Cybermotståndskraft för resten av oss: Att få det att hända med en verklig budget
Molnsäkerhetspodcast EP240 – Google
Programledarna Anton Chuvakin och Timothy Peacock pratar med branschexperter om några av de mest intressanta områdena inom molnsäkerhet.
Gäst: Errol Weiss – ämnen: Molnsäkerhet och hygien | Molnsäkerhetspraxis
Hur är det avgörande för företag att öka digital motståndskraft? Hur får man ledarna att gå från "bara cybersäkerhet" till "digital motståndskraft"?
Hur blir man så motståndskraftig som möjligt med tanke på resurserna? Hur blir man så motståndskraftig som möjligt med minsta möjliga pengar?
Hur gör man sig själv till ett mindre mål?
Mindre målinriktade åtgärder passar in i vad vissa kallar "grundläggande". Men "grundläggande" hygien är faktiskt väldigt svår för många. Vilka är dina 3 bästa hygientips för att få det att hända som faktiskt fungerar?
Vi pratar om organisationer med underresurser, men vissa har betydligt mer underresurser. Vad är ditt råd till dem med extrem brist på säkerhetsresurser?
Bedömning av leverantörssäkerhet – vad är viktigast att tänka på idag år 2025? Hur man undviker att bli hackad av sin leverantör?
Få tillgång till Google Cloud Security Podcast och de nämnda resurserna här. Klicka här
Cyberattacker kommer att fortsätta att vara en utmaning
År 2024 var cybersäkerhet en stor utmaning för sjukvårdssektorn, med flera högprofilerade attacker. En attack, som avslöjade data från rekordstora 100 miljoner amerikaner, var en "milstolpehändelse" som visade hur sammankopplad sjukvårdsindustrin är, enligt Errol Weiss, säkerhetschef på Center för delning och analys av hälsoinformation.
Läs om de tre andra trenderna i denna Advisory Board-artikel. Klicka här
Formen på AI-reglering kommer att vara osäker under Trump-administrationen i år, medan hälsovårdsföretag kommer att fortsätta att stärka cyberförsvar för att motstå ökande attacker, säger experter.
Cyberkriminella fortsätter att rikta in sig på vården
Cybersäkerhet visade sig vara en stor utmaning för sjukvårdssektorn 2024, och organisationer lägger märke till det, säger experter. Men att ta upp branschens cyberskydd till snus kommer att ta tid – och hackare kommer sannolikt inte att sluta rikta in sig på hälsovårdsföretag.
Branschen kommer efter ett år som inkluderade flera högprofilerade attacker. I början av 2024 kämpade hela hälsovårdens ekosystem för att hantera nedfallet från cyberattacken mot Change Healthcare, ett teknikföretag och skadebehandlare som ägs av industrijätten UnitedHealth.
Attacken — som avslöjade data från en rekordstora 100 miljoner amerikaner - var en "milstolpehändelse" som belyste sektorns sammanlänkade karaktär, sa Errol Weiss, säkerhetschef vid Center för delning och analys av hälsoinformation, eller Health-ISAC.
"Jag tror att det vaknade ögonblicket där var hur leverantörer kunde ha en enda felpunkt inverkan på leveransen av sjukvård," sa Weiss.
New York Blood Center (NYBC) sa att det drabbats av en ransomware-attack som störde verksamheten och tvingade den att boka om vissa operationer.
Cyberattacker på bloddonationscentra har föranlett Center för delning och analys av hälsoinformation (Health-ISAC) och American Hospital Association (AHA) för att utfärda en gemensam hotbulletin varning för potentiella störningar i leveranskedjan.
"Den senaste ransomware-attacken mot New York Blood Center (NYBC) fungerar som en väckarklocka för organisationer över sektorer, särskilt de inom kritiska tjänster som sjukvård", säger Roei Sherman, Field CTO på Mitiga. "Som en av världens största oberoende blodinsamlings- och distributionsorganisationer undergräver denna incident inte bara deras operativa kapacitet utan äventyrar potentiellt folkhälsan."
Initiativet syftar till att stärka säkerheten för EU-medlemssjukhus, vårdgivare
Errol Weiss, säkerhetschef för Hälsa-ISAC i USA, sade EU-kommissionens handlingsplan kommer vid en tidpunkt då hälsovårdsorganisationer fortfarande kämpar för att få tillräckligt med finansiering för att försvara sina nätverk ordentligt.
"Problemet ses i EU, USA och globalt. Sjukvårdsorganisationer behöver resurser – inte bara den teknik som behövs för att skydda dessa nätverk utan också de erfarna infosec-personalen för att köra dessa system”, sa han. "Jag är glad att kommissionen inser värdet som ISAC tillför för att skydda organisationer och förbättra säkerheten genom informationsdelning och samarbete", sa han.
De som ansvarar för att skydda sin digitala infrastruktur förstår att genom att dela information skyddar de inte bara sig själva utan stärker också säkerheten för hela det digitala ekosystemet, sa Weiss.
År 2023 samarbetade Health-ISAC med European Health ISAC för att dra nytta av "den globala styrkan" i Health-ISAC:s medlemskap genom att synliggöra hot i över 140 länder med European Health ISAC:s styrka av gemenskap och lokala perspektiv, sade han.
"Vi måste enas och vara vaksamma mot cyberhot," sade han. "Med Health-ISAC och European Health ISAC som verkar tillsammans i EU kan vi skapa en säkrare gemenskap där hälso- och sjukvårdsorganisationer drar nytta av förbättrad synlighet av hot och sårbarheter, plus att de drar nytta av att dela bästa praxis och andra viktiga insikter som i slutändan förbättrar patientsäkerheten .”
Experter ger råd för hantering av växande lager, resurser för leverantörer
HSCC:s ”Health Industry Cybersecurity – Managing Legacy Technology Security” – eller HIC-MaLTS – vägledning erbjuder organisationer bästa praxis som kan användas för att hantera cyberrisker med äldre medicinsk teknik, säger Phil Englert, vice VD för medicinsk utrustningssäkerhet på Health Information Delnings- och analyscenter.
HIC-MaLTS tar sig an vanliga cybersäkerhetsutmaningar inom sjukvården. Till exempel, "många olika typer av medicinsk utrustning och de olika platser där de används har unika riskprofiler och inkluderar bland annat diagnostiska, terapeutiska, bärbara, implanterbara och mjukvara-som-medicinsk utrustning som kan användas. på sjukhus, kliniker och andra icke-kliniska och hemsjukvårdsmiljöer”, sa han.
Även i denna artikel:
fyra livscykelfaser för medicinsk utrustning
"system-view" inventeringar kombinerat med segmentering och nätverksåtkomstkontroller
HSCC:s modellavtalsspråk för Medtech Cybersecurity
Läs artikeln i Healthcare Infosecurity här. Klicka här
Läs hela artikeln i Information Security Buzz. Klicka här
Sedan 1996, Health Insurance Portability and Accountability Act (HIPAA) har varit hörnstenen i patienternas integritet. Lagen fastställde standarder för hur vårdorganisationer hanterar och delar patientdata, vilket skapar ett ramverk för att säkerställa sekretess.
Men sjukvårdslandskapet har förändrats dramatiskt och med det har riskerna mångdubblats. Nya cyberhot och komplexa sårbarheter har avslöjat kritiska luckor i HIPAA:s skydd. Som svar på detta, driver lagstiftare fram ny lagstiftning som syftar till att stärka vårdorganisationer mot den eskalerande vågen av cyberattacker.
Förra året presenterade lagstiftare två lagförslag – Healthcare Cybersecurity Act från 2024 och Health Infrastructure Security and Accountability Act från 2024 (HISAA) – som syftar till att modernisera skyddet för känslig hälsodata. Även om dessa åtgärder utgör ett viktigt steg framåt, förblir de avstannade i lagstiftningsprocessen och har ännu inte blivit lag.
Och även om de antas, kan den begränsade omfattningen och tillämpningsmekanismerna som beskrivs i dessa lagförslag misslyckas med att ta itu med de eskalerande cyberhoten som plågar vårt alltmer digitala sjukvårdssystem. Utan ett mer heltäckande och aggressivt angreppssätt riskerar dessa initiativ att ses som symboliska gester i en kamp som kräver brådskande och beslutsamma åtgärder.
Läs vidare för att få en fullständig förståelse för båda räkningarna, inklusive
Phil Englert och vår värd Chris Blask har varit ordförande för en CISA-arbetsgrupp för delning av mjukvaruförteckningar (SBOM). Arbetsgruppen har utvecklat en process för att hjälpa ISAC:er och liknande organisationer att fastställa vilken kontrollarkitektur som är nödvändig för att hantera distributionen av SBOM:er bland sina medlemmar.
Lyssna på Inevitability Curve-podden EP14 här. Klicka här
Sjukvårdsorganisationer av alla former och storlekar kommer att hållas till en striktare standard för cybersäkerhet från och med 2025 med nya föreslagna regler, men alla har inte budgeten för det.
Sedan början har HIPAA alltid varit den bästa, men ändå otillräckliga, regleringen som dikterar cybersäkerhet för sjukvårdsindustrin.
"[Det finns] en historia av att fokus hamnat på fel plats på grund av hur HIPAA lades ut i mitten av 1990-talet", säger Errol Weiss, chief information security officer (CISO) för Healthcare Information Sharing and Analysis Center (Health-ISAC). "På den tiden var det ett stort tryck för att överföra medicinska och hälsojournaler till det elektroniska mediet. Och med tillkomsten av HIPAA-reglerna handlade det om att skydda patienternas integritet men inte nödvändigtvis att säkra dessa register."
HIPAA:s fokus på integritet begränsade dess förmåga att hantera fler olika cybersäkerhetshot på 2010-talet, särskilt ransomware. Under tiden, istället för att använda det som en baslinje för att utveckla en robust säkerhetsställning, tenderade organisationer att behandla HIPAA mer som en uppsättning rutor att kontrollera. "Det slutade driva budgetar mot efterlevnad och inte nödvändigtvis säkerhet. Och under de senaste fem eller sex åren har vi sett vad som händer i en miljö som inte är ordentligt säkrad, inte ordentligt bunden, inte ordentligt säkerhetskopierad, när de drabbas av ransomware, säger Weiss.
"Även om de redan följer alla NIST-kontroller," uppskattar Dispersives Pingree, att implementera de nya HIPAA-säkerhetsreglerna "kan kosta så lite som $100,000 XNUMX för en liten läkarmottagning, eller det kan bli många miljoner om du är en stor läkare grupp."
Ett möjligt sätt att sträckta sjukvårdsorganisationer kan navigera i alla dessa nya regler och deras tillhörande kostnader är med en utlagd, virtuell chef för informationssäkerhet (vCISO), enligt Weiss. För ”det handlar inte bara om att köpa tekniken. Det handlar också om att rekrytera och behålla den cybersäkerhetsexpertis som du behöver för att driva”, säger han.
"De här organisationerna vet inte var de ska börja", fortsätter han. "Marknaden för cybersäkerhet är väldigt förvirrande. Det är många spelare. Det finns många lösningar. Så om du har $100 att spendera på cybersäkerhet, var spenderar du det? De behöver hjälp för att kunna räkna ut allt detta. Och jag tror att något som en virtuell CISO kan hjälpa till att implementera en strategi, och sedan vara runt på en virtuell basis – för att checka in, för att vara en resurs för den organisationen när de har frågor och de behöver lite hjälp. Det verkar som en anständig modell för dessa små landsbygdssjukhus som inte nödvändigtvis kan motivera eller anställa en heltidsanställd CISO.”
Experter: Nya mandat kan vara svåra, kostsamma för många enheter
En föreslagen översyn av federala cybersäkerhetsbestämmelser för sjukvårdsindustrin kan innebära svåra och dyra tunga lyft för många organisationer, sa experter.
"Kostnaderna för att uppfylla dessa bestämmelser kommer att bli enorma," sa Errol Weiss, chefssäkerhetsofficer för centrat för delning och analys av hälsoinformation. "Var kommer pengarna ifrån för att betala för allt detta? Det kan inte bero på framtida besparingar från undvikade överträdelsepåföljder. Ekonomiskt ansträngda vårdgivare, särskilt små sjukhus på landsbygden, har inte resurserna att stödja dessa nya förslag”, sa han.
Alla regulatoriska krav som detta kommer att behöva komma med finansieringshjälp så att vårdgivare kan skaffa rätt teknik och, ännu viktigare, rekrytera och behålla erfarna cybersäkerhetsproffs för att adekvat skydda sina nätverk, sa Weiss.
Google samarbetar med Health-ISAC för att leverera innovativa utbildningsprogram, cybersäkerhetsunderrättelseprogram och andra resurser för hälsovårdssystem på landsbygden.
Cyberattacker mot sjukvårdsorganisationer stör deras förmåga att operera och äventyrar patientvården. Sjukvårdssystem på landsbygden i USA betjänar 60 miljoner människor och är i hjärtat av otaliga samhällen. Säkerheten för alla i ett samhälle är hotad när viktiga sjukvårdsinformationssystem är otillgängliga på grund av cyberincidenter.
Google är fast beslutet att hjälpa sårbara hälsosystem att stärka sin motståndskraft mot cyberattacker. Vi samarbetar med myndigheter och industri för att erbjuda våra tjänster, support och teknologier, vilket gör att systemen kan fokusera på patientvård.
Ett skräddarsytt initiativ för att förbättra säkerheten
Designad för lantliga sjukhus
Hälsosystem och sjukhus på landsbygden återspeglar det unika i de samhällen de betjänar, och det gör vårt erbjudande också. Den levererar en växande uppsättning säker designad Google-teknik för åtkomst och samarbete, konsult- och supporttjänster och säkerhetsutbildningsresurser till rabatt eller utan kostnad. Lösningen är anpassad efter behoven hos varje hälsoenhet på landsbygden. Vårdinrättningen bör vara belägen i ett län eller en region som utsetts till landsbygd av Administration av hälsoresurser och tjänster (HRSA).
Effektivt samarbete för att försvara sig mot och svara på cyberattacker är avgörande för att säkra sjukvården. Google är en ambassadörspartner till Health Information Sharing and Analysis Center (Health-ISAC). Health-ISAC:s uppdrag är att ge pålitliga relationer i den globala hälsovårdsindustrin för att hjälpa till att förebygga, upptäcka och svara på cybersäkerhet och fysiska säkerhetshändelser så att medlemmar kan fokusera på att förbättra hälsa och rädda liv. Google samarbetar med Health-ISAC för att leverera innovativa utbildningsprogram, cybersäkerhetsunderrättelseprogram och andra resurser för hälsovårdssystem på landsbygden.
Programutbud
De flesta av dessa kommer att erbjudas utan kostnad eller med betydande rabatter, med hänsyn till de ekonomiska begränsningar som många landsbygdssjukvårdssystem står inför. Dessutom kommer vi att tillhandahålla implementeringstjänster och stöd till berättigade organisationer. Dessa erbjudanden är endast tillgängliga i USA för närvarande.
Vi satte oss ner med Health-ISAC:s säkerhetschef Errol Weiss för att diskutera hans 25-åriga karriär som sträcker sig över bank, regering och hälsovård och identifiera de största hoten och trenderna inom cybersäkerhet som påverkar hälsovårdsbranschen under 2025 och därefter.
Unika utmaningar inom hälso- och sjukvårdens cybersäkerhet
Weiss beskrev de unika utmaningar som vårdorganisationer står inför jämfört med finansiella tjänster. Sjukvårdssystem hanterar ofta komplexa infrastrukturer, inklusive moderna molnbaserade system, äldre enheter (som MRI-maskiner med föråldrade operativsystem) och olika ekosystem för medicinsk utrustning. Denna komplexitet förvärras av en långvarig underinvestering i cybersäkerhet, med resurser som historiskt allokerats till integritet och efterlevnad (t.ex. HIPAA-regler) snarare än robusta säkerhetsåtgärder.
Han betonade att underfinansiering och brist på dedikerade Chief Information Security Officers (CISOs) inom sjukvården gör det utmanande att skydda dessa miljöer effektivt. Incidenter som ransomware-attacker har dock drivit på ökad medvetenhet och investeringar i cybersäkerhet inom sjukvården under det senaste decenniet.
