L’année dernière, les attaques de ransomware ont coûté aux organisations de santé plus de 20 milliards de dollars, selon une étude de Comparitech. Cependant, le risque pour les soins et la continuité des patients est encore plus critique.
La sauvegarde des données reste indispensable. Aujourd’hui, cependant, la restauration rapide est tout aussi importante pour se défendre et se remettre des ransomwares et autres attaques malveillantes.
Martin Littmann, directeur principal, directeur de la technologie et directeur de la sécurité de l’information à la clinique Kelsey-Seybold de Houston, a plus de 30 ans d’expérience dans le domaine de la santé et de l’informatique. Il sait de première main ce qui est nécessaire pour défendre et récupérer avec succès.
Après avoir connu un incident de ransomware, la clinique a modifié sa stratégie de sécurité, créant un environnement d’instantanés et de sauvegardes de données immuables. Actualités informatiques de la santé a interviewé Littman, qui a partagé son expertise sur la question.
Q. Veuillez parler de l’incident de ransomware que vous avez rencontré. Quand est-ce arrivé? Comment les pirates ont-ils pris le contrôle ? Qu’est-ce qui a été affecté ? Et comment l’avez-vous résolu ?
UNE. Cela peut surprendre les gens de savoir que les ransomwares existent depuis longtemps – le premier incident documenté s’étant produit en 1989. D’après un article que j’ai lu, il existait pas mal de variantes d’ici 2015, qui était la même année que nous avons connu notre incident.
Deux employés travaillant dans le même service ont visité un site de garderie pour voir leurs services pendant l’heure du déjeuner. Ce site a été construit sur WordPress et n’a pas été tenu à jour. Le malware qu’ils ont reçu en tant que téléchargement en voiture était une variante zero-day de Crypto Locker. Notre appliance FireEye nous a signalé le malware en même temps que les utilisateurs appelant pour signaler qu’ils n’étaient pas en mesure d’accéder à certains fichiers sur un partage réseau.
Nous avons pu identifier rapidement les deux machines infectées. L’un était un PC physique et l’autre un bureau virtuel. Le bureau virtuel a été redémarré sur une image propre et la machine physique a été retirée du réseau et recréée. L’équipe chargée des systèmes et du stockage a pu identifier rapidement l’étendue de l’impact : des centaines de milliers de fichiers cryptés répartis sur deux services partagés.
Après plusieurs discussions avec les dirigeants sur la zone touchée, nous avons décidé de travailler toute la journée et d’effectuer des travaux d’assainissement ce soir-là. Nous avons d’abord restauré les fichiers affectés à partir de sauvegardes instantanées afin que les utilisateurs puissent poursuivre leurs processus métier. À la fin de la journée, nous avons restauré l’intégralité des partages de fichiers, suivis de sauvegardes des fichiers révisés tout au long de la journée ouvrable.
Q. Quelles leçons avez-vous tirées de cet incident de ransomware ?
UNE. L’événement a mis en évidence la nécessité pour l’équipe de sécurité de l’information d’être vigilante dans l’examen et la réponse aux alertes de nos solutions de sécurité. Il a également mis en lumière la valeur des équipes chargées de la sécurité de l’information, des réseaux et des systèmes travaillant en harmonie et a souligné la réalité selon laquelle la sécurité est l’affaire de tous.
Au cours des années suivantes, cet événement a été utilisé pour souligner la nécessité d’une formation des utilisateurs plus riche et plus fréquente, ainsi que de renforcer et d’améliorer continuellement nos outils de sécurité et de systèmes.
Trop souvent, les équipes de sécurité sont inondées d’alertes provenant de divers outils et systèmes. Sans un outil ou un processus efficace ou une augmentation des « yeux sur le verre », il existe un risque de manquer des alertes critiques. Nous avons finalement amélioré notre approche SIEM en utilisant un outil basé sur un lac de données avec des capacités d’IA et d’analyse considérablement améliorées.
Nous avons également pu augmenter le nombre d’infrastructures, de réseaux et de systèmes de sécurité alimentant le SIEM. Avec cet outil, nous avons pu affiner les alertes pour nous assurer que les alertes critiques ne sont pas manquées et réduire les faux positifs. Nous avons ensuite encore amélioré notre processus en ajoutant un SOAR (orchestration, automatisation et réponse de la sécurité) pour garantir que l’équipe de sécurité puisse trier et répondre aux alertes et nous avions un enregistrement de cette responsabilité.
De plus, nous avons investi du temps pour évaluer les partages ouverts et l’accès utilisateur sur-provisionné pour limiter l’exposition à tout événement malveillant réel.
Nous avons intensifié notre programme d’éducation des utilisateurs. D’une part, cela inclut des tests de phishing périodiques. Nous tirons également parti des informations actuelles sur la sécurité et la confidentialité concernant les violations et les amendes pour soins de santé pour rappeler aux dirigeants et aux dirigeants la nécessité pour l’organisation d’être éduquée et vigilante.
Chaque mois, nous envoyons également un bulletin d’information sur les conseils en matière de sécurité de l’information, discutant des types actuels d’attaques et des mesures correctives et des précautions que nous pouvons prendre en tant qu’entreprise et en tant qu’individus.
Q. Vous avez implémenté des instantanés et des sauvegardes immuables dans Kelsey-Seybold. Qu’est-ce que cette technologie et comment fonctionne-t-elle pour protéger vos systèmes et vos données ?
UNE. Nous avons un mélange de technologies de stockage et une solution de protection des données solide que nous avons exploitée et mise à niveau depuis 2007. Cette stratégie a été développée sur la base de cet ensemble de solutions et avant que la plupart des fournisseurs de stockage n’aient livré ou développé des approches de sauvegarde immuables. Notre stratégie de sauvegarde a été développée avant que des instantanés immuables ne soient disponibles dans tous les produits de stockage que nous utilisions.
Nous avons développé une approche en couches qui repose sur des sauvegardes primaires, de sauvegarde et d’archivage sur des domaines de pannes distincts, ainsi que sur des copies instantanées locales. Chacun d’eux repose sur des comptes de niveau administrateur distincts sur des systèmes de stockage distincts. Le résultat de cette stratégie crée en fait cinq copies de notre base de données DSE critique sur trois plates-formes de fournisseurs différentes.
Les volumes de production ODB (Open Database Connectivity) sont hébergés sur un Pure Storage FlashArray //x50 spécialement conçu. Il s’agit de l’ensemble de données en direct initial. Les volumes principaux sont mappés sur des trames actives/passives qui sont maintenues en mode verrouillage de configuration via les groupes d’hôtes Pure Storage. Cela garantit des mappages de volumes cohérents lors d’un basculement de trame hôte de calcul.
La base de données est capturée en baie quatre fois par jour à l’aide d’un processus d’instantané qui s’appuie sur un workflow de script gel/snap/dégel développé en collaboration avec les ingénieurs de Pure Storage et les équipes internes. Une deuxième copie est répliquée sur un FlashArray secondaire.
Les baies sont liées via FlashArray Async-Replication sur des liens 10G redondants avec des calendriers de réplication contrôlés par des groupes de protection. Les copies trois et quatre sont envoyées à un autre proxy de sauvegarde et sur bande. La cinquième copie de la base de données est mise en miroir d’application sur une instance de récupération d’urgence. L’instance DR réside sur un matériel de calcul distinct et un FlashArray tertiaire distinct.
Dans nos futures implémentations et évolutions, nous envisagerons d’ajouter des solutions de protection des données de stockage natif, telles que les capacités immuables actuellement sur le marché.
Q. Quelles sont les considérations que vous avez en matière de sécurité de continuité d’activité du centre de données et que faites-vous à ce sujet ?
UNE. Pendant de nombreuses années, nos dirigeants se sont contentés du niveau de performance, de disponibilité et de fiabilité de nos systèmes et de notre infrastructure fournis via notre réseau de premier plan et notre centre de données à haute disponibilité.
Mais alors que notre entreprise continuait de croître et avec des projections de croissance future importantes, nous avons tous réalisé qu’un seul centre de données représente un risque commercial qui doit être atténué, quelle que soit la redondance et la résilience de toute implémentation. Cette prise de conscience a conduit à l’approbation de l’établissement d’un deuxième centre de données de sauvegarde/restauration.
Dans l’environnement actuel, cette décision nécessitait également une évaluation d’une approche basée sur le cloud pour la sauvegarde et la restauration. Nous avons étudié les aspects techniques des solutions d’infrastructure et d’application basées sur le cloud sur le marché et leur adéquation avec nos solutions actuelles basées sur les locaux et nos solutions d’applications cloud hybrides.
Une considération importante était la conversion des bureaux virtuels hébergés sur site, ainsi que des applications cliniques clés. En dernière analyse, nous avons déterminé que les limitations techniques et les opportunités ne sont pas tout à fait là pour nos besoins de passer à une implémentation cloud complète.
Nous avons plutôt décidé de continuer avec notre modèle hybride actuel : calcul et stockage sur site pour les applications critiques et les partages de fichiers département/utilisateur, combinés à la messagerie et à la collaboration basées sur le cloud dans Office 365.
Nous continuerons à développer Power Apps, à tirer parti d’Azure et à migrer certaines sauvegardes/archives de données vers des instances S3. Notre utilisation du cloud continuera de croître à mesure que de plus en plus d’applications arriveront à maturité pour inclure des composants cloud ou passer entièrement à des architectures cloud.
À terme, ce changement inclura le passage au bureau en tant que service, et ce changement affectera considérablement l’empreinte des locaux du stockage et du calcul.
Twitter: @SiwickiHealthIT
Envoyez un courriel à l’auteur : [email protected]
Healthcare IT News est une publication de HIMSS Media.
