dirigits a un tercer de missió crítica a nivell nacional aquest any va afectar 650 clients d’assistència sanitària per si mateix, l’atractiu dels objectius de tercers és molt clar. Aquesta exposició al risc desenfrenada de tercers i quarts té ramificacions en cascada tant per als pacients com per a les organitzacions sanitàries.

Per exemple, el robatori de grans quantitats de dades protegides o sensibles d’una entitat coberta dels proveïdors de facturació i codificació pot provocar robatoris d’identificació i altres possibles fraus per als pacients i, posteriorment, demandes contra organitzacions. O els ciberdelinqüents que s’orienten als processadors de pagaments d’atenció mèdica poden utilitzar tècniques de pesca de correu electrònic i d’enginyeria social de veu per suplantar la identitat de les víctimes i accedir als comptes, cosa que costa a les víctimes milions de dòlars.

L’impacte pot estendre’s molt més enllà del dany financer i de reputació quan un soci de negocis crítics per a la vida o la missió és víctima d’un atac de ransomware. Si la seva tecnologia, serveis o subministraments no estan disponibles, pot interrompre o retardar la prestació de l’atenció sanitària crítica i les operacions organitzatives, juntament amb la salut i la seguretat del pacient.

El vostre programa de gestió de riscos de tercers està a l’altura de la tasca?

Aquestes amenaces subratllen la necessitat urgent de programes de gestió de riscos (TPRM) de tercers sòlids que us permetin identificar, avaluar i mitigar l’exposició al risc cibernètic des de perspectives estratègiques i tàctiques. Al mateix temps, un enfocament integral de la gestió del risc també ha d’incloure una preparació detallada per respondre a qualsevol incidència que es produeixi; això us permet avaluar l’impacte, minimitzar el temps d’inactivitat, donar suport a la continuïtat del negoci i garantir la seguretat del pacient.

Aquí teniu quatre estratègies clau per reforçar les vostres defenses i reforçar les vostres capacitats de resposta:

  1. Feu una ullada amb rigor i objectivitat al vostre marc de programa TPRM existent.

    Reviseu l’estructura de govern del vostre programa i determineu si cal renovar-lo. Confirmeu que teniu un inventari complet i dinàmic de tots els proveïdors de tercers que tenen accés als vostres sistemes. A continuació, assegureu-vos que el vostre TPRM identifiqui, classifiqui i prioritzi els riscos que presenten aquests venedors i els seus subcontractistes, fins al nivell de risc de quarts.

    Alguns factors a considerar inclouen:

    • El proveïdor admet funcions crítiques per a la vida, per a la missió o per a l’empresa?
    • Com gestiona el venedor l’accés, l’emmagatzematge i la transmissió de les dades sensibles de la vostra organització, com ara informació de salut protegida, informació d’identificació personal, informació de pagament, investigació mèdica i propietat intel·lectual? El venedor agrega dades, gestiona l’emmagatzematge massiu o simplement hi accedeix?
    • Quines dades sensibles, xarxes, sistemes i ubicacions físiques pot accedir el proveïdor?
    • El venedor està involucrat en operacions a l’estranger i/o contracta subcontractistes estrangers?
    • Hi ha programari de tercers incrustat en tecnologia de tercers que amplifiqui les vulnerabilitats (com ara Log4j – nota a peu de pàgina una referència de notícies aquí al dispositiu mèdic log4j) o que creï riscos per a la privadesa (com Meta Pixel – mateixa nota a peu de pàgina una referència sanitària de notícies)?
  2. Implementar controls de tercers basats en el risc i requisits d’assegurança cibernètica en funció dels nivells de risc identificats.

    Avalueu i formalitzeu les vostres polítiques i processos per incorporar la ciberseguretat a la gestió de riscos de tercers. Aquests haurien d’incloure la realització periòdica de revisions tècniques, legals, polítiques i procedimentals exhaustives del programa TPRM i de l’acord d’associació comercial (BAA). El BAA hauria d’incloure requisits de ciberseguretat i d’assegurança cibernètica per al venedor i els subcontractistes, que s’ajusten al nivell de risc que presenta cada soci comercial.

    A més, implementeu avaluacions anuals de polítiques i procediments de ciberrisc per als proveïdors, així com avaluacions anuals de vulnerabilitat i proves de penetració. Altres bones pràctiques inclouen:

    • Identifiqueu i desactiveu els comptes que ja no s’utilitzen.
    • Apliqueu constantment l’autenticació multifactor als comptes MSP amb accés al vostre entorn i feu un seguiment atent.
    • Exigir que tots els contractes de BAA identifiquin de manera transparent la propietat dels rols i responsabilitats de seguretat de les tecnologies de la informació i les comunicacions (TIC), les afiliacions estrangeres i l’accés estranger a dades i xarxes; comproveu que aquestes mesures de ciberseguretat contractuals de MSP s’alineen amb els requisits de seguretat de la vostra organització.
    • Assegureu-vos que els proveïdors de tercers compleixin els requisits de compliment normatiu aplicables per a la informació de salut protegida, la informació de pagament, la informació d’identificació personal, la investigació mèdica finançada amb impostos i altres dades protegides.
  3. Comunicar de manera coherent i clara les polítiques, els procediments i els requisits de gestió de riscos de tercers internament.

    Tots els individus, departaments i unitats de negoci de la vostra organització que compren tecnologia, serveis i subministraments haurien de ser educats sobre els vostres requisits de ciberseguretat organitzatius per a tercers i els possibles riscos de ciberseguretat per a l’organització que treballa amb proveïdors de tercers.

    En alguns casos, pot ser necessari equilibrar les oportunitats financeres i una major flexibilitat de la cadena de subministrament amb els nivells potencialment més alts de risc cibernètic associats a proveïdors concrets. Això requerirà una major tolerància al risc i acceptació del risc per part de la unitat de negoci afectada i l’organització. Es recomana establir un procés de govern organitzatiu perquè una unitat de negoci individual no tingui autoritat per prendre una decisió unilateral sobre l’acceptació del risc cibernètic de tercers (la qual cosa podria posar en risc tota l’organització).

  4. Prepareu-vos intensament per a la resposta i la recuperació d’incident.

    La freqüència i la intensitat dels ciberatacs, juntament amb el repte de controlar i detectar amenaces de tercers, fan que la probabilitat d’un incident sigui alta malgrat els millors esforços per mitigar el risc. Com que els ciberatacs del sector sanitari poden provocar directament el retard i la interrupció de la prestació de l’atenció, la seguretat del pacient està en risc; per tant, és imprescindible adoptar plans clínics i de continuïtat del negoci, juntament amb procediments de temps d’inactivitat per a funcions crítiques per a la vida i per a la missió.

    En primer lloc, és necessari implementar de manera continuada un procés per identificar tots els proveïdors interns, així com externs, de tercers i de la cadena de subministrament de funcions, serveis i tecnologia crítics per a la vida i la missió. També és important identificar quines organitzacions o altres proveïdors depenen de la vostra organització per als serveis essencials. Quins proveïdors d’atenció mèdica depenen de la disponibilitat de la vostra tecnologia, serveis, xarxes i dades? En essència, per a qui sou un proveïdor de serveis crítics per a la vida i per a la missió? Quin és el pla de contingència per a aquestes organitzacions dependents, en cas de desconnectar-se d’Internet i quedar-se “digitalment fosc?” Quin impacte tindrà en els vostres serveis si sou víctimes d’un atac de ransomware?

    En segon lloc, assegureu-vos que aquestes funcions, serveis i tecnologia, si un ciberatac els desactiva, tenen una còpia de seguretat suficient i es prioritzen per a la restauració a nivell empresarial. Desenvolupar plans clínics, operatius i de continuïtat de negoci i procediments d’inactivitat per a cadascuna de les dependències internes i externes. Idealment, aquests procediments haurien de poder mantenir fins a quatre setmanes la funció crítica per a la vida i la missió sense un impacte significatiu ni degradació de la qualitat.

    En tercer lloc, capacitar el personal per executar aquests plans amb eficàcia. Realitzeu exercicis periòdics de temps d’inactivitat i exercicis d’atac cibernètic per a una varietat d’escenaris a nivell individual, departamental i empresarial, i convideu els vostres proveïdors de tercers a participar.

    Finalment, però no menys important, incorporeu el vostre pla de resposta a incidents cibernètics al pla general de resposta a incidents i incorporeu els plans de continuïtat del negoci i els procediments de temps d’inactivitat a les funcions generals de comandament d’incidències i de preparació per a emergències.

Actua estratègicament per controlar la teva exposició al risc

Per obtenir més informació sobre com l’AHA us pot ajudar a gestionar estratègicament el vostre risc cibernètic de tercers i quarts i protegir els vostres pacients minimitzant l’impacte del temps d’inactivitat si es produeixen ciberataques, visiteu aha.org/cybersecurity o poseu-vos en contacte amb mi a jriggi@aha. org.

Leave a Comment

Your email address will not be published. Required fields are marked *