Ciberguerra contra los sistemas de salud: La amenaza del estado-nación

Si bien las organizaciones criminales y los actores del caos son responsables de un porcentaje sustancial de los ataques cibernéticos constantes a los sistemas de datos e información de las organizaciones de proveedores, otra amenaza creciente proviene de los perpetradores de los estados-nación.

A principios de este año, por ejemplo, cuando comenzó la guerra de Rusia contra Ucrania, la Asociación Americana de Hospitales emitió una advertencia a los hospitales y sistemas de salud para que permanezcan atentos a los ataques cibernéticos a medida que se intensifica el conflicto.

El 6 de julio, la Agencia de Seguridad de Infraestructura y Ciberseguridad junto con el FBI y el Departamento del Tesoro emitieron una alerta sobre piratas informáticos patrocinados por Corea del Norte que habían estado apuntando al sector de la salud y la salud pública en los EE. UU. durante más de un año.

Y la Agencia de Infraestructura y Seguridad Cibernética de EE. UU. emitió una alerta – entre muchas otras en los últimos años – en 2 de noviembre 021 que destaca la actividad maliciosa de un grupo de amenaza persistente avanzado asociado con el gobierno de Irán.

Los hospitales y los sistemas de salud deben prepararse para el potencial de un poderoso estado-nación ataques Hay muchas medidas preventivas que las organizaciones de atención médica pueden implementar, como tener visibilidad de la exposición de una organización a los riesgos cibernéticos para permitir una respuesta adecuada, remediación y toma de decisiones informada.

Andrew Hollister es director de seguridad del proveedor de tecnología de gestión de eventos e información de seguridad LogRhythm y vicepresidente de LogRhythm Labs. Lo entrevistamos para obtener su perspectiva sobre los ataques cibernéticos de los estados-nación y conocer algunas de las mejores prácticas que los CIO, CISO y otros líderes de TI y seguridad de la información pueden implementar.

P. ¿Cómo describiría el clima actual para los ataques cibernéticos de los estados-nación contra objetivos en los Estados Unidos?

A. Como lo demuestran tanto el volumen de ataques informados en la prensa, así como las iniciativas que están tomando varias agencias dentro del gobierno de los EE. UU., el clima para los ciberataques, lamentablemente, sigue siendo muy favorable.

Históricamente, hemos utilizado el hecho de que un ciberataque ocasionalmente apareciera en los principales medios de comunicación como una señal de que se había cruzado un umbral, o que se había liberado algo de naturaleza particularmente virulenta o perniciosa. Sin embargo, hoy vemos ciberataques en los principales medios de comunicación casi todos los días, lo que nos da una indicación del estado alarmante del panorama actual de amenazas.

Además, vemos que las agencias del gobierno de EE. UU. publican una guía y, de hecho, el propio presidente firma una orden ejecutiva explícitamente destinada a mejorar la seguridad cibernética del país y proteger las redes federales.

La orden reconoció las «campañas persistentes y cada vez más sofisticadas» que amenazan tanto al sector público como al privado, y afirmó además que «la prevención, detección, evaluación y remediación de incidentes cibernéticos es una prioridad máxima y esencial para la seguridad nacional y económica».

Nadie debe tener ninguna duda de que los activos digitales de cada organización son en riesgo, ya sea como objetivo directo de un actor estatal o como el llamado daño colateral en un ciberataque más amplio. Algunos atacantes son más indiscriminados en sus objetivos. Por ejemplo, WannaCry probablemente no estaba dirigido directamente al servicio de salud del Reino Unido; sin embargo, el servicio era vulnerable y el ataque tuvo un impacto significativo.

P. ¿Por qué los atacantes de los estados-nación darían prioridad a las organizaciones de proveedores de atención médica de EE. UU. como objetivos?

A. Hay dos razones principales por las que los atacantes del estado-nación podría tener como objetivo a los proveedores de atención médica de EE. UU., pero permítanme decir primero que los ataques a estados-nación en sí mismos son un término amplio. Cubre la acción directa de un estado-nación, pero también de actores criminales que están aprobados tácitamente o simplemente protegidos por el estado-nación.

Esto es donde entra la confusión. Un estado podría estar interesado en obtener una ventaja tecnológica, sembrando la interrupción o la confusión, o la interferencia directa en el país objetivo, mientras que, en última instancia, es probable que una banda criminal se reduzca a ganancias financieras cuando todo esté dicho y hecho.

Una de las principales razones por las que la asistencia sanitaria es un objetivo de este tipo se debe a la naturaleza única y compleja de esos entornos. Los proveedores de atención médica pueden tener grandes cantidades de información personal, información de pago, así como investigaciones médicas.

Además, pueden ejecutar en múltiples ubicaciones físicas o incluso campus y operar tanto redes corporativas como dispositivos específicos de atención médica, algunos de los cuales pueden estar conectados a personas. La complejidad es el enemigo de la seguridad, en la que simplemente obtener una imagen general de los activos y su postura de riesgo es una tarea importante, y eso es antes de considerar los datos que posee la organización.

En el transcurso de los últimos dos años, también hemos visto un aumento en las organizaciones de atención médica más pequeñas que son víctimas de ataques cibernéticos. Puede haber una combinación de razones detrás de esto, pero ciertamente el presupuesto y la experiencia son probablemente los factores clave aquí.

Un pequeño Es posible que la organización no tenga los recursos para invertir en ciberseguridad y carezca de la experiencia interna para comprender dónde se encuentran sus principales riesgos. Ciertamente, no es una decisión fácil de tomar cuando su presupuesto es limitado y tiene que elegir entre servicios directos al paciente e invertir más en seguridad cibernética.

Sin embargo, dado el panorama actual de amenazas, la seguridad cibernética debe seguir siendo una prioridad para todas las organizaciones.

P. ¿Cómo deben prepararse las organizaciones de proveedores de atención médica de EE. UU. para los ataques de los estados-nación?

A. Todo comienza con la comprensión de los conceptos básicos y hacerlos sin problemas . Por ejemplo, el Centro para la Seguridad en Internet y el El Instituto SANS ha desarrollado Controles de Seguridad Críticos . Algunos estudios han demostrado que solo la implementación básica de estos controles es capaz de frustrar el 85% de los ciberataques. .

Sin embargo, las organizaciones continúan sin implementar los controles más básicos en torno a la gestión de activos y software, la gestión de identidades y vulnerabilidades, y aspectos como la autenticación multifactor. .

La orden ejecutiva a la que me referí, así como la OMB, han ordenado la implementación de la confianza cero por parte de las agencias federales, y con buena razón. Tomar la posición de que todas las entidades no son de confianza de forma predeterminada, se aplica el acceso con privilegios mínimos y se implementa un monitoreo de seguridad integral es un gran paso adelante para proteger cualquier entorno.

En última instancia, las organizaciones requieren algo más que seguridad preventiva: la industria acepta ampliamente que es cuando, no si, experimentará un ataque cibernético que viola sus defensas y, por lo tanto, las capacidades de detección y respuesta son fundamentales para proteger una organización. contra actores de amenazas con los recursos o el respaldo de un estado-nación.

P. Usted sugiere que una organización proveedora debe tener visibilidad de su exposición actual a los riesgos cibernéticos para permitir una respuesta adecuada, remediación y toma de decisiones informada. Por favor elabora.

A. La superficie de ataque en las organizaciones de atención médica es amplia y compleja, y dado el impacto potencial directamente en los pacientes salud, es de máxima prioridad mantener los servicios para pacientes disponibles y seguros. Quizás en ninguna otra parte la tríada de confidencialidad, integridad y disponibilidad sea más relevante.

Es imposible proteger lo que no se ve, y la seguridad crítica de CIS Los controles abordan la comprensión exacta de qué es lo que está protegiendo desde el principio, tanto en términos de activos como de datos, ya sea información de identificación personal o propiedad intelectual de una forma u otra.

Armado con ese conocimiento, entonces es posible construir una estrategia tanto para tecnologías preventivas como para detección y respuesta a amenazas activas.

Todos deben darse cuenta de que, si bien es posible que no sean el objetivo directo de los actores de amenazas del estado-nación, pueden verse afectados como daño colateral o a través de un compromiso de la cadena de suministro que tiene un impacto mucho más amplio.

Se requiere una vigilancia constante, y la visibilidad en todo el entorno es una necesidad si los malos actores de todos los sabores deben ser d etarse y detenerse antes de que alcancen su objetivo final de interrupción, destrucción o exfiltración de datos.

En este esfuerzo, es Es fundamental que los equipos estén equipados con señales de alta calidad y capacidades de respuesta automatizada para que puedan defenderse con confianza contra los ataques cibernéticos. Reducir el ruido para los analistas de seguridad es una de las palancas más importantes para empoderar a los equipos de seguridad para que tengan éxito en la respuesta y corrección de los riesgos cibernéticos.

Twitter:
@SiwickiHealthIT

Correo electrónico del escritor: bsiwicki@himss.org
Healthcare IT News es una publicación de HIMSS Media.

Lee mas

Deja un comentario

Tu dirección de correo electrónico no será publicada.