Управление на риска от трета страна, Уведомяване за нарушения, Управление на непрекъснатостта на бизнеса / Възстановяване след бедствие
Фирмата за системи за медицинско управление разкрива кибер инцидент, рискове за SECМариан Колбасук Макгий (HealthInfoSec)•11 май 2022 г.Неотдавнашна атака с ransomware срещу доставчик на системи за управление на лекарства е последното напомняне за постоянните заплахи за киберсигурността и рисковете, пред които са изправени веригата за доставки на здравеопазване и свързаните с нея доставчици, както и техните клиенти.
Вижте също: Уебинар на живо | Отдалечени служители & Голямата оставка: Как се справяте с вътрешните заплахи?
В декларация 8-K на Комисията за ценни книжа и борси на САЩ в понеделник базираната в Маунтин Вю, Калифорния Omnicell разкри, че е установила на 4 май, че атака с ransomware е засегнала определени вътрешни ИТ системи и че инцидентът и неговият пълен ефект все още се разследваха.
„Има въздействие върху някои от продуктите и услугите на Компанията, както и някои от нейните вътрешни системи“, се казва в документа от доставчика на решения за автоматизация на лекарства, чиито продукти се използват в болници, аптеки и други субекти от сектора на здравеопазването .
При откриване на събитието, свързано със сигурността, Omnicell казва, че е предприело незабавни стъпки за ограничаване на инцидента и прилагане на своите планове за непрекъснатост на бизнеса, за да възстанови и подкрепи непрекъснатите операции.
„Компанията е в ранните етапи на своето разследване и оценка на събитието, свързано със сигурността, и в момента не може да определи степента на въздействието от такова събитие върху нашия бизнес, резултатите от операциите или финансовото състояние или дали такова въздействие ще има материален неблагоприятен ефект“, се казва в документацията.
Omnicell казва, че е уведомил правоприлагащите органи и също така работи в тясно сътрудничество с експерти по киберсигурност и юридически съветници по въпроса.
Свързани рискове
Omnicell във формуляра си за тримесечни печалби 10-Q, също подаден в SEC в понеделник, признава, че „значителни смущения“ в нейните ИТ системи, пробиви на данни или кибератаки на нейните системи могат да се отразят неблагоприятно влияят върху бизнеса му.
„Ние разчитаме на ИТ системи, за да поддържаме финансови и корпоративни записи, да комуникираме с персонала и външни страни и да управляваме други критични функции, включително процеси на продажби и производство“, казва Omnicell в документацията.
„Ние също така използваме облачни услуги на трети страни във връзка с нашите операции … Нашите ИТ системи и облачни услуги на трети страни са потенциално уязвими на смущения поради повреда, злонамерено проникване и компютърни вируси, кризи в общественото здраве като продължаващата COVID -19 пандемия, други катастрофални събития или въздействие върху околната среда, както и поради системни надстройки и/или внедряване на нови системи."
Omnicell казва, че неговите системи също могат да изпитат уязвимости от софтуерен код на трета страна или софтуер с отворен код, който може да бъде включен в неговите собствени системи или системи на неговите доставчици. „Всяко продължително прекъсване на системата в нашите ИТ системи или услуги на трети страни може да повлияе отрицателно на координацията на нашите продажби, планиране и производствени дейности, което може да навреди на нашия бизнес“, казва Omnicell.
"Освен това, за да увеличим максимално нашата ИТ ефективност, ние физически консолидирахме нашите първични корпоративни данни и компютърни операции. Тази концентрация обаче ни излага на по-голям риск от прекъсване на нашите вътрешни ИТ системи."
Въпреки че Omnicell казва, че поддържа външни резервни копия на своите данни, „прекъсване на операциите в нашите съоръжения може съществено да наруши бизнеса ни, ако не сме в състояние да възстановим функционирането в рамките на приемлив период от време“.
Omnicell също казва, че неговите ИТ системи и облачни услуги на трети страни „са потенциално уязвими на кибератаки, включително ransomware, или други инциденти със сигурността на данните, от служители или други, които могат да изложат чувствителни данни на неоторизирани лица.“
„Инцидентите със сигурността на данните също могат да доведат до загуба на търговски тайни или друга интелектуална собственост, или до публично излагане на чувствителна и поверителна информация на нашите служители, клиенти, доставчици и други, всеки от които може да има съществени неблагоприятни последици ефект върху нашия бизнес, финансово състояние и резултати от дейността“, се казва в него.
В допълнение, определени решения на Omnicell получават, съхраняват и обработват данни на клиенти и също са изложени на риск. Например частната облачна система за ангажиране на пациенти на Omnicell, EnlivenHealth, помага на пациентите да се придържат към целите си за лечение чрез уеб-базирана платформа, казва компанията.
„Една ефективна атака срещу нашите решения може да наруши правилното функциониране на нашите решения, да позволи неоторизиран достъп до чувствителна и поверителна информация на нашите клиенти – включително защитена здравна информация – и да наруши операциите на нашите клиенти“, казва Omnicell
Няма сигурни залози
Omnicell казва, че е внедрил редица мерки за сигурност, предназначени да защитят своите системи и данни, включително защитни стени, антивирусни инструменти и инструменти за откриване на злонамерен софтуер, пачове, монитори на журнали, рутинни архиви, системни одити , рутинни промени на пароли и процедури за възстановяване след бедствие.
Освен това компанията казва, че има застраховка, която в момента включва покритие за кибератаки.
Но в него се казва: „видяхме тенденция, при която размерът на покритието, предлагано от доставчиците на застраховки за такива кибератаки, намалява, докато разходите за получаване на такова покритие се увеличават. Ако тази тенденция продължи, застрахователното покритие, което притежаваме, може не са подходящи или цената за получаване на такова покритие може да стане непосилна.
„Всеки неуспех да предотвратим такива пробиви в сигурността или нарушения на поверителността, или да приложим задоволителни коригиращи мерки, може да изисква от нас да изразходваме значителни ресурси за отстраняване на щети, да нарушим нашите операции или операциите на нашите клиенти, да навредим на нашата репутация, да навредим на нашите взаимоотношения с нашите клиенти или ни излагат на риск от финансови загуби, съдебни спорове, регулаторни санкции, договорни задължения за обезщетение или друга отговорност."
Omnicell отхвърли искането на Information Security Media Group за допълнителни подробности и коментар относно скорошния инцидент с ransomware.
Пропуски в докладването
Адвокатът по поверителността Дейвид Холцман от консултантската фирма HITprivacy казва, че докладването на Omnicell до SEC за атака на рансъмуер посочва „явната нужда“ от федерални разпоредби за по-добра защита на лицата, чиито данни се разкриват чрез инцидент с киберсигурност или ransomware.
„Понастоящем от публично търгуваните компании се изисква да докладват за киберсигурност и ransomware, за да гарантират, че интересите на техните акционери са защитени“, казва той.
Холцман казва, че с изключение на онези компании, които са субекти, обхванати от HIPAA или са обект на разпоредбите на Федералната търговска комисия за лични здравни досиета, „няма федерални изисквания за уведомяване на потребителите, когато тяхната лична информация е компрометирана в резултат на инцидент с киберсигурност или рансъмуер."
Междувременно субектите, които са споделили информация, позволяваща лично идентифициране, с Omnicell, трябва да прегледат своите договори с доставчици, за да се уверят, че има условия, които уточняват задължението на Omnicell да предоставя своевременно уведомление и подробни доклади за своите разследвания на инциденти със сигурността, представляващи риск за данните компромис, казва той.
Холцман казва, че докладите трябва да описват подробно точния инцидент, който се е случил, стъпките, предприети от доставчика по време на тяхното разследване, съдебномедицински анализ на системите, засегнати от събитието за сигурност, опис на данните, които принадлежат на доставчика, и точните данни, изложени на риск от компрометиране.
Предупреждение
Атаката с ransomware срещу Omnicell - и заявените от компанията рискове, включващи киберзаплахи и пробиви на данни - също напомнят на други субекти в сектора на здравеопазването за потенциалното въздействие, което инцидентите със сигурността на веригата за доставки и доставчиците могат да имат върху техните собствени организации.
Тъй като продуктите и системите, които доставчиците на здравни услуги предоставят, могат да бъдат от съществено значение за предоставянето на животоспасяващи грижи, тези продукти трябва да бъдат проектирани така, че атака срещу киберсигурността никога да не може да причини пряка или непряка вреда, казва Тод Еберт, президент и главен изпълнителен директор на веригата за доставки на здравеопазване Асоциация.
В допълнение, нито едно устройство не трябва да може да действа като шлюз за компрометиране на система, мрежа или друго свързано устройство и всички устройства трябва да могат да предоставят основни клинични функции на самостоятелна основа, изключени от всички системи или мрежи, казва той пред ISMG.
Доставчиците и доставчиците на здравни услуги трябва да бъдат бдителни и да положат всички усилия, за да осуетят атаките, преди те да се появят, и също така трябва да са подготвени, когато атаката успее, за да могат да се намесят бързо и да ограничат въздействието на атаката, казва Еберт .
„Поддържането на сигурността на устройството и информацията е споделена отговорност на производителите и доставчиците на свързани устройства и услуги, както и на организациите за предоставяне на здравни услуги, които ги използват. Осигуряването на тази сигурност е непрекъснато усилие, което изисква бдителност, адаптиране и непрекъсната комуникация и сътрудничеството между страните."
Един от ключовите компоненти на готовността е наличието на план за непрекъснатост за продължаване на операциите, ако устройство, устройства или система трябва да бъдат изолирани или изключени, казва той. „Доставчиците също трябва да имат планове за проверка на всякакви мрежи или системи, към които са свързани продуктите на засегнатия доставчик“, казва той.
„Доставчиците трябва да внимават тези продукти да са портал за атака срещу собствените им системи. Много е важно доставчиците да имат отворена и постоянна линия за комуникация с екипа за сигурност на доставчика, когато се справят с атака“ (вижте: SBOM във веригата за доставки на здравеопазване са от съществено значение).
Загриженост за безопасността на пациентите
Някои експерти казват, че инцидентите със сигурността, включващи ИТ системи и софтуер на трети страни, също подчертават риска за безопасността на пациентите.
„Кибератаките срещу здравни организации със сигурност могат да изложат живота на риск“, казва Дейдре Томпкинс, старши мениджър консултации в охранителната фирма Pondurance.
Такива инциденти могат да нарушат достъпа до електронните здравни досиета на пациентите, да използват уязвимостите в медицинските устройства и диагностичното оборудване и да разкрият – или незаконно да разкрият – PHI, казва тя. „Прекъсванията могат също да включват забавяния и усложнения в процедурите или тестовете и да причинят отклоняване на пациентите към други съоръжения.“
Насоки на NIST
В по-голямата картина, миналата седмица Националният институт за стандарти и технологии - след последните изпълнителни заповеди на президента Джо Байдън относно киберсигурността - преразгледа своите насоки за противодействие на рисковете по веригата на доставки (вижте: NIST Актуализира Ръководството за управление на риска във веригата за доставки).
Ревизираната публикация „Практики за управление на риска във веригата за доставки за киберсигурност за системи и организации“ предоставя насоки за идентифициране, оценка и реагиране на рискове за киберсигурността по цялата верига за доставки на всички нива на организацията.
