Khả năng phục hồi mạng cho phần còn lại của chúng ta: Thực hiện với ngân sách thực tế
Podcast Bảo mật Đám mây EP240 – Google
Người dẫn chương trình Anton Chuvakin và Timothy Peacock trò chuyện với các chuyên gia trong ngành về một số lĩnh vực thú vị nhất của bảo mật đám mây.
Khách mời: Errol Weiss – chủ đề: Bảo mật và Vệ sinh Đám mây | Thực hành Bảo mật Đám mây
Việc bổ sung khả năng phục hồi số có tầm quan trọng như thế nào đối với doanh nghiệp? Làm thế nào để các nhà lãnh đạo chuyển đổi từ “chỉ tập trung vào an ninh mạng” sang “khả năng phục hồi số”?
Làm thế nào để có thể kiên cường nhất với nguồn lực được cung cấp? Làm thế nào để có thể kiên cường nhất với số tiền ít nhất?
Làm sao để thu hẹp bản thân thành mục tiêu nhỏ hơn?
Các biện pháp mục tiêu nhỏ hơn phù hợp với những gì một số người gọi là "cơ bản". Nhưng vệ sinh "cơ bản" thực sự rất khó khăn đối với nhiều người. 3 mẹo vệ sinh hàng đầu của bạn để thực hiện điều đó và thực sự hiệu quả là gì?
Chúng ta đang nói về các tổ chức thiếu nguồn lực, nhưng một số tổ chức còn thiếu nguồn lực hơn thế nữa, lời khuyên của bạn dành cho những tổ chức cực kỳ thiếu nguồn lực an ninh là gì?
Đánh giá bảo mật nhà cung cấp – điều quan trọng nhất cần cân nhắc hiện nay vào năm 2025 là gì? Làm thế nào để không bị tấn công thông qua nhà cung cấp của bạn?
Truy cập Google Cloud Security Podcast và các tài nguyên được đề cập tại đây. Bấm vào đây
Các cuộc tấn công mạng sẽ tiếp tục là một thách thức
Vào năm 2024, an ninh mạng là một thách thức lớn đối với ngành chăm sóc sức khỏe, với nhiều cuộc tấn công gây chú ý. Một cuộc tấn công, làm lộ dữ liệu của 100 triệu người Mỹ, là một "sự kiện quan trọng" làm nổi bật mức độ kết nối của ngành chăm sóc sức khỏe, theo Errol Weiss, giám đốc an ninh tại Trung tâm chia sẻ và phân tích thông tin y tế.
Đọc về ba xu hướng khác trong bài viết của Ban cố vấn này. Bấm vào đây
Các chuyên gia cho biết hình thức quản lý AI sẽ không chắc chắn dưới thời chính quyền Trump trong năm nay, trong khi các công ty chăm sóc sức khỏe sẽ tiếp tục tăng cường phòng thủ mạng để chống lại các cuộc tấn công ngày càng gia tăng.
Tội phạm mạng tiếp tục nhắm mục tiêu vào chăm sóc sức khỏe
An ninh mạng đã chứng tỏ là một thách thức lớn đối với ngành chăm sóc sức khỏe vào năm 2024 và các tổ chức đang chú ý, các chuyên gia cho biết. Nhưng việc nâng cao khả năng bảo vệ mạng của ngành sẽ mất thời gian — và tin tặc khó có thể ngừng nhắm mục tiêu vào các công ty chăm sóc sức khỏe.
Ngành công nghiệp này đang trải qua một năm với nhiều cuộc tấn công cấp cao. Vào đầu năm 2024, toàn bộ hệ sinh thái chăm sóc sức khỏe đã phải vật lộn để quản lý hậu quả từ cuộc tấn công mạng nhằm vào Change Healthcare, một công ty công nghệ và bộ xử lý khiếu nại thuộc sở hữu của gã khổng lồ trong ngành UnitedHealth.
Cuộc tấn công — đã làm lộ dữ liệu từ một phá kỷ lục 100 triệu người Mỹ — là một “sự kiện quan trọng” làm nổi bật bản chất liên kết của lĩnh vực này, ông cho biết Errol Weiss, giám đốc an ninh tại Trung tâm chia sẻ và phân tích thông tin y tế, hay Health-ISAC.
Weiss cho biết: “Tôi nghĩ khoảnh khắc thức tỉnh ở đó là khi các nhà cung cấp có thể có một điểm lỗi duy nhất tác động đến việc cung cấp dịch vụ chăm sóc sức khỏe”.
Đọc toàn bộ bài viết trên Healthcare Dive. Bấm vào đây
Trung tâm truyền máu New York (NYBC) cho biết họ đã bị tấn công bằng phần mềm tống tiền khiến hoạt động bị gián đoạn và buộc phải lên lịch lại một số hoạt động.
Các cuộc tấn công mạng vào các trung tâm hiến máu đã thúc đẩy Trung tâm chia sẻ và phân tích thông tin y tế (Health-ISAC)) và Hiệp hội Bệnh viện Hoa Kỳ (AHA) để ban hành bản tin về mối đe dọa chung cảnh báo về khả năng gián đoạn chuỗi cung ứng.
Roei Sherman, Giám đốc công nghệ tại Trung tâm máu New York (NYBC) cho biết: “Cuộc tấn công bằng phần mềm tống tiền gần đây vào Trung tâm máu New York (NYBC) là lời cảnh tỉnh cho các tổ chức trên nhiều lĩnh vực, đặc biệt là những tổ chức trong các dịch vụ quan trọng như chăm sóc sức khỏe”. Mitiga. “Là một trong những tổ chức thu thập và phân phối máu độc lập lớn nhất thế giới, sự cố này không chỉ làm suy yếu năng lực hoạt động của họ mà còn có khả năng gây nguy hiểm cho sức khỏe cộng đồng.”
Đọc toàn bộ bài viết trên Tạp chí CPO. Bấm vào đây
Sáng kiến nhằm mục đích tăng cường an ninh cho các bệnh viện thành viên EU, các nhà cung cấp dịch vụ chăm sóc sức khỏe
Errol Weiss, giám đốc an ninh của Y tế-ISAC tại Hoa Kỳ, kế hoạch hành động của Ủy ban EU được đưa ra vào thời điểm các tổ chức chăm sóc sức khỏe vẫn đang phải vật lộn để có đủ nguồn tài trợ nhằm bảo vệ mạng lưới của họ một cách phù hợp.
“Vấn đề này được nhìn thấy ở EU, Hoa Kỳ và trên toàn cầu. Các tổ chức chăm sóc sức khỏe cần nguồn lực – không chỉ công nghệ cần thiết để bảo vệ các mạng lưới đó mà còn cả các chuyên gia an ninh thông tin giàu kinh nghiệm để vận hành các hệ thống đó”, ông nói. “Tôi rất vui vì ủy ban công nhận giá trị mà ISAC mang lại để bảo vệ các tổ chức và cải thiện an ninh thông qua việc chia sẻ thông tin và cộng tác”, ông nói.
Weiss cho biết những người chịu trách nhiệm bảo vệ cơ sở hạ tầng kỹ thuật số của họ hiểu rằng bằng cách chia sẻ thông tin, họ không chỉ bảo vệ chính mình mà còn tăng cường tính bảo mật cho toàn bộ hệ sinh thái kỹ thuật số.
Ông cho biết, vào năm 2023, Health-ISAC đã hợp tác với European Health ISAC để tận dụng "sức mạnh toàn cầu" của tư cách thành viên Health-ISAC thông qua khả năng hiển thị các mối đe dọa ở hơn 140 quốc gia với sức mạnh của cộng đồng và quan điểm địa phương của European Health ISAC.
“Chúng ta cần đoàn kết và cảnh giác chống lại các mối đe dọa mạng”, ông nói. “Với Health-ISAC và European Health ISAC cùng hoạt động tại EU, chúng ta có thể tạo ra một cộng đồng an toàn hơn, nơi các tổ chức chăm sóc sức khỏe được hưởng lợi từ khả năng hiển thị tốt hơn về các mối đe dọa và lỗ hổng, cộng với việc họ được hưởng lợi từ việc chia sẻ các thông lệ tốt nhất và những hiểu biết quan trọng khác giúp cải thiện sự an toàn của bệnh nhân”.
Đọc toàn bộ bài viết trên Data Breach Today. Bấm vào đây
Các chuyên gia đưa ra lời khuyên để quản lý hàng tồn kho đang tăng, nguồn lực cho nhà cung cấp
Phil Englert, phó chủ tịch phụ trách an ninh thiết bị y tế tại Trung tâm phân tích và chia sẻ thông tin y tế, cho biết hướng dẫn "An ninh mạng trong ngành y tế - Quản lý bảo mật công nghệ cũ" - hay HIC-MaLTS - của HSCC cung cấp cho các tổ chức những biện pháp thực hành tốt nhất có thể được sử dụng để quản lý rủi ro mạng của các công nghệ y tế cũ.
HIC-MaLTS giải quyết các thách thức chung về an ninh mạng chăm sóc sức khỏe. Ví dụ, "nhiều loại thiết bị y tế khác nhau và nhiều địa điểm sử dụng khác nhau có hồ sơ rủi ro riêng và bao gồm các tính năng chẩn đoán, điều trị, đeo được, cấy ghép và phần mềm như thiết bị y tế, trong số những tính năng khác, có thể được sử dụng trong bệnh viện, phòng khám và các cơ sở chăm sóc sức khỏe tại nhà và phi lâm sàng khác", ông cho biết.
Ngoài ra trong bài viết này:
bốn giai đoạn vòng đời của thiết bị y tế
“hệ thống xem” hàng tồn kho kết hợp với phân đoạn và kiểm soát truy cập mạng
Mẫu hợp đồng ngôn ngữ của HSCC cho an ninh mạng Medtech
Đọc bài viết về An ninh thông tin chăm sóc sức khỏe tại đây. Bấm vào đây
Đọc toàn bộ bài viết trên Information Security Buzz. Bấm vào đây
Từ năm 1996, Đạo luật về khả năng chuyển đổi và trách nhiệm giải trình bảo hiểm y tế (HIPAA) là nền tảng của quyền riêng tư của bệnh nhân. Đạo luật này thiết lập các tiêu chuẩn về cách các tổ chức chăm sóc sức khỏe xử lý và chia sẻ dữ liệu bệnh nhân, tạo ra khuôn khổ để đảm bảo tính bảo mật.
Nhưng bối cảnh chăm sóc sức khỏe đã thay đổi đáng kể và cùng với đó là rủi ro tăng lên gấp bội. Các mối đe dọa mạng mới nổi và các lỗ hổng phức tạp đã phơi bày những lỗ hổng quan trọng trong các biện pháp bảo vệ của HIPAA. Để ứng phó, các nhà lập pháp đang thúc đẩy luật mới nhằm củng cố các tổ chức chăm sóc sức khỏe trước làn sóng tấn công mạng ngày càng gia tăng.
Năm ngoái, các nhà lập pháp đã đưa ra hai dự luật – Đạo luật An ninh mạng Y tế năm 2024 và Đạo luật An ninh và Trách nhiệm giải trình Cơ sở hạ tầng Y tế năm 2024 (HISAA) – nhằm mục đích hiện đại hóa các biện pháp bảo vệ dữ liệu y tế nhạy cảm. Mặc dù các biện pháp này là một bước tiến quan trọng, nhưng chúng vẫn bị đình trệ trong quá trình lập pháp và vẫn chưa trở thành luật.
Và, ngay cả khi chúng được ban hành, phạm vi hạn chế và các cơ chế thực thi được nêu trong các dự luật này có thể không giải quyết được các mối đe dọa mạng đang leo thang đang gây ảnh hưởng đến hệ thống chăm sóc sức khỏe ngày càng kỹ thuật số của chúng ta. Nếu không có cách tiếp cận toàn diện và mạnh mẽ hơn, những sáng kiến này có nguy cơ bị coi là những cử chỉ mang tính biểu tượng trong một cuộc chiến đòi hỏi hành động khẩn cấp và quyết đoán.
Đọc thêm để hiểu đầy đủ về cả hai dự luật, bao gồm
Phil Englert và người dẫn chương trình Chris Blask đã đồng chủ trì một nhóm làm việc của CISA về chia sẻ danh mục vật liệu phần mềm (SBOM). Nhóm làm việc đã phát triển một quy trình để giúp ISAC và các tổ chức tương tự xác định kiến trúc kiểm soát cần thiết để quản lý việc phân phối SBOM giữa các thành viên của họ.
Nghe podcast Inevitability Curve EP14 tại đây. Bấm vào đây
Các tổ chức chăm sóc sức khỏe ở mọi quy mô sẽ phải tuân thủ tiêu chuẩn an ninh mạng chặt chẽ hơn bắt đầu từ năm 2025 với các quy tắc mới được đề xuất, nhưng không phải tất cả đều có ngân sách dành cho việc này.
Ngay từ đầu, HIPAA luôn là quy định tốt nhất nhưng vẫn chưa đầy đủ, chi phối an ninh mạng cho ngành chăm sóc sức khỏe.
“[Có] một lịch sử về việc tập trung sai chỗ vì cách HIPAA được trình bày vào giữa những năm 1990,” ông nói Errol Weiss, giám đốc an ninh thông tin (CISO) của Trung tâm phân tích và chia sẻ thông tin chăm sóc sức khỏe (Health-ISAC). “Vào thời điểm đó, có một động thái lớn nhằm chuyển hồ sơ y tế và sức khỏe sang phương tiện điện tử. Và với sự ra đời của các quy định HIPAA, tất cả đều nhằm bảo vệ quyền riêng tư của bệnh nhân nhưng không nhất thiết phải bảo mật những hồ sơ đó.”
Việc HIPAA tập trung vào quyền riêng tư đã hạn chế khả năng giải quyết các mối đe dọa an ninh mạng đa dạng hơn trong những năm 2010, đặc biệt là phần mềm tống tiền. Trong khi đó, thay vì sử dụng nó làm cơ sở để phát triển thế trận bảo mật mạnh mẽ, các tổ chức có xu hướng coi HIPAA giống như một tập hợp các ô cần kiểm tra. “Cuối cùng thì thúc đẩy ngân sách theo hướng tuân thủ và không nhất thiết là bảo mật. Và trong năm hoặc sáu năm qua, chúng ta đã thấy điều gì xảy ra trong một môi trường không được bảo mật đúng cách, không được ràng buộc đúng cách, không được sao lưu đúng cách khi chúng bị tấn công bởi phần mềm tống tiền,” Weiss nói.
Pingree của Dispersive ước tính rằng "Ngay cả khi họ đã tuân thủ mọi biện pháp kiểm soát của NIST", việc triển khai các quy tắc bảo mật HIPAA mới "có thể tốn ít nhất 100,000 đô la cho một phòng khám bác sĩ nhỏ, hoặc có thể lên tới hàng triệu đô la nếu bạn là một tập đoàn y tế lớn".
Theo Weiss, một cách khả thi để các tổ chức chăm sóc sức khỏe có thể điều hướng tất cả các quy tắc mới này và các chi phí liên quan của chúng là thuê ngoài một giám đốc an ninh thông tin ảo (vCISO). Bởi vì "không chỉ là mua công nghệ. Mà còn là tuyển dụng và giữ chân chuyên gia an ninh mạng mà bạn cần để điều hành", ông nói.
“Những tổ chức này không biết bắt đầu từ đâu,” ông tiếp tục. “Thị trường an ninh mạng rất khó hiểu. Có rất nhiều người chơi. Có rất nhiều giải pháp. Vậy nếu bạn có 100 đô la để chi cho an ninh mạng, bạn sẽ chi số tiền đó vào đâu? Họ cần sự trợ giúp để có thể tính toán tất cả những điều đó. Và tôi nghĩ rằng một thứ gì đó như CISO ảo có thể giúp triển khai một chiến lược, và sau đó có mặt trên cơ sở ảo — để kiểm tra, trở thành nguồn lực cho tổ chức đó khi họ có câu hỏi và họ cần được trợ giúp. Có vẻ như đây là một mô hình phù hợp cho những bệnh viện nông thôn nhỏ này, những nơi không nhất thiết phải biện minh hoặc thuê một CISO toàn thời gian.”
Đọc toàn bộ bài viết trên Dark Reading. Bấm vào đây
Các chuyên gia: Các lệnh mới có thể khó khăn và tốn kém cho nhiều tổ chức
Các chuyên gia cho biết đề xuất sửa đổi các quy định về an ninh mạng liên bang đối với ngành chăm sóc sức khỏe có thể gây khó khăn và tốn kém cho nhiều tổ chức.
“Chi phí để thực hiện những điều khoản này sẽ rất lớn”, ông nói. Errol Weiss, giám đốc an ninh của Trung tâm chia sẻ và phân tích thông tin y tế. “Tiền để chi trả cho tất cả những thứ này đến từ đâu? Không thể là từ khoản tiết kiệm trong tương lai từ các khoản phạt vi phạm tránh được. Các nhà cung cấp dịch vụ chăm sóc sức khỏe đang gặp khó khăn về tài chính, đặc biệt là các bệnh viện nhỏ ở nông thôn, không có đủ nguồn lực để hỗ trợ các đề xuất mới này”, ông cho biết.
Weiss cho biết bất kỳ yêu cầu pháp lý nào như thế này cũng cần đi kèm với hỗ trợ tài chính để các nhà cung cấp dịch vụ chăm sóc sức khỏe có thể có được công nghệ phù hợp và quan trọng hơn là tuyển dụng và giữ chân các chuyên gia an ninh mạng giàu kinh nghiệm để bảo vệ mạng lưới của họ một cách đầy đủ.
Đọc toàn bộ bài viết trên Bank InfoSecurity. Bấm vào đây
Google đang hợp tác với Health-ISAC để cung cấp các chương trình đào tạo sáng tạo, chương trình tình báo an ninh mạng và các nguồn lực khác cho hệ thống y tế nông thôn.
Các cuộc tấn công mạng vào các tổ chức chăm sóc sức khỏe làm gián đoạn khả năng hoạt động của họ và gây nguy hiểm cho việc chăm sóc bệnh nhân. Các hệ thống chăm sóc sức khỏe nông thôn tại Hoa Kỳ phục vụ 60 triệu người và là trung tâm của vô số cộng đồng. Sự an toàn của mọi người trong cộng đồng bị đe dọa khi các hệ thống thông tin chăm sóc sức khỏe quan trọng không khả dụng do sự cố mạng.
Google cam kết giúp các hệ thống y tế dễ bị tổn thương tăng cường khả năng phục hồi trước các cuộc tấn công mạng. Chúng tôi đang hợp tác với chính phủ và ngành công nghiệp để cung cấp các dịch vụ, hỗ trợ và công nghệ của mình, cho phép các hệ thống tập trung vào việc chăm sóc bệnh nhân.
Một sáng kiến được thiết kế riêng để cải thiện an ninh
Được thiết kế cho bệnh viện nông thôn
Hệ thống y tế và bệnh viện nông thôn phản ánh tính độc đáo của cộng đồng mà họ phục vụ, và dịch vụ của chúng tôi cũng vậy. Nó cung cấp một bộ công nghệ Google được thiết kế an toàn ngày càng tăng để truy cập và cộng tác, dịch vụ tư vấn và hỗ trợ, và các nguồn đào tạo bảo mật với mức giá chiết khấu hoặc miễn phí. Giải pháp được điều chỉnh theo nhu cầu của từng tổ chức y tế nông thôn. Cơ sở y tế phải nằm trong một quận hoặc khu vực được chỉ định là nông thôn theo Quản lý tài nguyên và dịch vụ sức khỏe (HRSA).
Sự hợp tác hiệu quả để phòng thủ và ứng phó với các cuộc tấn công mạng là rất quan trọng để bảo vệ chăm sóc sức khỏe. Google là một đại sứ đối tác đến Trung tâm chia sẻ và phân tích thông tin y tế (Health-ISAC). Sứ mệnh của Health-ISAC là trao quyền cho các mối quan hệ đáng tin cậy trong ngành chăm sóc sức khỏe toàn cầu để giúp ngăn ngừa, phát hiện và ứng phó với các sự kiện an ninh mạng và an ninh vật lý để các thành viên có thể tập trung vào việc cải thiện sức khỏe và cứu sống con người. Google đang hợp tác với Health-ISAC để cung cấp các chương trình đào tạo sáng tạo, chương trình tình báo an ninh mạng và các nguồn lực khác cho các hệ thống y tế nông thôn.
Chương trình cung cấp
Hầu hết các dịch vụ này sẽ được cung cấp miễn phí hoặc với mức chiết khấu đáng kể, thừa nhận những hạn chế về tài chính mà nhiều hệ thống chăm sóc sức khỏe nông thôn phải đối mặt. Ngoài ra, chúng tôi sẽ cung cấp các dịch vụ triển khai và hỗ trợ cho các tổ chức đủ điều kiện. Các dịch vụ này hiện chỉ khả dụng tại Hoa Kỳ.
Chúng tôi đã ngồi lại với Giám đốc An ninh của Health-ISAC Errol Weiss để thảo luận về sự nghiệp 25 năm của ông trong lĩnh vực ngân hàng, chính phủ và chăm sóc sức khỏe, đồng thời xác định các mối đe dọa và xu hướng an ninh mạng lớn nhất tác động đến ngành chăm sóc sức khỏe vào năm 2025 và sau đó.
Những thách thức độc đáo trong an ninh mạng chăm sóc sức khỏe
Weiss mô tả những thách thức độc đáo mà các tổ chức chăm sóc sức khỏe phải đối mặt so với các dịch vụ tài chính. Các hệ thống chăm sóc sức khỏe thường quản lý các cơ sở hạ tầng phức tạp, bao gồm các hệ thống đám mây hiện đại, các thiết bị cũ (như máy MRI có hệ điều hành lỗi thời) và các hệ sinh thái thiết bị y tế đa dạng. Sự phức tạp này còn trầm trọng hơn do tình trạng đầu tư không đầy đủ trong thời gian dài vào an ninh mạng, với các nguồn lực trước đây được phân bổ cho quyền riêng tư và tuân thủ (ví dụ: các quy định của HIPAA) thay vì các biện pháp bảo mật mạnh mẽ.
Ông nhấn mạnh rằng tình trạng thiếu kinh phí và thiếu các Giám đốc An ninh Thông tin (CISO) tận tụy trong lĩnh vực chăm sóc sức khỏe khiến việc bảo vệ các môi trường này một cách hiệu quả trở nên khó khăn. Tuy nhiên, các sự cố như tấn công bằng phần mềm tống tiền đã thúc đẩy nhận thức và đầu tư ngày càng tăng vào an ninh mạng chăm sóc sức khỏe trong thập kỷ qua.
