Cyberrobusthet for resten av oss: Få det til å skje på et reelt budsjett
Podcast om skysikkerhet EP240 – Google
Programlederne Anton Chuvakin og Timothy Peacock snakker med bransjeeksperter om noen av de mest interessante områdene innen skysikkerhet.
Gjest: Errol Weiss – emner: Skysikkerhet og hygiene | Skysikkerhetspraksis
Hvordan er det avgjørende for bedrifter å legge til rette for digital robusthet? Hvordan få lederne til å gå fra «bare cybersikkerhet» til «digital robusthet»?
Hvordan bli så robust som mulig gitt ressursene? Hvordan bli mest robust med minst mulig penger?
Hvordan gjøre deg selv til et mindre mål?
Mindre målrettede tiltak passer inn i det noen kaller «grunnleggende». Men «grunnleggende» hygiene er faktisk veldig vanskelig for mange. Hva er dine tre beste hygienetips for å få det til å skje som faktisk fungerer?
Vi snakker om organisasjoner med underressurser, men noen har mye mer underressurser. Hva er ditt råd til de med ekstrem mangel på sikkerhetsressurser?
Vurdering av leverandørsikkerhet – hva er viktigst å vurdere i dag i 2025? Hvordan unngå å bli hacket av leverandøren din?
Få tilgang til Google Cloud Security Podcast og de nevnte ressursene her. Klikk her
I 2024 var cybersikkerhet en stor utfordring for helsesektoren, med flere høyprofilerte angrep. Et angrep, som avslørte data fra rekordstore 100 millioner amerikanere, var en "milepælsbegivenhet" som fremhevet hvor sammenkoblet helsevesenet er, ifølge Errol Weiss, sikkerhetssjef ved Senter for deling og analyse av helseinformasjon.
Les om de tre andre trendene i denne Advisory Board-artikkelen. Klikk her
Formen på AI-reguleringen vil være usikker under Trump-administrasjonen i år, mens helseselskaper vil fortsette å styrke cyberforsvaret for å motstå økende angrep, sier eksperter.
Nettkriminelle fortsetter å målrette helsevesenet
Cybersikkerhet viste seg å være en stor utfordring for helsesektoren i 2024, og organisasjoner legger merke til det, sier eksperter. Men å bringe industriens cyberbeskyttelse opp til snus vil ta tid - og hackere vil neppe slutte å målrette helsefirmaer.
Bransjen kommer etter et år som inkluderte flere høyprofilerte angrep. Tidlig i 2024 slet hele helsevesenets økosystem med å håndtere nedfallet fra nettangrepet mot Change Healthcare, et teknologifirma og kravbehandler eid av industrigiganten UnitedHealth.
Angrepet - som avslørte data fra en rekordstore 100 millioner amerikanere - var en "milepælsbegivenhet" som fremhevet den sammenkoblede naturen til sektoren, sa Errol Weiss, hovedsikkerhetssjef ved Center for deling og analyse av helseinformasjon, eller Health-ISAC.
"Jeg tror oppvåkningsøyeblikket der var hvordan leverandører kunne ha en effekt på et enkelt feilpunkt på levering av helsetjenester," sa Weiss.
New York Blood Center (NYBC) sa at det ble utsatt for et løsepenge-angrep som forstyrret driften og tvang det til å omplanlegge noen operasjoner.
Cyberangrep på bloddonasjonssentre har ført til Senter for deling og analyse av helseinformasjon (Health-ISAC) og American Hospital Association (AHA) for å utstede en felles trusselbulletin advarsel om potensielle forstyrrelser i forsyningskjeden.
"Det nylige løsepengevareangrepet på New York Blood Center (NYBC) fungerer som en vekker for organisasjoner på tvers av sektorer, spesielt de innen kritiske tjenester som helsetjenester," sa Roei Sherman, Field CTO ved Mitiga. "Som en av verdens største uavhengige blodinnsamlings- og distribusjonsorganisasjoner undergraver denne hendelsen ikke bare deres operasjonelle kapasitet, men setter potensielt folkehelsen i fare."
Initiativet tar sikte på å styrke sikkerheten til EU-medlemssykehus, helsepersonell
Errol Weiss, sikkerhetssjef i Helse-ISAC i USA, sa EU-kommisjonens handlingsplan kommer på et tidspunkt da helseorganisasjoner fortsatt sliter med å skaffe nok finansiering til å forsvare nettverkene sine ordentlig.
"Problemet er sett i EU, USA og globalt. Helseorganisasjoner trenger ressurser – ikke bare teknologien som trengs for å beskytte disse nettverkene, men også erfarne infosec-fagfolk for å drive disse systemene, sa han. "Jeg er glad for at kommisjonen anerkjenner verdien som ISACs tilfører for å beskytte organisasjoner og forbedre sikkerheten gjennom informasjonsdeling og samarbeid," sa han.
De som har ansvaret for å beskytte deres digitale infrastruktur forstår at ved å dele informasjon, beskytter de ikke bare seg selv, men styrker også sikkerheten til hele det digitale økosystemet, sa Weiss.
I 2023 samarbeidet Health-ISAC med European Health ISAC for å utnytte «den globale styrken» til Health-ISACs medlemskap gjennom synliggjøring av trusler i over 140 land med European Health ISACs styrke av fellesskap og lokale perspektiver, sa han.
"Vi må forene oss og være årvåkne mot nettrusler," sa han. "Med Health-ISAC og European Health ISAC som opererer sammen i EU, kan vi skape et tryggere fellesskap der helseorganisasjoner drar nytte av forbedret synlighet av trusler og sårbarheter, pluss at de drar nytte av deling av beste praksis og annen nøkkelinnsikt som til slutt forbedrer pasientsikkerheten ."
Les hele artikkelen i Data Breach Today. Klikk her
Eksperter tilbyr råd for å administrere voksende varelager, ressurser for leverandører
HSCCs «Health Industry Cybersecurity – Managing Legacy Technology Security» – eller HIC-MaLTS – veiledning tilbyr organisasjoner beste praksis som kan brukes til å håndtere cyberrisikoer ved eldre medisinske teknologier, sa Phil Englert, visepresident for medisinsk utstyrssikkerhet ved Health Information Delings- og analysesenter.
HIC-MaLTS tar på seg vanlige cybersikkerhetsutfordringer i helsevesenet. For eksempel, "mange forskjellige typer medisinsk utstyr og de forskjellige stedene der de brukes har unike risikoprofiler og inkluderer blant annet diagnostiske, terapeutiske, bærbare, implanterbare og programvare-som-en-medisinsk utstyrsfunksjoner som kan brukes. på sykehus, klinikker og andre ikke-kliniske og hjemmehelsetjenester,” sa han.
Også i denne artikkelen:
fire livssyklusfaser for medisinsk utstyr
"system-view" inventar kombinert med segmentering og nettverkstilgangskontroller
HSCCs modellkontraktsspråk for Meditech Cybersecurity
Les artikkelen i Healthcare Infosecurity her. Klikk her
Les hele artikkelen i Information Security Buzz. Klikk her
Siden 1996, Health Insurance Portability and Accountability Act (HIPAA) har vært hjørnesteinen i pasientens personvern. Loven etablerte standarder for hvordan helseorganisasjoner håndterer og deler pasientdata, og skapte et rammeverk for å sikre konfidensialitet.
Men helselandskapet har endret seg dramatisk, og med det har risikoen blitt mangedoblet. Nye cybertrusler og komplekse sårbarheter har avdekket kritiske hull i HIPAAs beskyttelse. Som svar fremmer lovgivere ny lovgivning som tar sikte på å styrke helseorganisasjoner mot den eskalerende strømmen av nettangrep.
I fjor introduserte lovgivere to lovforslag – Healthcare Cybersecurity Act of 2024 og Health Infrastructure Security and Accountability Act of 2024 (HISAA) – rettet mot å modernisere beskyttelsen for sensitive helsedata. Selv om disse tiltakene representerer et viktig skritt fremover, forblir de stanset i lovgivningsprosessen og har ennå ikke blitt lov.
Og selv om de blir vedtatt, kan det begrensede omfanget og håndhevingsmekanismene som er skissert i disse lovforslagene ikke takle de eskalerende cybertruslene som plager vårt stadig mer digitale helsevesen. Uten en mer omfattende og aggressiv tilnærming risikerer disse initiativene å bli sett på som symbolske gester i en kamp som krever akutt og avgjørende handling.
Les videre for å få en full forståelse av begge regningene, inkludert
Phil Englert og vår vert Chris Blask har vært medledere i en CISA-arbeidsgruppe for deling av programvarestyklister (SBOM). Arbeidsgruppen har utviklet en prosess for å hjelpe ISAC-er og lignende organisasjoner med å bestemme kontrollarkitekturen som er nødvendig for å administrere distribusjonen av SBOM-er blant medlemmene.
Lytt til Inevitability Curve-podcasten EP14 her. Klikk her
Helseorganisasjoner av alle former og størrelser vil bli holdt til en strengere standard for cybersikkerhet fra og med 2025 med nye foreslåtte regler, men ikke alle har budsjett til det.
Siden begynnelsen har HIPAA alltid vært den beste, men likevel utilstrekkelige, reguleringen som dikterer cybersikkerhet for helsesektoren.
"[Det er] en historie med fokus på feil sted på grunn av måten HIPAA ble lagt ut på midten av 1990-tallet," sier Errol Weiss, Chief Information Security Officer (CISO) ved Healthcare Information Sharing and Analysis Center (Health-ISAC). "På den tiden var det et stort press for å overføre medisinske og helsejournaler til det elektroniske mediet. Og med bruken av HIPAA-regelverket handlet det om å beskytte pasientens personvern, men ikke nødvendigvis å sikre disse postene.»
HIPAAs fokus på personvern begrenset dens evne til å håndtere flere forskjellige cybersikkerhetstrusler på 2010-tallet, spesielt løsepengevare. I mellomtiden, i stedet for å bruke det som en baseline for å utvikle en robust sikkerhetsstilling, hadde organisasjoner en tendens til å behandle HIPAA mer som et sett med bokser å sjekke. «Det endte opp driver budsjetter mot samsvar og ikke nødvendigvis sikkerhet. Og i løpet av de siste fem-seks årene har vi sett hva som skjer i et miljø som ikke er ordentlig sikret, ikke ordentlig bundet, ikke forsvarlig sikkerhetskopiert, når de blir rammet av løsepengeprogramvare, sier Weiss.
"Selv om de allerede følger alle NIST-kontrollene," anslår Dispersives Pingree, at implementering av de nye HIPAA-sikkerhetsreglene "kan koste så lavt som $100,000 XNUMX for et lite legekontor, eller det kan være mange millioner hvis du er en stor medisinsk person. gruppe."
En mulig måte utstrakte helseorganisasjoner kan navigere i alle disse nye reglene og deres tilknyttede kostnader er med en outsourcet, virtuell sjef for informasjonssikkerhet (vCISO), ifølge Weiss. For «det handler ikke bare om å kjøpe teknologien. Det handler også om å rekruttere og beholde cybersikkerhetsekspertisen som du trenger for å drive, sier han.
"Disse organisasjonene vet ikke hvor de skal begynne," fortsetter han. "Nettsikkerhetsmarkedet er veldig forvirrende. Det er mange spillere. Det er mange løsninger. Så hvis du har $100 å bruke på cybersikkerhet, hvor bruker du det? De trenger hjelp til å finne ut av alt dette. Og jeg tror noe sånt som en virtuell CISO kan hjelpe med å implementere en strategi, og deretter være rundt på en virtuell basis - for å sjekke inn, for å være en ressurs for den organisasjonen når de har spørsmål og de trenger litt hjelp. Det virker som en anstendig modell for disse små landlige sykehusene som ikke nødvendigvis kunne rettferdiggjøre eller ansette en CISO på heltid.»
Eksperter: Nye mandater kan være vanskelige, kostbare for mange enheter
En foreslått overhaling av føderale cybersikkerhetsbestemmelser for helsesektoren kan bety vanskelige og dyre tunge løft for mange organisasjoner, sa eksperter.
"Kostnadene for å oppfylle disse bestemmelsene vil være enorme," sa Errol Weiss, hovedsikkerhetsoffiser ved senteret for deling og analyse av helseinformasjon. «Hvor kommer pengene fra for å betale for alt dette? Det kan ikke være fra fremtidige besparelser fra unngåtte bruddstraff. Økonomisk anstrengte helsetjenester, spesielt små sykehus på landsbygda, har ikke ressurser til å støtte disse nye forslagene, sa han.
Eventuelle regulatoriske krav som dette må komme med finansieringshjelp slik at helsepersonell kan skaffe seg riktig teknologi og, enda viktigere, rekruttere og beholde erfarne cybersikkerhetsprofesjonelle for å beskytte nettverkene deres på en adekvat måte, sa Weiss.
Les hele artikkelen i Bank InfoSecurity. Klikk her
Google samarbeider med Health-ISAC for å levere innovative opplæringsprogrammer, etterretningsprogrammer for cybersikkerhet og andre ressurser for helsesystemer på landsbygda.
Cyberangrep på helseorganisasjoner forstyrrer deres evne til å operere og setter pasientbehandlingen i fare. Landlige helsetjenester i USA betjener 60 millioner mennesker og er i hjertet av utallige lokalsamfunn. Sikkerheten til alle i et fellesskap er truet når kritiske helseinformasjonssystemer er utilgjengelige på grunn av cyberhendelser.
Google er forpliktet til å hjelpe sårbare helsesystemer med å styrke deres motstandskraft mot nettangrep. Vi samarbeider med myndigheter og industri for å tilby våre tjenester, støtte og teknologier, slik at systemene kan fokusere på pasientbehandling.
Et skreddersydd tiltak for å forbedre sikkerheten
Designet for landlige sykehus
Landlige helsesystemer og sykehus gjenspeiler det unike ved lokalsamfunnene de betjener, og det samme gjør tilbudet vårt. Den leverer et voksende sett med sikker-by-design Google-teknologi for tilgang og samarbeid, konsulent- og støttetjenester og sikkerhetsopplæringsressurser til en rabatt eller ingen kostnad. Løsningen er tilpasset behovene til hver distriktshelseenhet. Helseinstitusjonen bør ligge i et fylke eller en region utpekt som landlig av Helseressurser og tjenester Administrasjon (HRSA).
Effektivt samarbeid for å forsvare seg mot og svare på cyberangrep er avgjørende for å sikre helsetjenester. Google er en ambassadørpartner til Helseinformasjonsdelings- og analysesenteret (Health-ISAC). Health-ISACs oppgave er å styrke pålitelige relasjoner i den globale helsesektoren for å bidra til å forhindre, oppdage og svare på cybersikkerhet og fysiske sikkerhetshendelser, slik at medlemmene kan fokusere på å forbedre helsen og redde liv. Google samarbeider med Health-ISAC for å levere innovative opplæringsprogrammer, etterretningsprogrammer for cybersikkerhet og andre ressurser for helsesystemer på landsbygda.
Programtilbud
De fleste av disse vil bli tilbudt uten kostnad eller med betydelige rabatter, og erkjenner de økonomiske begrensningene mange landlige helsetjenester står overfor. I tillegg vil vi tilby implementeringstjenester og støtte til kvalifiserte organisasjoner. Disse tilbudene er bare tilgjengelige i USA for øyeblikket.
Vi satte oss ned med Health-ISAC Chief Security Officer Errol Weiss for å diskutere hans 25-årige karriere som spenner over bank, myndigheter og helsetjenester og identifisere de største cybersikkerhetstruslene og trendene som påvirker helsesektoren i 2025 og utover.
Unike utfordringer innen cybersikkerhet i helsevesenet
Weiss beskrev de unike utfordringene helseorganisasjoner står overfor sammenlignet med finansielle tjenester. Helsesystemer administrerer ofte komplekse infrastrukturer, inkludert moderne skybaserte systemer, eldre enheter (som MR-maskiner med utdaterte operativsystemer) og ulike økosystemer for medisinsk utstyr. Denne kompleksiteten er forsterket av en langvarig underinvestering i cybersikkerhet, med ressurser historisk allokert mot personvern og samsvar (f.eks. HIPAA-forskrifter) i stedet for robuste sikkerhetstiltak.
Han understreket at underfinansiering og mangel på dedikerte Chief Information Security Officers (CISOer) i helsevesenet gjør det utfordrende å beskytte disse miljøene effektivt. Imidlertid har hendelser som løsepengevareangrep drevet økt bevissthet og investering i cybersikkerhet i helsevesenet det siste tiåret.
