Myyjän Ransomware Attack on uusin toimitusketjun varoitus

Kolmannen osapuolen riskinhallinta, rikkomuksista ilmoittaminen, liiketoiminnan jatkuvuuden hallinta / katastrofipalautus

Äskettäinen ransomware-hyökkäys lääkkeidenhallintajärjestelmien toimittajaa vastaan ​​on uusin muistutus jatkuvista kyberturvallisuusuhkista ja riskeistä, joita kohdata terveydenhuollon toimitusketju ja siihen liittyvät toimittajat sekä heidän asiakkaat.

Katso myös: Live-webinaari | Etätyöntekijät & Suuri eroaminen: Kuinka hallitset sisäpiirin uhkia?

Yhdysvaltain arvopaperi- ja pörssikomitean 8-K-hakemuksessa maanantaina Mountain View, Kalifornialainen Omnicell paljasti, että se päätti 4. toukokuuta, että kiristysohjelmahyökkäys oli vaikuttanut tiettyihin sisäisiin IT-järjestelmiin ja että tapaus ja sen täysi vaikutus. tutkittiin vielä.

"Sillä on vaikutusta tiettyihin Yhtiön tuotteisiin ja palveluihin sekä tiettyihin sisäisiin järjestelmiin", kertoo lääkeautomaatioratkaisujen toimittaja, jonka tuotteita käytetään sairaaloissa, apteekeissa ja muissa terveydenhuoltoalan yksiköissä. .

Havaittuaan tietoturvatapahtuman Omnicell sanoo ryhtyneensä välittömiin toimiin tapauksen hillitsemiseksi ja toteuttavansa liiketoiminnan jatkuvuussuunnitelmansa toiminnan palauttamiseksi ja jatkamiseksi.

"Yhtiö on tietoturvatapahtuman tutkinnan ja arvioinnin alkuvaiheessa, eikä voi tällä hetkellä määrittää, kuinka laajaa tällaisella tapahtumalla on vaikutusta liiketoimintaamme, toiminnan tulokseen tai taloudelliseen asemaan tai onko tällainen vaikutus sillä on olennainen haitallinen vaikutus", hakemuksessa sanotaan.

Omnicell kertoo ilmoittaneensa asiasta lainvalvontaviranomaisille ja työskentelevänsä tiiviisti kyberturvallisuusasiantuntijoiden ja lakimiesten kanssa.

Aiheeseen liittyvät riskit

Omnicell myöntää myös SEC:lle maanantaina toimitetussa neljännesvuosittaisessa tuloslaskelmassaan 10-Q, että "merkittävät häiriöt" sen IT-järjestelmissä, tietomurrot tai kyberhyökkäykset sen järjestelmiin voivat haitata. vaikuttaa sen liiketoimintaan.

"Luotamme IT-järjestelmiin pitääksemme talouskirjanpitoa ja yrityskirjanpitoa, kommunikoidaksemme henkilöstön ja ulkopuolisten tahojen kanssa ja hoitaaksemme muita kriittisiä toimintoja, mukaan lukien myynti- ja valmistusprosesseja", Omnicell sanoo hakemuksessa.

"Hyödynnämme toimintamme yhteydessä myös kolmannen osapuolen pilvipalveluita… IT-järjestelmämme ja kolmannen osapuolen pilvipalvelumme ovat mahdollisesti alttiita häiriöille, jotka johtuvat häiriöistä, haitallisista tunkeutumisista ja tietokoneviruksista, kansanterveyskriisistä, kuten meneillään oleva COVID -19 pandemiasta, muista katastrofeista tai ympäristövaikutuksista sekä järjestelmäpäivityksistä ja/tai uusista järjestelmätoteutuksista."

Omnicell kertoo, että sen järjestelmissä voi myös esiintyä haavoittuvuuksia kolmannen osapuolen tai avoimen lähdekoodin ohjelmistokoodista, joka voidaan sisällyttää sen omiin tai sen toimittajien järjestelmiin. "Kaikki pitkittynyt järjestelmähäiriö IT-järjestelmissämme tai kolmannen osapuolen palveluissa voi vaikuttaa negatiivisesti myynti-, suunnittelu- ja valmistustoimintojemme koordinointiin, mikä voi vahingoittaa liiketoimintaamme", Omnicell sanoo.

"Lisäksi IT-tehokkuutemme maksimoimiseksi olemme fyysisesti yhdistäneet ensisijaiset yritystietomme ja tietokonetoiminnot. Tämä keskittyminen kuitenkin altistaa meidät suuremmalle riskille sisäisten IT-järjestelmien häiriintymisestä."

Vaikka Omnicell sanoo ylläpitävänsä tiedoistaan ​​ulkopuolisia varmuuskopioita, "toimintojen häiriöt tiloissamme voisivat merkittävästi häiritä liiketoimintaamme, jos emme pysty palauttamaan toimintaamme hyväksyttävässä ajassa."

Omnicell sanoo myös, että sen IT-järjestelmät ja kolmannen osapuolen pilvipalvelut "ovat mahdollisesti haavoittuvia työntekijöiden tai muiden suorittamille kyberhyökkäyksille, kuten kiristysohjelmille, tai muille tietoturvahäiriöille, jotka voivat paljastaa arkaluonteisia tietoja luvattomille henkilöille."

"Tietoturvaloukkaukset voivat myös johtaa liikesalaisuuksien tai muun immateriaaliomaisuuden menettämiseen tai työntekijöidemme, asiakkaidemme, toimittajiemme ja muiden arkaluontoisten ja luottamuksellisten tietojen julkistamiseen, joista millä tahansa voi olla merkittävää haittaa. vaikutus liiketoimintaamme, taloudelliseen asemaamme ja toiminnan tulokseen", se sanoo.

Lisäksi tietyt Omnicell-ratkaisut vastaanottavat, tallentavat ja käsittelevät asiakkaiden tietoja ja ovat myös vaarassa. Esimerkiksi Omnicellin yksityinen pilvipohjainen potilaiden sitouttamisjärjestelmä EnlivenHealth auttaa potilaita noudattamaan lääkitystavoitteitaan verkkopohjaisen alustan kautta, yhtiö kertoo.

"Tehokas hyökkäys ratkaisuihimme voi häiritä ratkaisujemme asianmukaista toimintaa, sallia luvattoman pääsyn asiakkaidemme arkaluontoisiin ja luottamuksellisiin tietoihin - mukaan lukien suojatut terveystiedot - ja häiritä asiakkaidemme toimintaa", Omnicell sanoo.

No Sure Bets

Omnicell sanoo ottaneensa käyttöön useita turvatoimenpiteitä, jotka on suunniteltu suojaamaan järjestelmiään ja tietojaan, mukaan lukien palomuurit, virustentorjunta- ja haittaohjelmien tunnistustyökalut, korjaustiedostot, lokimonitorit, rutiinivarmuuskopiot ja järjestelmätarkastukset. , rutiininomaiset salasanan muutokset ja katastrofipalautustoimenpiteet.

Lisäksi yhtiö sanoo, että sillä on vakuutus, joka sisältää tällä hetkellä suojan kyberhyökkäysten varalta.

Mutta siinä sanotaan: "Olemme nähneet suuntauksen, jossa vakuutusten tarjoajien tarjoama kattavuus tällaisiin kyberhyökkäyksiin laskee, kun taas tällaisen katteen saamisen kustannukset kasvavat. Jos tämä suuntaus jatkuu, meillä oleva vakuutusturva saattaa eivät ole riittävät tai tällaisen katteen saamisesta aiheutuvat kustannukset voivat tulla kohtuuttomiksi.

"Jos epäonnistumme estämään tällaisia ​​tietoturvaloukkauksia tai yksityisyyden loukkauksia tai toteuttamaan tyydyttäviä korjaavia toimenpiteitä, voimme joutua käyttämään merkittäviä resursseja vahinkojen korjaamiseen, häiritsemään toimintaamme tai asiakkaidemme toimintaa, vahingoittamaan mainettamme, vahingoittamaan suhteitamme. asiakkaidemme kanssa tai altistaa meidät riskille taloudellisesta menetyksestä, oikeudenkäynneistä, viranomaisoikeudellisista seuraamuksista, sopimusperusteisista korvausvelvollisuuksista tai muusta vastuusta."

Omnicell hylkäsi Information Security Media Groupin pyynnön saada lisätietoja ja kommentoida sen äskettäistä ransomware-tapausta.

Aukkojen ilmoittaminen

Konsultointiyritys HITprivacy:n tietosuojalakimies David Holtzman sanoo, että Omnicellin SEC:lle ilmoittama kiristysohjelmahyökkäys osoittaa "ilmevän tarpeen" liittovaltion säännöksille, joilla suojellaan paremmin henkilöitä, joiden tiedot paljastetaan kyberturvallisuus- tai kiristysohjelmatapahtuma.

"Tällä hetkellä julkisesti noteerattujen yritysten on raportoitava kyberturvallisuudesta ja kiristysohjelmista varmistaakseen osakkeenomistajiensa etujen turvaamisen", hän sanoo.

Holtzman sanoo, että lukuun ottamatta yrityksiä, jotka ovat HIPAA:n kattamia tai jotka ovat Federal Trade Commissionin henkilökohtaisia ​​terveystietoja koskevien säännösten alaisia, "ei ole liittovaltion vaatimuksia ilmoittaa kuluttajille, kun heidän henkilökohtaisia ​​tietojaan vaarantuu kyberturvallisuus- tai kiristysohjelmatapaus."

Sillä välin yksiköiden, jotka ovat jakaneet henkilökohtaisia ​​tunnistetietoja Omnicellin kanssa, tulee tarkistaa toimittajasopimukseensa varmistaakseen, että niissä on ehdot, jotka määrittelevät Omnicellin velvollisuuden toimittaa oikea-aikaiset ilmoitukset ja yksityiskohtaiset raportit tietoriskiä aiheuttavien tietoturvaloukkausten tutkimuksista. kompromissi, hän sanoo.

Holtzman sanoo, että raporttien tulee sisältää yksityiskohtaiset tiedot tapahtuneesta tapahtumasta, toimittajan toimista tutkimuksensa aikana, rikostekninen analyysi järjestelmistä, joihin tietoturvatapahtuma vaikuttaa, luettelo palveluntarjoajalle kuuluvista tiedoista ja tarkat tiedot. tiedot vaarantuvat.

Varoituskellot

Lransomware-hyökkäys Omnicelliin – ja yrityksen ilmoittamat kyberuhkiin ja tietomurtoihin liittyvät riskit – ovat myös muistutuksia muille terveydenhuoltoalan toimijoille mahdollisista vaikutuksista, joita toimitusketjun ja myyjän tietoturvahäiriöillä voi olla. omissa organisaatioissaan.

Koska terveydenhuollon toimittajien tarjoamat tuotteet ja järjestelmät voivat olla välttämättömiä hengenpelastushoidon toimittamisessa, nämä tuotteet tulee suunnitella siten, että kyberturvallisuushyökkäys ei koskaan voi aiheuttaa suoraa tai välillistä haittaa, sanoo Healthcare Supply Chainin toimitusjohtaja Todd Ebert. yhdistys.

Lisäksi mikään laite ei saa toimia yhdyskäytävänä järjestelmän, verkon tai muun yhdistetyn laitteen vaarantamiseksi, ja kaikkien laitteiden tulisi pystyä tarjoamaan kliiniset perustoiminnot itsenäisesti irrotettuna kaikista järjestelmistä tai verkkoihin, hän kertoo ISMG:lle.

Sekä tavarantoimittajien että terveydenhuollon tarjoajien on oltava valppaita ja tehtävä kaikkensa estääkseen hyökkäykset ennen kuin ne tapahtuvat. Heidän on myös varauduttava hyökkäyksen onnistumiseen, jotta he voivat puuttua asiaan nopeasti ja rajoittaa hyökkäyksen vaikutuksia, Ebert sanoo. .

"Laite- ja tietoturvan ylläpito on yhdistettyjen laitteiden ja palveluiden valmistajien ja toimittajien sekä niitä käyttävien terveydenhuollon jakeluorganisaatioiden yhteinen vastuu. Tämän suojauksen tarjoaminen on jatkuvaa työtä, joka vaatii valppautta, mukauttamista ja jatkuvaa viestintää. ja osapuolten välistä yhteistyötä."

Yksi ​​valmiuden avainkomponenteista on jatkuvuussuunnitelma toiminnan jatkamiselle, jos laite, laitteet tai järjestelmä on eristettävä tai sammutettava, hän sanoo. "Tarjoajilla tulisi myös olla suunnitelmia niiden verkkojen tai järjestelmien tarkastamiseksi, joihin asianomaisen toimittajan tuotteet on kytketty", hän sanoo.

"Toimittajien tulee olla varovaisia ​​siitä, että kyseiset tuotteet ovat portti hyökkäyksille heidän omiin järjestelmiinsä. On erittäin tärkeää, että palveluntarjoajilla on avoin ja jatkuva viestintä toimittajan tietoturvatiimin kanssa käsitellessään hyökkäystä" (katso: SBOM:t terveydenhuollon toimitusketjussa ovat välttämättömiä).

Potilaiden turvallisuuteen liittyvät huolenaiheet

Jotkut asiantuntijat sanovat, että kolmannen osapuolen IT-järjestelmiin ja ohjelmistoihin liittyvät tietoturvahäiriöt korostavat myös potilasturvallisuuteen kohdistuvaa riskiä.

"Terveydenhuollon yksiköihin kohdistuvat kyberhyökkäykset voivat varmasti vaarantaa ihmishenkiä", sanoo Deidre Tompkins, turvayritys Pondurancen konsultointipäällikkö.

Tällaiset tapaukset voivat häiritä pääsyä potilaiden sähköisiin terveystietoihin, hyödyntää lääkinnällisten laitteiden ja diagnostisten laitteiden haavoittuvuuksia ja paljastaa – tai paljastaa laittomasti – PHI:n, hän sanoo. "Häiriöt voivat sisältää myös viivästyksiä ja komplikaatioita toimenpiteissä tai testeissä ja aiheuttaa potilaiden siirtymisen muihin tiloihin."

NIST-ohjeet

Suuremmassa kuvassa National Institute of Standards and Technology - presidentti Joe Bidenin äskettäisten kyberturvallisuutta koskevien määräysten mukaisesti - muutti ohjeistustaan ​​toimitusketjun riskien torjumiseksi (katso: NIST Päivitykset toimitusketjun riskien hallintaan).

Tarkistettu julkaisu "Cybersecurity Supply Chain Risk Management Practices for Systems and Organisations" antaa ohjeita kyberturvallisuusriskien tunnistamiseen, arvioimiseen ja niihin vastaamiseen koko toimitusketjun kaikilla tasoilla organisaation kaikilla tasoilla.