Nejnovějším varováním dodavatelského řetězce je útok ransomwaru dodavatele

Řízení rizik třetí strany, oznámení o porušení, řízení kontinuity podnikání / zotavení po havárii

Nedávný útok ransomwaru na poskytovatele systémů správy léků je nejnovější připomínkou přetrvávajících hrozeb a rizik kybernetické bezpečnosti, kterým čelí dodavatelský řetězec zdravotní péče a související prodejci i jejich zákazníci.

Viz také: Živý webinář | Vzdálení zaměstnanci & Velká rezignace: Jak zvládáte vnitřní hrozby?

V pondělním podání Komise pro cenné papíry a burzy 8-K společnost Omnicell se sídlem v Mountain View v Kalifornii uvedla, že 4. května zjistila, že útok ransomwaru ovlivnil určité interní IT systémy a že incident a jeho plný účinek byly stále vyšetřovány.

„Dochází k dopadu na některé produkty a služby společnosti a také na některé její interní systémy,“ uvádí se v podání dodavatele řešení automatizace léků, jehož produkty se používají v nemocnicích, lékárnách a dalších subjektech z oblasti zdravotnictví. .

Po zjištění bezpečnostní události společnost Omnicell uvedla, že podnikla okamžité kroky k omezení incidentu a implementovala své plány kontinuity provozu s cílem obnovit a podpořit pokračující provoz.

"Společnost je v raných fázích vyšetřování a vyhodnocování bezpečnostní události a v tuto chvíli nemůže určit rozsah dopadu takové události na naše podnikání, výsledky operací nebo finanční situaci nebo zda takový dopad bude mít závažný nepříznivý dopad,“ píše se v podání.

Společnost Omnicell uvedla, že informovala orgány činné v trestním řízení a v této záležitosti také úzce spolupracuje s odborníky na kybernetickou bezpečnost a právními poradci.

Související rizika

Omnicell ve svém čtvrtletním formuláři o výdělcích za 10-Q také v pondělí podal u SEC, že „významná narušení“ v jejích IT systémech, narušení dat nebo kybernetické útoky na její systémy by mohly nepříznivě ovlivnit ovlivnit její podnikání.

"Spoléháme na IT systémy při vedení finančních záznamů a firemních záznamů, komunikaci se zaměstnanci a externími stranami a provozování dalších důležitých funkcí, včetně prodejních a výrobních procesů," říká Omnicell v podání.

"V souvislosti s našimi operacemi využíváme také cloudové služby třetích stran... Naše IT systémy a cloudové služby třetích stran jsou potenciálně zranitelné vůči narušení v důsledku poruchy, škodlivého vniknutí a počítačových virů, krizí veřejného zdraví, jako je probíhající COVID -19 pandemie, jiné katastrofické události nebo dopad na životní prostředí, stejně jako v důsledku upgradů systému a/nebo nových implementací systému."

Společnost Omnicell říká, že její systémy mohou také zaznamenat zranitelná místa způsobená softwarovými kódy třetích stran nebo open source, které mohou být začleněny do jejích vlastních systémů nebo systémů jejích prodejců. „Jakékoli delší narušení systému v našich IT systémech nebo službách třetích stran by mohlo negativně ovlivnit koordinaci našich prodejních, plánovacích a výrobních aktivit, což by mohlo poškodit naše podnikání,“ říká Omnicell.

"Kromě toho, abychom maximalizovali naši efektivitu IT, jsme fyzicky konsolidovali naše primární podniková data a počítačové operace. Tato koncentrace nás však vystavuje většímu riziku narušení našich interních IT systémů."

Přestože společnost Omnicell tvrdí, že udržuje zálohy svých dat mimo pracoviště, „narušení provozu v našich zařízeních by mohlo významně narušit naše podnikání, pokud nejsme schopni obnovit funkci v přijatelném časovém rámci.“

Omnicell také říká, že její IT systémy a cloudové služby třetích stran „jsou potenciálně zranitelné vůči kybernetickým útokům, včetně ransomwaru, nebo jiným incidentům v oblasti zabezpečení dat ze strany zaměstnanců nebo jiných osob, které mohou vystavit citlivá data neoprávněným osobám.“

"Incidenty zabezpečení dat by také mohly vést ke ztrátě obchodních tajemství nebo jiného duševního vlastnictví nebo k veřejnému odhalení citlivých a důvěrných informací našich zaměstnanců, zákazníků, dodavatelů a dalších, z nichž kterékoli by mohly mít závažné nepříznivé účinky." vliv na naše podnikání, finanční situaci a provozní výsledky,“ uvádí se.

Některá řešení Omnicell navíc přijímají, ukládají a zpracovávají data zákazníků a jsou také ohrožena. Například soukromý cloudový systém zapojení pacientů společnosti Omnicell, EnlivenHealth, pomáhá pacientům dodržovat jejich léčebné cíle prostřednictvím webové platformy, říká společnost.

"Účinný útok na naše řešení by mohl narušit řádné fungování našich řešení, umožnit neoprávněný přístup k citlivým a důvěrným informacím našich zákazníků - včetně chráněných zdravotních informací - a narušit provoz našich zákazníků," říká Omnicell

No Sure Bets

Společnost Omnicell uvedla, že zavedla řadu bezpečnostních opatření navržených k ochraně svých systémů a dat, včetně firewallů, antivirových nástrojů a nástrojů pro detekci malwaru, záplat, monitorů protokolů, rutinních záloh, systémových auditů rutinní úpravy hesel a postupy obnovy po havárii.

Společnost také tvrdí, že má pojištění, které v současnosti zahrnuje krytí pro kybernetické útoky.

Říká se však, že „zaznamenali jsme trend, kdy se množství krytí nabízeného poskytovateli pojištění pro takové kybernetické útoky snižuje, zatímco náklady na získání takového krytí rostou. nejsou přiměřené nebo náklady na získání takového krytí mohou být příliš vysoké.

„Jakékoli selhání při zabránění takovému narušení bezpečnosti nebo porušení soukromí nebo neprovedení uspokojivých nápravných opatření může vyžadovat, abychom vynaložili značné prostředky na nápravu jakýchkoli škod, narušili naše operace nebo operace našich zákazníků, poškodili naši pověst, poškodili naše vztahy s našimi zákazníky nebo nás vystavuje riziku finanční ztráty, soudnímu sporu, regulačním sankcím, závazkům smluvního odškodnění nebo jiné odpovědnosti.“

Společnost Omnicell odmítla žádost skupiny Information Security Media Group o další podrobnosti a komentář ke svému nedávnému incidentu s ransomwarem.

Hlášení mezer

Zástupce ochrany osobních údajů David Holtzman z poradenské firmy HITprivacy říká, že oznámení společnosti Omnicell SEC o útoku ransomwaru poukazuje na „zřejmou potřebu“ federálních předpisů, které by lépe chránily jednotlivce, jejichž údaje byly zveřejněny prostřednictvím incident s kybernetickou bezpečností nebo ransomware.

"V současné době jsou veřejně obchodované společnosti povinny hlásit kybernetickou bezpečnost a ransomware, aby byla zajištěna ochrana zájmů jejich akcionářů," říká.

Holtzman říká, že s výjimkou společností, které jsou subjekty chráněnými zákonem HIPAA nebo podléhají předpisům Federální obchodní komise pro osobní zdravotní záznamy, „neexistují žádné federální požadavky na informování spotřebitelů, když jsou jejich osobní údaje ohroženy v důsledku incident s kybernetickou bezpečností nebo ransomwarem."

Mezitím by subjekty, které sdílely osobně identifikovatelné informace se společností Omnicell, měly přezkoumat své smlouvy s dodavateli, aby zajistily, že existují podmínky, které specifikují povinnost společnosti Omnicell poskytovat včasné oznámení a podrobné zprávy o svých vyšetřováních bezpečnostních incidentů, které představují riziko dat. kompromis, říká.

Holtzman říká, že zprávy by měly podrobně uvádět přesný incident, ke kterému došlo, kroky, které prodejce podnikl během vyšetřování, forenzní analýzu systémů ovlivněných bezpečnostní událostí, soupis dat, která patří poskytovateli, a přesné data ohrožena kompromitací.

Varování zvonků

Útok ransomwaru na Omnicell – a uváděná rizika společnosti týkající se kybernetických hrozeb a narušení dat – jsou také připomínkou pro další subjekty v sektoru zdravotnictví ohledně potenciálního dopadu, který mohou mít bezpečnostní incidenty dodavatelského řetězce a dodavatelů. na jejich vlastních organizacích.

Protože produkty a systémy, které dodavatelé zdravotní péče poskytují, mohou být zásadní pro poskytování život zachraňující péče, měly by být tyto produkty navrženy tak, aby útok kybernetické bezpečnosti nikdy nemohl způsobit přímou ani nepřímou újmu, říká Todd Ebert, prezident a generální ředitel Healthcare Supply Chain. Sdružení.

Žádné zařízení by navíc nemělo být schopno fungovat jako brána ke kompromitaci systému, sítě nebo jiného připojeného zařízení a všechna zařízení by měla být schopna poskytovat základní klinické funkce na samostatném základě odpojená od všech systémů nebo sítí, říká ISMG.

Dodavatelé i poskytovatelé zdravotní péče musí být ostražití a vynaložit veškeré úsilí, aby zmařili útoky dříve, než k nim dojde, a také musí být připraveni na to, když útok uspěje, aby mohli rychle zasáhnout a omezit dopad útoku, říká Ebert. .

"Udržování bezpečnosti zařízení a informací je sdílenou odpovědností výrobců a dodavatelů připojených zařízení a služeb, jakož i organizací poskytujících zdravotní péči, které je používají. Poskytování tohoto zabezpečení je neustálým úsilím, které vyžaduje ostražitost, přizpůsobování a neustálou komunikaci a spolupráce mezi stranami."

Jednou z klíčových součástí připravenosti je mít plán kontinuity pro pokračování provozu, pokud musí být zařízení, zařízení nebo systém izolován nebo vypnut, říká. „Poskytovatelé by také měli mít připravené plány na prověřování všech sítí nebo systémů, ke kterým jsou připojeny produkty dotčeného dodavatele,“ říká.

"Poskytovatelé by si měli dávat pozor na to, že tyto produkty představují bránu pro útok na jejich vlastní systémy. Je velmi důležité, aby poskytovatelé měli otevřenou a nepřetržitou komunikaci s bezpečnostním týmem dodavatele při řešení útoku" (viz: SBOM v dodavatelském řetězci zdravotnictví jsou zásadní).

Obavy o bezpečnost pacientů

Někteří odborníci tvrdí, že bezpečnostní incidenty zahrnující IT systémy a software třetích stran také zdůrazňují riziko pro bezpečnost pacientů.

„Kybernetické útoky na zdravotnické subjekty mohou jistě ohrozit životy,“ říká Deidre Tompkins, senior manažer konzultací v bezpečnostní firmě Pondurance.

Takové incidenty mohou narušit přístup k elektronickým zdravotním záznamům pacientů, zneužít slabá místa v lékařských přístrojích a diagnostických zařízeních a odhalit - nebo nezákonně zveřejnit - PHI, říká. "Narušení může také zahrnovat zpoždění a komplikace v postupech nebo testech a způsobit odklon pacientů do jiných zařízení."

Pokyny NIST

Ve větším obraze, minulý týden Národní institut pro standardy a technologie – v návaznosti na nedávné výkonné příkazy prezidenta Joe Bidena týkající se kybernetické bezpečnosti – revidoval své pokyny pro boj proti rizikům dodavatelského řetězce (viz: NIST Aktualizace pokynů pro řízení rizik dodavatelského řetězce).

Revidovaná publikace „Praktiky řízení rizik kybernetického dodavatelského řetězce pro systémy a organizace“ poskytuje pokyny pro identifikaci, hodnocení a reakci na rizika kybernetické bezpečnosti v celém dodavatelském řetězci na všech úrovních organizace.