Các chuyên gia bảo mật chia sẻ các phương pháp hay nhất cho những người chịu trách nhiệm bảo vệ các tổ chức thiết yếu này.
Các tổ chức chăm sóc sức khỏe, trên tuyến đầu chống lại COVID-19, đang chịu áp lực rất lớn trong việc thích ứng với các công nghệ mới trong bối cảnh thực tế làm việc tại nhà và bối cảnh mối đe dọa mạng ngày càng leo thang.
Đó là lý do tại sao trong Tháng nâng cao nhận thức về an ninh mạng quốc gia, Liên minh An ninh mạng Quốc gia (NCSA) và Cơ quan An ninh mạng và Cơ sở hạ tầng của Bộ An ninh Nội địa (CISA) đang tập trung vào ngành chăm sóc sức khỏe. Trong các cuộc thảo luận riêng của Dark Reading với các chuyên gia bảo mật chăm sóc sức khỏe, hầu hết đều nói rằng ransomware và công nghệ y tế cổ xưa là mối đe dọa lớn nhất của ngành, chứ không phải các cuộc tấn công từ chối dịch vụ phân tán (DDoS) như một số người lo ngại.
Torsten George, nhà đi đầu về an ninh mạng tại Centrify cho biết: “Các tin tặc là những nhà kinh doanh, và đối với họ thời gian là tiền bạc. “Kiếm tiền từ một cuộc tấn công DDoS khó hơn nhiều. Họ sẽ phải thực hiện cuộc tấn công và ép đòi tiền chuộc. Nhìn chung, thế giới y tế đã làm tốt về mặt quản trị của công nghệ, nhưng tôi lo lắng nhiều hơn về các lỗ hổng trong chương trình cơ sở trong thiết bị y tế cũ, chẳng hạn như máy thở và máy bơm tim. “
Piyush Pandey, Giám đốc điều hành của Appsian, cho biết thêm rằng các tổ chức y tế cần bắt đầu suy nghĩ giống các công ty công nghệ hơn.
Pandey nói: “Ngày nay, các ngân hàng đầu tư lớn như Goldman Sachs và Morgan Stanley coi mình là công ty công nghệ. Đó là điều phải xảy ra trong lĩnh vực y tế khi họ thích ứng với các công nghệ mới, chẳng hạn như telehealth”. Nhân viên y tế phải đầu tư vào theo cách tương tự. “
Ngăn chặn vi phạm do quản lý mật khẩu kém và giữ an toàn cho dữ liệu trong các cuộc gọi điện từ xa là ưu tiên hàng đầu của các tổ chức y tế. Các đội bảo mật tại các tổ chức này có rất nhiều thứ để xử lí. Danh sách này có thể giúp thiết lập các ưu tiên và mở đường cho phía trước.
Đào tạo nâng cao nhận thức về an ninh mạng cho nhân viên
George của Centrify nói rằng các hoạt động y tế còn phải đặt việc nâng cao nhận thức về an ninh mạng trở thành một mục trong danh sách kiểm tra. Ở một mức độ nhất định, tất cả các hạng mục an ninh mạng cần được bảo đảm, chẳng hạn như dạy mọi người tạo mật khẩu mạnh, sao lưu dữ liệu cá nhân và chạy quét vi rút và bảo mật trên máy làm việc của họ. Các tổ chức cũng nên sử dụng các cuôc diễn tập trong đó nhân viên luôn được kiểm tra về khả năng nhận thấy các email lừa đảo, ông nói. Nếu một nhân viên bị bắt gặp nhấp vào email từ cuộc diễn tập, nhóm CNTT sau đó sẽ yêu cầu người đó xem lại khóa đào tạo bảo mật. Và nếu nhân viên tìm thấy một email thực sự là một cuộc tấn công thực sự, nhóm hoạt động bảo mật có thể theo dõi.
George nói: “Các công ty phải thực hiện mô phỏng một cách nhất quán để khiến mọi người luôn cố gắng. “Mọi người sẽ không bao giờ học trừ khi công ty thực hiện theo dõi.”
Tạo các chương trình đào tạo nâng cao nhận thức cho bệnh nhân
Hầu hết các bệnh viện và cơ sở y tế hiểu rằng họ không có quyền kiểm soát bệnh nhân giống như nhân viên của họ, nhưng Centrify’s George cho biết họ có thể chủ động và thiết lập các chương trình nâng cao nhận thức về an ninh mạng cho công chúng. Ông nói, một số thực hành y tế đã đưa ra các chương trình hướng dẫn về những điều cơ bản của việc sử dụng cuộc gọi Zoom hoặc đưa ra các tờ rơi hướng dẫn bệnh nhân cách quản lý cuộc gọi với bác sĩ. Một nguồn tốt khác: Bộ Y tế và Dịch vụ Nhân sinh Hoa Kỳ (HHS) đã xuất bản một danh sách chi tiết các hướng dẫn cho các tổ chức y tế áp dụng telehealth.
Để giữ an toàn cho bệnh nhân của họ, Kelvin Coleman, giám đốc điều hành của NCSA, khuyên các bệnh viện và cơ sở y tế yêu cầu họ luôn cập nhật các thiết bị được kết nối ngay khi có bản cập nhật. Họ cũng nên sử dụng các cụm mật khẩu dài và duy nhất trên tất cả các tài khoản, vì vậy nếu họ trở thành nạn nhân của một cuộc tấn công mà một kẻ xấu học được cụm mật khẩu, thì thiệt hại sẽ được giới hạn ở tài khoản đó. Bệnh nhân cũng nên bật xác thực hai yếu tố hoặc đa yếu tố (MFA), chẳng hạn như sinh trắc học, khóa bảo mật hoặc mã duy nhất, dùng một lần thông qua ứng dụng trên thiết bị di động bất cứ khi nào được cung cấp trên tài khoản bảo hiểm, cổng thông tin bệnh nhân và tài khoản tài chính.
Bệnh nhân cần hiểu rằng họ có quyền, Coleman nói thêm. Khi sử dụng các ứng dụng telehealth, họ nên liên lạc với bác sĩ của mình và đặt câu hỏi về những dữ liệu nào được thu thập, cách nó được chia sẻ và cách nó sẽ được sử dụng. Bệnh nhân cũng cần đảm bảo rằng bất kỳ tài khoản nào liên kết với ứng dụng telehealth đều được bảo vệ bằng cụm mật khẩu mạnh và thường xuyên theo dõi chúng để phát hiện sự khác biệt. Cuối cùng, khi kết nối với bác sĩ hoặc bác sĩ qua hội nghị truyền hình, các kết nối phải được bảo mật. Cho dù đó là hội nghị Zoom được bảo vệ bằng mật khẩu hay kết nối được mã hóa thông qua dịch vụ tập trung vào sức khỏe từ xa, bệnh nhân nên hỏi các chuyên gia y tế của họ về các biện pháp bảo mật được thực hiện trước khi tiếp tục cuộc hẹn.
Thực hiện các bản vá dựa trên mức độ rủi ro
Các tổ chức chăm sóc sức khỏe nên tập trung nhiều hơn vào rủi ro chứ không chỉ an ninh, George nói. Nếu không tính đến rủi ro, việc quản lý và vá lỗ hổng bảo mật truyền thống có thể dẫn đến việc sử dụng tài nguyên không hiệu quả và có khả năng sửa chữa các lỗ hổng không liên quan. Ngay cả các tổ chức y tế quy mô vừa phải đối mặt với hàng nghìn lỗ hổng – và đó là lý do tại sao họ thường đấu tranh để ưu tiên các nỗ lực giảm thiểu của họ.
Phương pháp quản lý lỗ hổng dựa trên rủi ro có tính đến các mối đe dọa, lỗ hổng và tác động kinh doanh. Vì vậy, đối với các tổ chức chăm sóc sức khỏe, các hệ thống có tác động kinh doanh cao, chẳng hạn như máy thở, máy quét CT và máy X-quang, cũng như những hệ thống lưu giữ thông tin sức khỏe được bảo vệ theo HIPAA, nên được ưu tiên hàng đầu để vá lỗi.
CISA và FBI đã xác định danh sách 10 lỗ hổng phổ biến cần ưu tiên – một nơi tốt để bắt đầu cho các nhóm bảo mật tại các tổ chức y tế đang cố gắng tìm ra cách sử dụng các nguồn lực khan hiếm, Joshua Corman, cố vấn đặc biệt cấp cao tại CISA cho biết thêm về các vấn đề liên quan đến COVID và an toàn công cộng.
Chạy một tình huống mô phỏng về sự cố Ransomware
Corman của CISA nói rằng các tổ chức y tế cần suy nghĩ về ransomware trước khi sự cố xảy ra. Ông khuyên nên tổ chức một mô phỏng trên mặt bàn phác thảo các bước cụ thể cần thực hiện – tương tự như một cuộc diễn tập chữa cháy – nói thêm rằng nhiều bệnh viện đã làm như vậy, hãy dành ra phần tốt hơn trong ngày để thực hiện các bài tập. CISA cung cấp một loạt các bản ghi âm và tài liệu đào tạo về cách ngăn chặn các cuộc tấn công ransomware trên trang web của mình.
Jeff Wilbur, giám đốc cấp cao tại Online Trust Alliance (OTA), cho biết loại mô phỏng mà một tổ chức thực hiện sẽ phụ thuộc vào quy mô của nó. Rõ ràng, các tổ chức nhỏ hơn có thể tập trung vào những điều cơ bản như nhận thức về bảo mật, sao lưu và vá lỗi. Nhưng dù quy mô lớn hay nhỏ, họ sẽ muốn thực hiện các diễn tập thường xuyên, tập trung vào các hệ thống cụ thể hàng tháng hoặc hàng quý và để lại các cuộc diễn tập lớn mỗi năm một lần.
Cài đặt hệ thống sao lưu tốt
Kể từ khi các trường hợp ransomware đầu tiên xuất hiện trong ngành, việc phát triển một chương trình sao lưu tốt đã trở thành trung tâm của việc phòng thủ ransomware. Sau cùng, nếu kẻ tấn công đã đóng băng dữ liệu của bạn và bạn có một bản sao lưu có thể khôi phục lại những gì đã được lấy ngay trong ngày hôm đó, kẻ tấn công đã mất đòn bẩy của mình. Nhưng George của Centrify nói rằng nó còn vượt xa hơn thế. Các tổ chức cũng phải kiểm tra hệ thống sao lưu của họ thường xuyên để đảm bảo rằng chúng đang hoạt động.
Các chuyên gia bảo mật khuyên các tổ chức chăm sóc sức khỏe không nên quá lo lắng về xu hướng mới trong đó các cuộc tấn công ransomware không chỉ mã hóa hệ thống của tổ chức mà còn lấy cắp dữ liệu và đe dọa sẽ công bố dữ liệu đó nếu tiền chuộc không được trả. George giải thích, chỉ một tỷ lệ nhỏ các cuộc tấn công ransomware đã thực hiện thêm bước này, có thể là do nó khiến bọn tội phạm mạng tăng nguy cơ bị cơ quan thực thi pháp luật phát hiện và nhận dạng.
George cảnh báo: “Mặc dù sao lưu dữ liệu là một lựa chọn tốt để đảm bảo tính liên tục của hoạt động kinh doanh, nhưng nó sẽ không ngăn cản một tác nhân đe dọa lấy cắp dữ liệu nhạy cảm. “Vì vậy, trong khi tổ chức có thể nhanh chóng trở lại hoạt động kinh doanh bình thường, thì tổ chức không được miễn trừ rủi ro do tin tặc đăng dữ liệu bị mất lên mạng. đào tạo nâng cao nhận thức, lập danh sách cho phép ứng dụng, quản lý bản vá, bộ lọc spam, chống phần mềm độc hại và ít đặc quyền nhất. “
Hướng tới phương pháp tiếp cận quản lý quyền truy cập đặc quyền
Các tổ chức chăm sóc sức khỏe cũng cần điều chỉnh các chiến lược bảo mật của mình để phù hợp với các mối đe dọa hiện đại, tránh xa các mật khẩu lỗi thời (và thường cẩu thả) và quyền truy cập đặc quyền không an toàn và chuyển sang kiểm soát truy cập quản trị dựa trên cách tiếp cận ít đặc quyền nhất.
George của Centrify cho biết các tổ chức có thể bắt đầu bằng cách thực thi “vùng truy cập” hạn chế quyền truy cập của người dùng có đặc quyền vào các hệ thống cụ thể và yêu cầu MFA tiếp cận các nội dung bên ngoài từng vùng cụ thể. Nếu không có thử thách MFA, ransomware có thể lây lan sang các hệ thống khác, ông lưu ý. Bằng cách phân vùng các hệ thống và đơn vị tổ chức cụ thể, ransomware có thể lây lan nhưng không lây lan đến những hệ thống yêu cầu xác minh người dùng bổ sung.
Tiếp theo, các tổ chức nên cấp cho người dùng đặc quyền vừa đủ quyền truy cập vào các tài nguyên để thực hiện công việc được yêu cầu. Cuối cùng, các tổ chức nên thực hiện quy trình công việc yêu cầu truy cập và phê duyệt. Họ có thể thực hiện điều này bằng cách điều chỉnh việc nâng cao đặc quyền với các yêu cầu truy cập tự phục vụ và phê duyệt nhiều tầng để nắm được ai đã phê duyệt quyền truy cập và bối cảnh liên quan đến yêu cầu.
Mua thiết bị IoT với bảo mật đã được chứng minh
Có vô số thiết bị y tế nhỏ và nhỏ kiểm tra mọi thứ, từ số bước người đi bộ đến huyết áp và nhịp tim. Điều đó có nghĩa là các đội an ninh tại các bệnh viện và cơ sở y tế cần phải làm việc chặt chẽ hơn để chọn thiết bị cho bệnh nhân đáp ứng các yêu cầu y tế của bác sĩ, nhưng làm như vậy một cách an toàn, Wilbur của OTA nói. Các thiết bị Internet of Things (IoT) nổi tiếng là đi kèm với mật khẩu mặc định, không có mã hóa và đối với nhiều người, thiếu các bản cập nhật phần mềm.
Các bác sĩ cần hợp tác chặt chẽ hơn với nhóm CNTT để các sản phẩm mà họ giới thiệu cho bệnh nhân cũng cần lưu ý đến tính bảo mật. Wilbur cho biết, thực tiễn có thể xếp hạng các sản phẩm hàng hóa, người cũng khuyến nghị các nhóm bảo mật tham gia với các nhóm thương mại bảo mật để hợp tác chặt chẽ hơn với các nhà cung cấp IoT để các sản phẩm này được xây dựng với các biện pháp kiểm soát bảo mật tốt hơn.
Một số nỗ lực đang được tiến hành, hầu hết đều bắt đầu với khái niệm về một tập hợp các khả năng bảo mật cơ bản, ông nói. Ở một số quốc gia / khu vực, chúng sau đó được đưa vào luật hoặc kết hợp vào chương trình dán nhãn để đưa ra các chỉ số về an ninh sản phẩm. Có một chủ đề chung cho tất cả các đề xuất này: không có mật khẩu mặc định, phần mềm có thể cập nhật, thông tin liên lạc và lưu trữ dữ liệu được mã hóa và cơ chế tiết lộ lỗ hổng bảo mật.
Thegioibantin.com | Vina-Aspire News
Nguồn: darkreading.com