Cyber Resiliency for the Rest of Us: Making It Happen on a Real-World Budget
Cloud Security Podcast EP240 – Google
Ang mga host na sina Anton Chuvakin at Timothy Peacock ay nakikipag-usap sa mga eksperto sa industriya tungkol sa ilan sa mga pinakakawili-wiling lugar ng seguridad sa ulap.
Panauhin: Errol Weiss – mga paksa: Cloud Security and Hygiene | Mga Kasanayan sa Cloud Security
Paano mahalaga ang pagdaragdag ng digital resilience para sa mga negosyo? Paano gawing "digital resilience" ang mga pinuno mula sa "cybersecurity lang"?
Paano maging pinakamatatag na mabibigyan ka ng mga mapagkukunan? Paano maging ang pinaka-nababanat na may pinakamababang halaga ng pera?
Paano gawing mas maliit na target ang iyong sarili?
Ang mas maliit na target na mga panukala ay umaangkop sa tinatawag ng ilan na "mga pangunahing kaalaman." Ngunit ang "Basic" na kalinisan ay talagang napakahirap para sa marami. Ano ang iyong nangungunang 3 tip sa kalinisan para magawa ito na talagang gumagana?
Pinag-uusapan natin ang tungkol sa mga under-resources org, ngunit ang ilan ay higit na kulang sa resource, ano ang payo mo para sa mga may matinding kakulangan ng mga mapagkukunang panseguridad?
Pagtatasa ng seguridad ng vendor – ano ang pinakamahalagang isaalang-alang ngayon sa 2025? Paano hindi ma-hack sa pamamagitan ng iyong vendor?
I-access ang Google Cloud Security Podcast at ang mga nabanggit na mapagkukunan dito. Pindutin dito
Ang cyberattacks ay patuloy na magiging isang hamon
Noong 2024, ang cybersecurity ay isang malaking hamon para sa sektor ng pangangalagang pangkalusugan, na may maraming high-profile na pag-atake. Ang isang pag-atake, na naglantad ng data mula sa isang 100 milyong Amerikano na sumisira sa rekord, ay isang "milestone event" na nag-highlight kung gaano magkakaugnay ang industriya ng pangangalagang pangkalusugan, ayon kay Errol Weiss, punong opisyal ng seguridad sa Sentro ng Pagbabahagi at Pagsusuri ng Impormasyong Pangkalusugan.
Basahin ang tungkol sa iba pang tatlong trend sa artikulong ito ng Advisory Board. Pindutin dito
Ang hugis ng regulasyon ng AI ay magiging hindi tiyak sa ilalim ng administrasyong Trump sa taong ito, habang ang mga kumpanya ng pangangalagang pangkalusugan ay magpapatuloy na palakasin ang mga panlaban sa cyber upang mapaglabanan ang pagtaas ng mga pag-atake, sabi ng mga eksperto.
Patuloy na tinatarget ng mga cybercriminal ang pangangalagang pangkalusugan
Ang cybersecurity ay napatunayang isang malaking hamon para sa sektor ng pangangalagang pangkalusugan noong 2024, at napapansin ng mga organisasyon, sabi ng mga eksperto. Ngunit ang pagdadala sa mga cyber protection ng industriya hanggang sa snuff ay magtatagal — at malamang na hindi titigil ang mga hacker sa pag-target sa mga healthcare firm.
Ang industriya ay darating sa isang taon na may kasamang maraming high-profile na pag-atake. Noong unang bahagi ng 2024, nahirapan ang buong ecosystem ng healthcare na pamahalaan ang pagbagsak mula sa cyberattack laban sa Change Healthcare, isang kumpanya ng teknolohiya at naghahabol ng processor na pagmamay-ari ng higanteng industriya na UnitedHealth.
Ang pag-atake — na naglantad ng data mula sa a record-breaking 100 milyong Amerikano - ay isang "milestone event" na itinampok ang magkakaugnay na katangian ng sektor, sabi Errol Weiss, punong opisyal ng seguridad sa Health Information Sharing and Analysis Center, o Health-ISAC.
"Sa palagay ko ang sandali ng paggising ay kung paano maaaring magkaroon ng isang punto ng pagkabigo ang mga supplier sa paghahatid ng pangangalagang pangkalusugan," sabi ni Weiss.
Basahin ang buong artikulo sa Healthcare Dive. Pindutin dito
Sinabi ng New York Blood Center (NYBC) na dumanas ito ng ransomware attack na nakagambala sa mga operasyon at pinilit itong mag-reschedule ng ilang operasyon.
Ang mga pag-atake sa cyber sa mga sentro ng donasyon ng dugo ay nag-udyok sa Health Information Sharing and Analysis Center (Health-ISAC) at ang American Hospital Association (AHA) na mag-isyu ng a joint threat bulletin babala ng mga potensyal na pagkagambala sa supply chain.
"Ang kamakailang pag-atake ng ransomware sa New York Blood Center (NYBC) ay nagsisilbing isang wake-up call para sa mga organisasyon sa iba't ibang sektor, lalo na sa mga kritikal na serbisyo tulad ng pangangalaga sa kalusugan," sabi ni Roei Sherman, Field CTO sa Mitiga. “Bilang isa sa pinakamalaking independiyenteng organisasyon ng koleksyon at pamamahagi ng dugo sa buong mundo, ang insidenteng ito ay nagpapahina hindi lamang sa kanilang kapasidad sa pagpapatakbo ngunit potensyal na mapanganib ang kalusugan ng publiko."
Basahin ang buong artikulo sa CPO Magazine. Pindutin dito
Nilalayon ng Inisyatiba na Palakasin ang Seguridad ng Mga Ospital ng Miyembro ng EU, Mga Provider ng Pangangalaga sa Kalusugan
Errol Weiss, punong opisyal ng seguridad ng Health-ISAC sa US, sinabi na ang plano ng aksyon ng komisyon ng EU ay dumating sa panahon na ang mga organisasyon ng pangangalagang pangkalusugan ay nagpupumilit pa rin na makakuha ng sapat na pondo upang maipagtanggol nang maayos ang kanilang mga network.
"Ang problema ay nakikita sa EU, US at sa buong mundo. Ang mga organisasyon ng pangangalagang pangkalusugan ay nangangailangan ng mga mapagkukunan - hindi lamang ang teknolohiyang kailangan upang protektahan ang mga network na iyon kundi pati na rin ang mga karanasang propesyonal sa infosec upang patakbuhin ang mga system na iyon, "sabi niya. "Natutuwa akong kinikilala ng komisyon ang halaga na dinadala ng mga ISAC sa pagprotekta sa mga organisasyon at pagpapabuti ng seguridad sa pamamagitan ng pagbabahagi ng impormasyon at pakikipagtulungan," sabi niya.
Nauunawaan ng mga sinisingil sa pagprotekta sa kanilang mga digital na imprastraktura na sa pamamagitan ng pagbabahagi ng impormasyon, hindi lamang nila pinoprotektahan ang kanilang mga sarili ngunit pinalalakas din nila ang seguridad ng buong digital ecosystem, sabi ni Weiss.
Noong 2023, ang Health-ISAC ay nakipagsosyo sa European Health ISAC upang magamit ang "global na lakas" ng membership ng Health-ISAC sa pamamagitan ng pagpapakita ng mga banta sa mahigit 140 bansa na may lakas ng European Health ISAC ng komunidad at mga lokal na pananaw, aniya.
"Kailangan nating magkaisa at manatiling mapagbantay laban sa mga cyberthreats," sabi niya. “Sa Health-ISAC at European Health ISAC na gumagana nang magkasama sa EU, makakagawa tayo ng isang mas ligtas na komunidad kung saan nakikinabang ang mga organisasyon sa pangangalagang pangkalusugan mula sa pinahusay na visibility ng mga banta at kahinaan, at nakikinabang sila sa pagbabahagi ng pinakamahuhusay na kagawian at iba pang mahahalagang insight na sa huli ay nagpapabuti sa kaligtasan ng pasyente .”
Basahin ang buong artikulo sa Data Breach Today. Pindutin dito
Nag-aalok ang Mga Eksperto ng Payo para sa Pamamahala ng Mga Lumalagong Imbentaryo, Mga Mapagkukunan para sa Mga Provider
Ang “Health Industry Cybersecurity – Managing Legacy Technology Security” ng HSCC – o HIC-MaLTS – na patnubay ng HSCC ay nag-aalok sa mga organisasyon ng pinakamahuhusay na kagawian na magagamit upang pamahalaan ang mga panganib sa cyber ng mga legacy na teknolohiyang medikal, sabi ni Phil Englert, vice president ng seguridad ng medikal na device sa Health Information Sentro ng Pagbabahagi at Pagsusuri.
Ang HIC-MaLTS ay humaharap sa mga karaniwang hamon sa cybersecurity sa healthcare. Halimbawa, "maraming iba't ibang uri ng mga medikal na device at ang magkakaibang lokasyon kung saan ginagamit ang mga ito ay nagtataglay ng mga natatanging profile ng panganib at may kasamang diagnostic, therapeutic, wearable, implantable at software-as-a-medical na mga feature, bukod sa iba pa, na magagamit. sa mga ospital, klinika, at iba pang mga setting ng pangangalagang pangkalusugan na hindi klinika at tahanan,” aniya.
Gayundin sa artikulong ito:
apat na yugto ng ikot ng buhay ng mga kagamitang medikal
"system-view" na mga imbentaryo na pinagsama sa segmentation at mga kontrol sa access sa network
Modelong Contract-Language ng HSCC para sa Medtech Cybersecurity
Basahin ang artikulo sa Healthcare Infosecurity dito. Pindutin dito
Basahin ang buong artikulo sa Information Security Buzz. Pindutin dito
Mula noong 1996, ang Health Insurance Portability and Accountability Act (HIPAA) ay naging pundasyon ng privacy ng pasyente. Ang batas ay nagtatag ng mga pamantayan para sa kung paano pinangangasiwaan at pagbabahagi ng mga organisasyon ng pangangalagang pangkalusugan ang data ng pasyente, na lumilikha ng isang balangkas para sa pagtiyak ng pagiging kumpidensyal.
Ngunit ang tanawin ng pangangalagang pangkalusugan ay kapansin-pansing nagbago, at kasama nito, ang mga panganib ay dumami. Ang mga umuusbong na banta sa cyber at kumplikadong mga kahinaan ay naglantad ng mga kritikal na puwang sa mga proteksyon ng HIPAA. Bilang tugon, isinusulong ng mga mambabatas ang bagong batas na naglalayong palakasin ang mga organisasyon ng pangangalagang pangkalusugan laban sa lumalalang pag-atake ng cyber.
Noong nakaraang taon, ipinakilala ng mga mambabatas ang dalawang panukalang batas – ang Healthcare Cybersecurity Act of 2024 at ang Health Infrastructure Security and Accountability Act of 2024 (HISAA) – na naglalayong gawing moderno ang mga proteksyon para sa sensitibong data ng kalusugan. Bagama't ang mga hakbang na ito ay kumakatawan sa isang mahalagang hakbang pasulong, nananatili silang natigil sa proseso ng pambatasan at hindi pa nagiging batas.
At, kahit na maisabatas ang mga ito, ang limitadong saklaw at mga mekanismo ng pagpapatupad na nakabalangkas sa mga panukalang batas na ito ay maaaring hindi matugunan ang mga dumaraming banta sa cyber na sumasalot sa ating lalong digital na sistema ng pangangalagang pangkalusugan. Kung walang mas komprehensibo at agresibong diskarte, ang mga hakbangin na ito ay nanganganib na makita bilang mga simbolikong kilos sa isang labanan na nangangailangan ng madalian at mapagpasyang aksyon.
Magbasa pa upang makakuha ng ganap na pag-unawa sa parehong mga panukalang batas, kabilang ang
Pagprotekta sa hindi tradisyunal na data ng kalusugan
Si Phil Englert at ang aming host na si Chris Blask ay co-chairing ng isang CISA working group sa software bill of materials (SBOM) sharing. Ang grupong nagtatrabaho ay bumuo ng isang proseso upang matulungan ang mga ISAC at mga katulad na organisasyon na matukoy ang control architecture na kinakailangan upang pamahalaan ang pamamahagi ng mga SBOM sa kanilang mga miyembro.
Makinig sa Inevitability Curve podcast EP14 dito. Pindutin dito
Ang mga organisasyon ng pangangalagang pangkalusugan sa lahat ng hugis at sukat ay gaganapin sa isang mas mahigpit na pamantayan ng cybersecurity simula sa 2025 na may mga bagong iminungkahing panuntunan, ngunit hindi lahat ay may badyet para dito.
Mula sa simula, ang HIPAA ay palaging ang pinakamahusay, ngunit hindi sapat, na regulasyon na nagdidikta ng cybersecurity para sa industriya ng pangangalagang pangkalusugan.
"[May] isang kasaysayan ng pagtutok sa maling lugar dahil sa paraan ng paglalatag ng HIPAA noong kalagitnaan ng dekada 1990," sabi ni Errol Weiss, punong opisyal ng seguridad ng impormasyon (CISO) ng Healthcare Information Sharing and Analysis Center (Health-ISAC). "Noong panahong iyon, nagkaroon ng malaking pagtulak na ilipat ang mga rekord ng medikal at kalusugan sa electronic medium. At sa pagdating ng mga regulasyon ng HIPAA, lahat ito ay tungkol sa pagprotekta sa privacy ng pasyente ngunit hindi kinakailangang pag-secure ng mga rekord na iyon.
Ang pagtutok ng HIPAA sa privacy ay naglimita sa kakayahan nitong tugunan ang mas magkakaibang mga banta sa cybersecurity noong 2010s, partikular na ang ransomware. Samantala, sa halip na gamitin ito bilang baseline para sa pagbuo ng isang matatag na postura ng seguridad, mas itinuturing ng mga organisasyon ang HIPAA bilang isang hanay ng mga kahon upang suriin. “Natapos na nagtutulak ng mga badyet tungo sa pagsunod at hindi kinakailangang seguridad. At sa nakalipas na lima o anim na taon, nakita namin kung ano ang nangyayari sa isang kapaligiran na hindi maayos na na-secure, hindi maayos na nakatali, hindi maayos na naka-back up, kapag sila ay natamaan ng ransomware,” sabi ni Weiss.
"Kahit na sinusunod na nila ang lahat ng kontrol ng NIST," pagtatantya ng Pingree ng Dispersive, ang pagpapatupad ng mga bagong panuntunan sa seguridad ng HIPAA "ay maaaring nagkakahalaga ng kasingbaba ng $100,000 para sa isang maliit na opisina ng doktor, o maaaring milyon-milyon kung isa kang malaking medikal. grupo.”
Ang isang posibleng paraan upang ma-navigate ng mga organisasyong pangkalusugan ang lahat ng mga bagong panuntunang ito at ang kanilang mga nauugnay na gastos ay sa isang outsourced, virtual chief information security officer (vCISO), ayon kay Weiss. Dahil “hindi lang ito tungkol sa pagbili ng teknolohiya. Tungkol din ito sa pagre-recruit at pagpapanatili ng kadalubhasaan sa cybersecurity na kailangan mong patakbuhin,” sabi niya.
"Hindi alam ng mga organisasyong ito kung saan magsisimula," patuloy niya. "Ang merkado ng cybersecurity ay lubhang nakalilito. Mayroong maraming mga manlalaro. Mayroong maraming mga solusyon. Kaya kung mayroon kang $100 na gagastusin sa cybersecurity, saan mo ginagastos iyon? Kailangan nila ng tulong upang maisip ang lahat ng iyon. At sa tingin ko ang isang bagay na tulad ng isang virtual na CISO ay maaaring makatulong sa pagpapatupad ng isang diskarte, at pagkatapos ay sa paligid sa isang virtual na batayan — upang mag-check in, upang maging isang mapagkukunan para sa organisasyong iyon kapag mayroon silang mga tanong at kailangan nila ng tulong. Tila isang disenteng modelo para sa maliliit na rural na ospital na ito na hindi kinakailangang magbigay-katwiran o kumuha ng full-time na CISO."
Basahin ang buong artikulo sa Madilim na Pagbasa. Pindutin dito
Mga Eksperto: Maaaring Maging Mahirap ang Mga Bagong Utos, Magastos para sa Maraming Entidad
Ang isang iminungkahing overhaul ng mga pederal na regulasyon sa cybersecurity para sa industriya ng pangangalagang pangkalusugan ay maaaring mangahulugan ng mahirap at mahal na mabigat na pag-aangat para sa maraming organisasyon, sabi ng mga eksperto.
"Ang mga gastos para matupad ang mga probisyong ito ay magiging napakalaki," sabi Errol Weiss, punong opisyal ng seguridad ng Health Information Sharing and Analysis Center. “Saan nanggagaling ang pera para bayaran ang lahat ng ito? Hindi ito maaaring mula sa mga pagtitipid sa hinaharap mula sa pag-iwas sa mga parusa sa paglabag. Ang mga financially strained healthcare providers, lalo na ang maliliit na rural na ospital, ay walang mga mapagkukunan upang suportahan ang mga bagong panukalang ito,” aniya.
Ang anumang mga kinakailangan sa regulasyon na tulad nito ay kailangang may kasamang tulong sa pagpopondo upang ang mga tagapagbigay ng pangangalagang pangkalusugan ay makakuha ng wastong teknolohiya at, higit sa lahat, mag-recruit at mapanatili ang mga may karanasang propesyonal sa cybersecurity upang sapat na maprotektahan ang kanilang mga network, sabi ni Weiss.
Basahin ang buong artikulo sa Bank InfoSecurity. Pindutin dito
Nakikipagsosyo ang Google sa Health-ISAC upang maghatid ng mga makabagong programa sa pagsasanay, mga programa sa cybersecurity intelligence, at iba pang mapagkukunan para sa mga sistema ng kalusugan sa kanayunan.
Ang mga cyberattack sa mga organisasyon ng pangangalagang pangkalusugan ay nakakagambala sa kanilang kakayahang magpatakbo at malalagay sa alanganin ang pangangalaga sa pasyente. Ang mga rural na sistema ng pangangalagang pangkalusugan sa US ay nagsisilbi sa 60 milyong tao at nasa puso ng hindi mabilang na mga komunidad. Ang kaligtasan ng lahat sa isang komunidad ay nanganganib kapag ang mga kritikal na sistema ng impormasyon sa pangangalagang pangkalusugan ay hindi magagamit dahil sa mga insidente sa cyber.
Nakatuon ang Google sa pagtulong sa mga mahihinang sistema ng kalusugan na palakasin ang kanilang katatagan sa mga cyberattack. Nakikipagsosyo kami sa gobyerno at industriya upang mag-alok ng aming mga serbisyo, suporta, at teknolohiya, na nagbibigay-daan sa mga system na tumuon sa pangangalaga sa pasyente.
Isang iniakma na inisyatiba upang mapabuti ang seguridad
Idinisenyo para sa mga rural na ospital
Ang mga sistema ng kalusugan sa kanayunan at mga ospital ay sumasalamin sa pagiging natatangi ng mga komunidad na kanilang pinaglilingkuran, at gayundin ang aming alok. Naghahatid ito ng lumalaking hanay ng secure-by-design na teknolohiya ng Google para sa pag-access at pakikipagtulungan, mga serbisyo sa pagkonsulta at suporta, at mga mapagkukunan ng pagsasanay sa seguridad sa isang diskwento o walang bayad. Ang solusyon ay iniangkop sa mga pangangailangan ng bawat rural health entity. Ang pasilidad ng kalusugan ay dapat na matatagpuan sa isang county o rehiyon na itinalaga bilang rural ng Mga Mapagkukunan ng Kalusugan at Pangangasiwa ng Serbisyo (HRSA).
Nakikinabang sa kapangyarihan ng pakikipagtulungan sa industriya
Ang epektibong pakikipagtulungan upang ipagtanggol laban at tumugon sa mga pag-atake sa cyber ay mahalaga sa pag-secure ng pangangalagang pangkalusugan. Ang Google ay isang kasosyo sa ambasador sa Health Information Sharing and Analysis Center (Health-ISAC). Ang misyon ng Health-ISAC ay bigyang kapangyarihan ang mga pinagkakatiwalaang relasyon sa pandaigdigang industriya ng pangangalagang pangkalusugan upang makatulong na maiwasan, matukoy, at tumugon sa mga kaganapan sa cybersecurity at pisikal na seguridad upang ang mga miyembro ay makapag-focus sa pagpapabuti ng kalusugan at pagliligtas ng mga buhay. Nakikipagsosyo ang Google sa Health-ISAC upang maghatid ng mga makabagong programa sa pagsasanay, mga programa sa cybersecurity intelligence, at iba pang mapagkukunan para sa mga sistema ng kalusugan sa kanayunan.
Mga handog ng programa
Karamihan sa mga ito ay iaalok nang walang bayad o may malalaking diskwento, na kinikilala ang mga hadlang sa pananalapi na kinakaharap ng maraming sistema ng pangangalaga sa kalusugan sa kanayunan. Bukod pa rito, magbibigay kami ng mga serbisyo sa pagpapatupad at suporta sa mga karapat-dapat na organisasyon. Available lang ang mga alok na ito sa US sa ngayon.
Mula sa Pagbabangko hanggang sa Healthcare Cybersecurity
Nakipag-usap kami sa Health-ISAC Chief Security Officer na si Errol Weiss para talakayin ang kanyang 25-taong karera na sumasaklaw sa pagbabangko, gobyerno, at pangangalagang pangkalusugan at tukuyin ang pinakamalaking banta at uso sa cybersecurity na nakakaapekto sa industriya ng pangangalagang pangkalusugan sa 2025 at higit pa.
Inilarawan ni Weiss ang mga natatanging hamon na kinakaharap ng mga organisasyon ng pangangalagang pangkalusugan kumpara sa mga serbisyong pinansyal. Ang mga system ng pangangalagang pangkalusugan ay madalas na namamahala ng mga kumplikadong imprastraktura, kabilang ang mga modernong cloud-based na system, mga legacy na device (tulad ng mga MRI machine na may mga lumang operating system), at magkakaibang ecosystem ng medikal na device. Ang pagiging kumplikadong ito ay pinagsasama ng isang matagal nang kulang sa pamumuhunan sa cybersecurity, na may mga mapagkukunang dating inilalaan patungo sa privacy at pagsunod (hal., mga regulasyon ng HIPAA) sa halip na matatag na mga hakbang sa seguridad.
Binigyang-diin niya na ang kakulangan sa pagpopondo at kakulangan ng dedikadong Chief Information Security Officers (CISOs) sa pangangalagang pangkalusugan ay nagpapahirap sa epektibong pagprotekta sa mga kapaligirang ito. Gayunpaman, ang mga insidente tulad ng pag-atake ng ransomware ay nagdulot ng mas mataas na kamalayan at pamumuhunan sa cybersecurity ng healthcare sa nakalipas na dekada.
