Gestión de riesgos de terceros, notificación de incumplimiento, gestión de continuidad empresarial / recuperación de desastres
Medical Management Systems Firm Discloses Cyber Incident, Risks to SECMarianne Kolbasuk McGee (HealthInfoSec)•May 11, 2022Un reciente ataque de ransomware contra un proveedor de sistemas de gestión de medicamentos es el último recordatorio de las amenazas persistentes de ciberseguridad y los riesgos que enfrentan la cadena de suministro de la salud y los proveedores relacionados, así como sus clientes..
See Also: Live Webinar | Remote Employees & the Great Resignation:How Are You Managing Insider Threats?
En un u.S.La presentación de 8-K de la Comisión de Bolsa y Valores de 8-K el lunes, Mountain View, Omnicell, con sede en California, reveló que determinó el 4 de mayo que un ataque de ransomware había afectado ciertos sistemas de TI internos, y que el incidente y su completo efecto aún estaban siendo investigados.
"Hay un impacto en algunos de los productos y servicios de la compañía, así como en algunos de sus sistemas internos", dice la presentación del proveedor de soluciones de automatización de medicamentos, cuyos productos se utilizan en hospitales, farmacias y otras entidades del sector de la salud.
Al detectar el evento de seguridad, Omnicell dice que tomó medidas inmediatas contener el incidente e implementar sus planes de continuidad comercial para restaurar y apoyar las operaciones continuas.
"La compañía se encuentra en las primeras etapas de su investigación y evaluación del evento de seguridad y no puede determinar, en este momento, el alcance del impacto de dicho evento en nuestro negocio, resultados de operaciones o condición financiera o si dicho impacto tendrá unefecto adverso de material ", dice la presentación.
Omnicell dice que ha notificado a las autoridades policiales y también está trabajando en estrecha colaboración con expertos en ciberseguridad y asesor legal sobre el asunto..
Riesgos relacionados
Omnicell en su formulario 10-Q de ganancias trimestrales también presentada ante la SEC el lunes, reconoce que las "interrupciones significativas" en sus sistemas de TI, violaciones de datos o ataques cibernéticos en sus sistemas podrían afectar negativamente a su negocio.
"Confiamos en los sistemas de TI para mantener registros financieros y registros corporativos, comunicarnos con personal y partes externas, y operar otras funciones críticas, incluidos los procesos de ventas y fabricación", dice Omnicell en la presentación.
"También utilizamos servicios en la nube de terceros en relación con nuestras operaciones ... nuestros sistemas de TI y los servicios de nube de terceros son potencialmente vulnerables a la interrupción debido a la descomposición, la intrusión maliciosa y los virus informáticos, las crisis de salud pública como la pandemia en curso Covid-19, otros eventos catastróficos o impacto ambiental, así como debido a actualizaciones del sistema y/o nuevas implementaciones del sistema."
Omnicell dice que sus sistemas también pueden experimentar vulnerabilidades del código de software de terceros o de código abierto que se pueden incorporar a los sistemas propios o de sus proveedores."Cualquier interrupción prolongada del sistema en nuestros sistemas de TI o servicios de terceros podría afectar negativamente la coordinación de nuestras actividades de ventas, planificación y fabricación, lo que podría dañar nuestro negocio", dice Omnicell.
"Además, para maximizar nuestra eficiencia de TI, hemos consolidado físicamente nuestros datos corporativos principales y operaciones informáticas.Sin embargo, esta concentración nos expone a un mayor riesgo de interrupción en nuestros sistemas de TI internos."
Aunque Omnicell dice que mantiene copias de seguridad fuera del sitio de sus datos, "una interrupción de las operaciones en nuestras instalaciones podría interrumpir materialmente nuestro negocio si no somos capaces de restaurar la función dentro de un marco de tiempo aceptable."
Omnicell también dice que sus sistemas de TI y sus servicios en la nube de terceros "son potencialmente vulnerables a los ataques cibernéticos, incluidos el ransomware u otros incidentes de seguridad de datos, por empleados u otros, que pueden exponer datos confidenciales a personas no autorizadas."
"Los incidentes de seguridad de datos también podrían conducir a la pérdida de secretos comerciales u otra propiedad intelectual, o a la exposición pública de información confidencial y confidencial de nuestros empleados, clientes, proveedores y otros, cualquiera de los cuales podría tener un efecto adverso material en nuestronegocio, condición financiera y resultados de operaciones ", dice.
Además, ciertas soluciones de Omnicell reciben, almacenan y procesan los datos de los clientes y también están en riesgo.Por ejemplo, el sistema privado de participación del paciente basado en la nube de Omnicell, EnlivenHealth, ayuda a los pacientes a adherirse a sus objetivos de medicamentos a través de la plataforma basada en AWEB, dice la compañía..
"Un ataque efectivo a nuestras soluciones podría interrumpir el funcionamiento adecuado de nuestras soluciones, permitir el acceso no autorizado a información confidencial y confidencial de nuestros clientes, incluida la información de salud protegida, e interrumpir las operaciones de nuestros clientes", dice Omnicell
No hay apuestas seguras
Omnicell dice que ha implementado una serie de medidas de seguridad diseñadas para proteger sus sistemas y datos, incluidos firewalls, herramientas de detección de antivirus y malware, parches, monitores de registro, copias de seguridad de rutina, auditorías del sistema, modificaciones de contraseña de rutina y procedimientos de recuperación de desastres.
Además, la compañía dice que tiene un seguro que actualmente incluye cobertura para ataques cibernéticos.
Pero, dice, "hemos visto una tendencia en la que la cantidad de cobertura que ofrece los proveedores de seguros para tales ataques cibernéticos está disminuyendo mientras que el costo de obtener dicha cobertura está aumentando.Si esta tendencia continúa, la cobertura de seguro que poseemos puede no ser adecuada o el costo para obtener dicha cobertura puede volverse prohibitiva.
"Cualquier falla para prevenir tales violaciones de seguridad o violaciones de privacidad, o implementar medidas correctivas satisfactorias, podría requerir que gastemos recursos significativos para remediar cualquier daño, interrumpir nuestras operaciones o las operaciones de nuestros clientes, dañar nuestra reputación, dañar nuestras relaciones con nuestros clientes., o exponernos a un riesgo de pérdida financiera, litigios, sanciones regulatorias, obligaciones de indemnización contractual u otra responsabilidad."
Omnicell declinó la solicitud del Grupo de Medios de Seguridad de la Información para obtener detalles adicionales y comentarios sobre su reciente incidente de ransomware.
Brechas de informes
El abogado de privacidad David Holtzman de la firma de consultoría Hitprivacy dice que los informes de Omnicell a la SEC de un ataque de ransomware señala "la necesidad evidente" para que las regulaciones federales protejan mejor a las personas cuyos datos se divulgan a través de un incidente de ciberseguridad o ransomware.
"Actualmente, las empresas que cotizan en bolsa deben informar ciberseguridad y ransomware para garantizar que los intereses de sus accionistas estén protegidos", dice ", dice.
Holtzman dice que a excepción de aquellas compañías que son entidades cubiertas de HIPAA o sujetas a las regulaciones de la Comisión Federal de Comercio para registros de salud personales, "no hay requisitos federales para notificar a los consumidores cuando su información de identificación personal se ve comprometida como resultado de una seguridad cibernética o ransomwareincidente."
Mientras tanto, las entidades que han compartido información de identificación personal con Omnicell deben revisar sus contratos de proveedores para garantizar que haya términos que especifiquen la obligación de Omnicell de proporcionar una notificación oportuna e informes detallados de sus investigaciones sobre incidentes de seguridad que plantean el riesgo de compromiso de datos, él, él, él, él, él, él, él, él, él, él proporciona notificaciones oportunas y informes detallados de sus investigaciones sobre incidentes de seguridad que presenten un riesgo de compromiso de datos,dice.
Holtzman dice que los informes deberían detallar el incidente preciso que ocurrió, los pasos que el proveedor dio durante su investigación, un análisis forense de los sistemas afectados por el evento de seguridad, un inventario de los datos que pertenecen al proveedor y los datos exactos en riesgocompromiso.
Campanas de advertencia
El ataque de ransomware contra Omnicell, y los riesgos establecidos de la compañía que involucran cibernétricos y violaciones de datos, también son recordatorios de otras entidades del sector de la salud sobre el impacto potencial que la cadena de suministro y los incidentes de seguridad de los proveedores pueden tener en sus propias organizaciones.
Debido a que los productos y sistemas que proporcionan los proveedores de atención médica pueden ser esenciales para brindar atención de salvación de vidas, estos productos deben diseñarse de manera que un ataque de ciberseguridad nunca pueda causar daño directo o indirecto, dice Todd Ebert, presidente y CEO de la Asociación de la Cadena de Suministro de Salud..
Además, ningún dispositivo debe poder actuar como una puerta de enlace para comprometer un sistema, red u otro dispositivo conectado, y todos los dispositivos deberían poder proporcionar funciones clínicas básicas en una base independiente desconectadas de todos los sistemas o redes, HE, éldice ismg.
Los proveedores y los proveedores de atención médica deben estar atentos y hacer todo lo posible para frustrar los ataques antes de que ocurran, y también deben estar preparados para cuando un ataque tenga éxito, para que puedan intervenir rápidamente y limitar el impacto del ataque, dice Ebert, dice Ebert, dice Ebert..
"Mantener la seguridad del dispositivo y la información es una responsabilidad compartida de los fabricantes y proveedores de dispositivos y servicios conectados, así como de las organizaciones de prestación de atención médica que los utilizan..Proporcionar esta seguridad es un esfuerzo continuo que requiere vigilancia, adaptación y comunicación y colaboración continuas entre las partes."
Uno de los componentes clave de la preparación es tener un plan de continuidad para operaciones continuas si un dispositivo, dispositivos o sistema debe estar aislado o apagado, dice.."Los proveedores también deben tener planes para analizar cualquier red o sistema a los que estén conectados los productos del proveedor afectado", dice ", dice.
"Los proveedores deben tener cuidado de que esos productos sean una puerta de entrada para un ataque a sus propios sistemas.Es muy importante que los proveedores tengan una línea de comunicación abierta y continua con el equipo de seguridad del proveedor cuando se trata de un ataque "(ver: SBOMS en la cadena de suministro de atención médica son esenciales).
Preocupaciones de seguridad del paciente
Algunos expertos dicen que los incidentes de seguridad que involucran sistemas de TI de terceros y software también destacan el riesgo para la seguridad del paciente..
"Los ataques cibernéticos en entidades de atención médica ciertamente pueden poner en riesgo vidas", dice Deidre Tompkins, gerente senior de consultoría de la firma de seguridad Pondurance.
Dichos incidentes pueden interrumpir el acceso a los registros de salud electrónicos del paciente, explotar vulnerabilidades en dispositivos médicos y equipos de diagnóstico, y exponer, o revelar ilegalmente, PHI, dice ella, dice ella, dice ella, dice ella, dice ella, dice ella, dice ella, dice ella, dice ella, dice ella, dice ella.."Las interrupciones también pueden incluir demoras y complicaciones en procedimientos o pruebas y causar el desvío de los pacientes a otras instalaciones."
Orientación NIST
En la imagen más grande, la semana pasada, el Instituto Nacional de Normas y Tecnología, luego de las recientes órdenes ejecutivas del presidente Joe Biden con respecto a la ciberseguridad, revisó su orientación para contrarrestar los riesgos de la cadena de suministro (ver: Actualización de NIST para la guía para la gestión de riesgos de la cadena de suministro).
La publicación revisada "Prácticas de gestión de riesgos de la cadena de suministro de ciberseguridad para sistemas y organizaciones" brinda orientación para identificar, evaluar y responder a los riesgos de ciberseguridad en toda la cadena de suministro en todos los niveles de una organización.
