Угрозы безопасности увеличиваются со стороны злоумышленников из национального государства с приближением Нового года | Ассоциация соответствия требованиям здравоохранения (HCCA)

[author: Jane Anderson]

Отчет о конфиденциальности пациентов 18, вып. 1 (январь 2021 г.)

Эксперты по кибербезопасности сообщают, что в 2021 году угрозы безопасности для медицинских учреждений будут продолжать расти, поскольку злоумышленники со значительными возможностями нацелены на уставшие от пандемии организации, которые все еще борются с домашними работниками.

По словам экспертов, угрозы этого года будут выглядеть знакомо: изменения в фишинге, программах-вымогателях и информационных технологиях (ИТ) будут иметь значение. RPP. Однако эти угрозы становятся все более изощренными, что затрудняет защиту от них даже по мере появления новых инструментов.

«По мере того, как искусственный интеллект развертывается для защиты, у злоумышленников есть аналогичные инструменты, которые позволяют решить некогда сложную задачу или взломать его так же просто, как нажатие кнопки», – сообщил Роджер Шинделл, основатель и генеральный директор Carosh Compliance. Решения.

Кроме того, пандемия вызвала огромную неопределенность, сказал Джон Форд, стратег IronNet Cybersecurity. «Злоумышленники преуспевают, когда перемены и неопределенность поглощают наши усилия», – сказал он. «Они имеют преимущество наблюдать и предвидеть как старые, так и новые уязвимости, в то время как остальные из нас пытаются выполнять свою работу, независимо от того, напрямую ли это связано с оказанием помощи или огромной системой поддержки, которая требуется нашей системе здравоохранения».

«Хороших новостей мало, – сказала Мишель О’Нил, директор по корпоративному соответствию Summit Health Management в Нью-Джерси. Прошлый год «включал в себя множество новых угроз безопасности и атак, направленных на больницы и медицинские учреждения», – сказал О’Нил. RPP. «Мысль заключается в том, что в 2021 году больницы и медицинские организации останутся мишенями, но киберпреступники улучшат свои способности и станут более успешными».

О’Нил отметил, что для облегчения преодоления пандемии OCR предоставила некоторую свободу действий организациям здравоохранения в течение 2020 года, в частности поставщикам и деловым партнерам (BA), которые предоставляют услуги телемедицины. «Это было очень полезно для предоставления пациентам необходимой им помощи и быстро, без страха наказания. Но это также добавило новые угрозы безопасности для пациентов, врачей, организаций и деловых партнеров, которые предоставили эти платформы телездравоохранения », – добавила она.

По словам Форда, пандемия усилила как актуальность, так и воздействие атак. «Если вы вернетесь во время до пандемии, программы-вымогатели и кража данных по-прежнему оставались проблемой, но защищенные организации работали в ожидаемом состоянии и имели лучшую доступность ресурсов для противодействия атакам. Перенесемся в сегодняшний день, и у нас есть чрезвычайно напряженный персонал, среда ИТ и безопасности, которая была значительно изменена, а объем и масштаб атак увеличились ».

Ребекка Херольд, президент SIMBUS360 и генеральный директор Privacy Professor, отметила, что на протяжении большей части 2020 года бизнес-аналитики меньше контролировали и контролировали бизнес-клиентов и не наблюдали заметного надзора за субподрядчиками со стороны BA. «Это вызывает беспокойство, учитывая, что сейчас большая часть сотрудников CE, BA и субподрядчиков работают удаленно, обычно из домашних офисов. Имейте в виду, что эти домашние офисы обычно также являются рабочими зонами для других в доме, а также новыми школьными комнатами для учеников, от дошкольного до колледжа, которые также живут в домах ».

По словам Херольда, когда несколько человек из нескольких организаций или школ проводят прямые трансляции в непосредственной близости и в одной сети, риски значительны. «Инструменты онлайн-встреч и интернет-соединения редко защищены должным образом, оставляя их открытыми для злоумышленников, имеющих доступ к беспроводной сети, а также тех, кто подключается к каждому из вычислительных устройств, подключенных не только к беспроводной сети, но и к различным организациям». и школьные сети ».

Угрозы включают выдачу себя за другое лицо, BYOD

В дополнение к хорошо известным угрозам безопасности 2020 года, вероятно, появятся новые угрозы в этом году. Например, Шинделл сказал, что ожидает, что злоумышленники начнут выдавать себя за сотрудников или деловых партнеров. По его словам, все возможно с помощью современных технологий. «Это просто человеческая природа – доверять людям, посещающим вашу организацию, и тем более, если они упоминают имена или что-то особенное».

По словам Шинделла, способ предотвратить эту проблему – это сильная политика и обучение. «Имейте цепочку методов утверждения, стандартный опрос каждого человека и список одобренных / проверенных поставщиков», – сказал он. «Кроме того, вы должны поручить организации провести тест на физическое проникновение, чтобы убедиться, что планы используются».

Херольд сказала, что она ожидает новых атак с использованием телемедицины, а также атак через устройства, принадлежащие сотрудникам, и устройства, принадлежащие пациентам, которые подключены к сетям и системам здравоохранения.

В этом году, по словам Херольда, ожидаются новые атаки программ-вымогателей на бизнес-клиентов и их субподрядчиков. «Программы-вымогатели делают киберпреступников очень богатыми, и эти киберпреступники понимают, что каждая охваченная организация использует десятки, сотни или даже тысячи деловых партнеров для оказания критически важных услуг или предоставления им продуктов. Они понимают, что CE зависят от своих BA и что BA являются потенциальными золотыми приисками ». Она сказала, что, по ее опыту, БА «не соблюдают все требования HIPAA» и часто «в целом очень слабые и несовершенные методы обеспечения безопасности для защищенной медицинской информации. [PHI] что доверили им их клиенты ».

По словам Херольда, фишинговые атаки для других типов эксплойтов безопасности и конфиденциальности помимо программ-вымогателей – например, для получения доступа к «сокровищницам» PHI – также начнут нацеливаться на бизнес-клиентов и субподрядчиков. Кроме того, Интернет вещей (IoT) будет распространяться «беспрецедентными темпами», – сказала она, отметив, что «каждое из этих устройств создает точку входа в сети, к которым они подключаются, и каждое из них может быть подключено к множеству разных сетей. Атаки будут увеличиваться благодаря этим новым каналам Интернета вещей ».

Форд заявил, что программы-вымогатели займут центральное место в этом году, увеличившись еще больше по сравнению с высокими уровнями 2020 года. «С момента появления COVID мы наблюдаем существенный рост числа программ-вымогателей, и по мере продолжения прогресса в создании и распространении вакцин, число этих атак будет расти», – сказал он. «Мы ожидаем увеличения изощренности этих атак, когда преступные группы будут использовать инструменты, которые соперничают с субъектами национальных государств. Поскольку операционная среда для большинства организаций изменилась из-за COVID, мы также ожидаем, что большее количество этих атак будет сосредоточено на облачных средах ».

По словам Форда, организации, вероятно, увидят больше случаев, когда эти злоумышленники применяют дополнительное давление с целью выкупа, размещая извлеченные данные на сайтах утечки данных, где дополнительные злоумышленники могут покупать и получать доступ к PHI, что приведет к дополнительным проблемам с конфиденциальностью.

«Я считаю, что в 2021 году будет отличаться смелость и масштаб атак», – сказал Форд, добавив, что недавние взломы федеральных агентств и компании FireEye, занимающейся киберзащитой, служат сигналом об эскалации. «Хотя эти события не относятся исключительно к сфере здравоохранения, разумно ожидать более масштабных дерзких усилий, направленных на медицинские учреждения и их цепочки поставок», – сказал Форд.

«Как эти события приведут к соблюдению требований HIPAA, еще предстоит увидеть, но я могу только надеяться, что наше регулирующее сообщество принимает во внимание тот факт, что медицинские учреждения не ведут честную борьбу, когда дело доходит до атак на уровне государства», он сказал. «Эти мероприятия просто выходят за рамки возможностей и бюджета всех, кроме нескольких учреждений здравоохранения в нашей стране. Безусловно, халатность может и должна оставаться обязательным компонентом нарушений HIPAA, но для этого сектора было бы лучше, если бы HHS и медицинские учреждения объединили свои усилия и боролись с этими субъектами угроз как одна команда вместо того, чтобы делать это изолированно. Я подозреваю, что так и будет. А пока следите за обновлениями, поскольку в 2021 году ситуация будет развиваться дальше ».

Старые устройства создают проблемы

Тем не менее, небольшие угрозы могут вызвать большие проблемы для здравоохранения. «Существует так много конкретных проблем, которые представляют необычную / уникальную угрозу безопасности PHI», – сказал О’Нил. «Хотите верьте, хотите нет, но старые устройства, такие как факсы, USB-накопители, о которых не знает служба безопасности, и ПК, которые находятся вне дома и не одобрены службой безопасности, определенно являются областями, в которых профессионалы по обеспечению конфиденциальности и безопасности не могут спать по ночам. Они будут оставаться угрозой и в 2021 году ».

По ее словам, медицинские учреждения часто решают эти проблемы в ответ, но упреждающие меры могут помочь выявить эти устройства до того, как они станут проблемой. Она добавила, что образование может побудить членов команды рассказывать сотрудникам службы безопасности об этих устройствах, чтобы служба безопасности могла вмешаться и защитить данные, хранящиеся на устройствах.

[View source.]

Leave a Comment