À l’heure actuelle, personne dans l’industrie ne devrait être surpris que les soins de santé soient la cible la plus juteuse des pirates informatiques attaquant avec des ransomwares. En un mot, les soins de santé disposent des données les plus précieuses et n’ont pas pleinement déployé des protections aussi robustes que celles d’autres industries.
Steve Winterfeld, directeur consultatif de la sécurité de l’information chez Akamai, fournisseur de réseaux de sécurité et de diffusion de contenu, se donne pour mission d’étudier les ransomwares en détail. À la suite de ses recherches, il a dressé une liste de choses à faire et à ne pas faire pour les organisations de prestataires de soins de santé qui luttent contre les ransomwares.
Actualités informatiques de la santé s’est assis avec Winterfeld, qui pense que l’utilisation du modèle de cyber-kill-chain pour perturber les attaques de ransomware est le meilleur moyen de les arrêter, pour discuter de ses choses à faire et à ne pas faire au profit des CISO et CIO des fournisseurs et d’autres leaders de l’informatique de santé et de la cybersécurité .
Q. Vous avez créé cette liste de choses à faire et à ne pas faire pour les organisations traitant des ransomwares. Le premier élément de votre liste est de NE PAS simplement payer la rançon, mais d’avoir une politique de paiement en place à l’avance. Veuillez expliquer pourquoi cela est important pour les organisations de fournisseurs de soins de santé.
UNE. Si vous constatez que votre entreprise est touchée par un ransomware, il est important de comprendre d’abord toutes les implications et les options. Vous devez d’abord comprendre les impacts en temps réel sur les opérations. Ensuite, vous devez déterminer les exigences des organismes de réglementation et de la cyberassurance (si vous en avez une).
Ensuite, vous devez travailler avec l’équipe de crise au sens large de l’entreprise pour inclure les relations publiques et juridiques afin d’obtenir leur point de vue. Enfin, vous devez comprendre vos options pour restaurer les opérations. Il peut s’agir de reconstruire des systèmes et/ou de restaurer des données.
Lorsqu’on pense aux ransomwares aujourd’hui, c’est souvent plus qu’un simple cryptage des systèmes. Il pourrait y avoir une deuxième phase d’extorsion autour de l’exposition des données volées. Ainsi, lorsque vous élaborez votre plan de réponse aux incidents, vous devez inclure le traitement du ransomware comme une violation de données jusqu’à ce que vous puissiez prouver que ce n’était pas le cas. En règle générale, le cybercriminel vous fera savoir s’il a volé des données, mais vous devrez confirmer ce qui a été pris.
La sécurité des patients est toujours la principale préoccupation, c’est pourquoi il est temps de résoudre ces problèmes avant la crise. Vous devez établir si vous allez payer. Si vous êtes prêt à payer, vous devez déterminer si vous souhaitez faire appel à un tiers pour effectuer le paiement. Enfin, vous devez établir les rôles et les responsabilités pour utiliser les clés de déchiffrement. Si vous n’êtes pas prêt à payer, l’accent est mis sur la continuité et la reprise des activités.
Q. Ensuite, FAIRE des exercices de sécurité avec les employés dans le cadre d’un programme plus vaste. Quels sont quelques exemples de tels exercices de sécurité et en quoi sont-ils utiles ?
UNE. Un plan de réponse aux incidents pour les ransomwares comporte deux aspects clés : la réponse et la récupération.
La réponse se concentre sur la détection et l’arrêt du ransomware avant qu’il n’ait un impact à l’échelle de l’entreprise. Cela inclurait votre centre des opérations de sécurité (SOC) ou une autre équipe en charge de la surveillance du réseau.
Vous devriez avoir un exercice visant à vous assurer qu’ils disposent de processus pour arrêter la propagation des logiciels malveillants, coordonner la réponse aux crises dans tous les secteurs d’activité et informer la direction. Cela peut être un exercice de table ou peut inclure une validation technique grâce à l’utilisation d’une équipe rouge utilisant des attaques soigneusement contrôlées. Une méthode efficace pour établir le cadre de l’exercice consiste à utiliser la chaîne de cyber kill.
La récupération consiste à déterminer ce qu’il faudrait pour récupérer les systèmes qui ont été cryptés. Si seules les données étaient cryptées et que vous disposiez de bonnes sauvegardes, l’impact serait minime. Le problème est que de nombreuses entreprises n’ont pas fait d’exercice pour restaurer et utiliser les sauvegardes.
Il y a souvent des problèmes découverts qui pourraient empêcher une restauration rapide ou complète. Il est essentiel d’effectuer un exercice facultatif pour avoir une compréhension claire du niveau d’effort, du temps nécessaire pour terminer la reconstruction des systèmes/données et de la quantité de données qui serait perdue – le temps entre les sauvegardes.
Un plan complet de cyber-résilience ou de réponse aux incidents comporte un certain nombre d’autres parties, mais ce sont les deux domaines qui doivent d’abord être validés par un exercice. Une fois que vous êtes sûr que ceux-ci sont compris par la direction afin qu’ils aient des attentes et des processus solides en place pour le travail des équipes informatiques/infosec, vous pouvez passer aux exercices de violation de données, car de nombreuses attaques de ransomware volent également des données.
Q. Et enfin, vous avez dit NE PAS réagir au criminel. Ayez des plans de sauvegarde en place. Veuillez parler de cet aspect et pourquoi il est essentiel pour les RSSI et les DSI.
UNE. Nous avons abordé ce point ci-dessus, mais la clé ici est d’avoir des rôles et des responsabilités clairs définis avant tout incident informatique. De nombreuses entreprises ont un plan de gestion de crise de haut niveau. Le CIO disposera d’un plan de continuité d’activité et de reprise après sinistre (BCDRP) et le CISO disposera d’un plan de réponse aux incidents.
Une attaque de ransomware mettra tous ces éléments en action, ils doivent donc être intégrés. La perte de capacités opérationnelles due au ransomware obligera les équipes commerciales et informatiques à mettre en œuvre le BCDRP tandis que l’équipe infosec contiendra le malware et déterminera s’il est acceptable de commencer à reconstruire les systèmes et à restaurer les données. Dans un environnement très stressant, cela nécessitera un travail d’équipe étroit et de la confiance.
Un autre domaine à considérer est lorsqu’un fournisseur critique est touché par un ransomware. Vous devrez faire tout ce dont nous avons parlé, mais à travers une gouvernance basée sur les pouvoirs que vous avez dans votre contrat et la relation que vous entretenez avec votre fournisseur.
Il est maintenant temps de travailler avec la direction de vos fournisseurs et les équipes juridiques pour modifier votre processus/playbook en cas d’incident externe. Cela devrait inclure l’identification des fournisseurs critiques, la cartographie des droits de notification et d’audit pour chacun et, le cas échéant, une discussion/un exercice avec eux pour comprendre les rôles et les personnes à contacter en cas de crise.
Avec des vies en jeu pour les fournisseurs et des fonctions critiques pour d’autres entreprises de soins de santé, l’augmentation des attaques de ransomware nécessite une réponse rapide, qui ne provient que d’une préparation et d’une intégration minutieuses de vos processus et de vos contrôles techniques de cyberdéfense.
La question n’est pas de savoir si vous serez touché, mais dans quelle mesure vous atténuerez l’impact. Le vieil adage « La préparation empêche les mauvaises performances » est toujours vrai.
Twitter: @SiwickiHealthIT
Envoyez un courriel à l’auteur : [email protected]
Healthcare IT News est une publication de HIMSS Media.
