Gerenciamento de riscos de terceiros, Notificação de violação, Gerenciamento de continuidade de negócios / Recuperação de desastres
Empresa de sistemas de gerenciamento médico divulga incidente cibernético e riscos para a SECMarianne Kolbasuk McGee (HealthInfoSec)•11 de maio de 2022Um recente ataque de ransomware a um fornecedor de sistemas de gerenciamento de medicamentos é o último lembrete de ameaças e riscos persistentes de segurança cibernética enfrentados pela cadeia de suprimentos de saúde e fornecedores relacionados, bem como seus clientes.
Veja também: Webinar ao vivo | Funcionários remotos & a Grande Renúncia: Como você está gerenciando ameaças internas?
Em um registro 8-K da Comissão de Valores Mobiliários dos EUA na segunda-feira, a Omnicell, com sede em Mountain View, Califórnia, divulgou que determinou em 4 de maio que um ataque de ransomware afetou certos sistemas internos de TI e que o incidente e seu efeito total ainda estavam sendo investigados.
"Existe um impacto em alguns produtos e serviços da empresa, bem como em alguns de seus sistemas internos", diz o registro do fornecedor de soluções de automação de medicamentos, cujos produtos são usados em hospitais, farmácias e outras entidades do setor de saúde .
Ao detectar o evento de segurança, a Omnicell diz que tomou medidas imediatas para conter o incidente e implementar seus planos de continuidade de negócios para restaurar e dar suporte às operações contínuas.
"A Empresa está nos estágios iniciais de sua investigação e avaliação do evento de segurança e não pode determinar, neste momento, a extensão do impacto de tal evento em nossos negócios, resultados de operações ou condição financeira ou se tal impacto terá um efeito material adverso", diz o documento.
A Omnicell diz que notificou as autoridades policiais e também está trabalhando em estreita colaboração com especialistas em segurança cibernética e consultores jurídicos sobre o assunto.
Riscos Relacionados
A Omnicell em seu formulário 10-Q de ganhos trimestrais também arquivado na SEC na segunda-feira, reconhece que "interrupções significativas" em seus sistemas de TI, violações de dados ou ataques cibernéticos em seus sistemas podem prejudicar afetar seus negócios.
"Contamos com sistemas de TI para manter registros financeiros e corporativos, nos comunicar com funcionários e partes externas e operar outras funções críticas, incluindo vendas e processos de fabricação", afirma a Omnicell no processo.
"Também utilizamos serviços de nuvem de terceiros em conexão com nossas operações... Nossos sistemas de TI e serviços de nuvem de terceiros são potencialmente vulneráveis a interrupções devido a falhas, invasões maliciosas e vírus de computador, crises de saúde pública, como a atual COVID -19, outros eventos catastróficos ou impacto ambiental, bem como devido a atualizações de sistema e/ou novas implementações de sistema."
A Omnicell diz que seus sistemas também podem enfrentar vulnerabilidades de código de software de código aberto ou de terceiros que podem ser incorporados a seus próprios sistemas ou aos de seus fornecedores. "Qualquer interrupção prolongada do sistema em nossos sistemas de TI ou serviços de terceiros pode afetar negativamente a coordenação de nossas vendas, planejamento e atividades de fabricação, o que pode prejudicar nossos negócios", diz a Omnicell.
"Além disso, para maximizar nossa eficiência de TI, consolidamos fisicamente nossos principais dados corporativos e operações de computador. Essa concentração, no entanto, nos expõe a um risco maior de interrupção de nossos sistemas internos de TI."
Embora a Omnicell diga que mantém backups externos de seus dados, "uma interrupção das operações em nossas instalações pode interromper significativamente nossos negócios se não formos capazes de restaurar a função dentro de um prazo aceitável".
A Omnicell também diz que seus sistemas de TI e serviços de nuvem de terceiros "são potencialmente vulneráveis a ataques cibernéticos, incluindo ransomware ou outros incidentes de segurança de dados, por funcionários ou outros, que podem expor dados confidenciais a pessoas não autorizadas".
"Incidentes de segurança de dados também podem levar à perda de segredos comerciais ou outra propriedade intelectual, ou à exposição pública de informações sensíveis e confidenciais de nossos funcionários, clientes, fornecedores e outros, qualquer um dos quais pode ter um efeito material adverso efeito sobre nossos negócios, situação financeira e resultados operacionais", afirma.
Além disso, algumas soluções da Omnicell recebem, armazenam e processam os dados dos clientes e também estão em risco. Por exemplo, o sistema de envolvimento do paciente baseado em nuvem privada da Omnicell, EnlivenHealth, ajuda os pacientes a cumprirem suas metas de medicação por meio de uma plataforma baseada na web, diz a empresa.
"Um ataque eficaz em nossas soluções pode interromper o funcionamento adequado de nossas soluções, permitir acesso não autorizado a informações sensíveis e confidenciais de nossos clientes - incluindo informações de saúde protegidas - e interromper as operações de nossos clientes", diz Omnicell
No Sure Bets
A Omnicell diz que implementou uma série de medidas de segurança projetadas para proteger seus sistemas e dados, incluindo firewalls, antivírus e ferramentas de detecção de malware, patches, monitores de log, backups de rotina, auditorias de sistema , modificações de senha de rotina e procedimentos de recuperação de desastres.
Além disso, a empresa diz ter um seguro que atualmente inclui cobertura para ataques cibernéticos.
Mas, diz ele, "observamos uma tendência em que a quantidade de cobertura oferecida pelos provedores de seguros para esses ataques cibernéticos está diminuindo, enquanto o custo de obtenção dessa cobertura está aumentando. Se essa tendência continuar, a cobertura de seguro que possuímos pode pode não ser adequado ou o custo para obter tal cobertura pode se tornar proibitivo.
"Qualquer falha em impedir tais violações de segurança ou privacidade, ou implementar medidas corretivas satisfatórias, pode exigir que gastemos recursos significativos para remediar qualquer dano, interromper nossas operações ou as operações de nossos clientes, prejudicar nossa reputação, prejudicar nossos relacionamentos com nossos clientes, ou nos expor a um risco de perda financeira, litígio, penalidades regulatórias, obrigações contratuais de indenização ou outras responsabilidades."
A Omnicell recusou o pedido do Information Security Media Group para obter detalhes adicionais e comentários sobre seu recente incidente de ransomware.
Lacunas de relatórios
O advogado de privacidade David Holtzman, da empresa de consultoria HITprivacy, diz que o relatório da Omnicell à SEC sobre um ataque de ransomware aponta "a necessidade gritante" de regulamentações federais para proteger melhor os indivíduos cujos dados são divulgados por meio de um incidente de segurança cibernética ou ransomware.
"Atualmente, as empresas de capital aberto são obrigadas a relatar segurança cibernética e ransomware para garantir que os interesses de seus acionistas sejam protegidos", diz ele.
Holtzman diz que, exceto para as empresas que são entidades cobertas pela HIPAA ou sujeitas aos regulamentos da Federal Trade Commission para registros pessoais de saúde, "não há requisitos federais para notificar os consumidores quando suas informações de identificação pessoal são comprometidas como resultado de um incidente de segurança cibernética ou ransomware."
Enquanto isso, as entidades que compartilharam informações de identificação pessoal com a Omnicell devem revisar seus contratos de fornecedor para garantir que haja termos que especifiquem a obrigação da Omnicell de fornecer notificações oportunas e relatórios detalhados de suas investigações sobre incidentes de segurança que representam um risco de dados compromisso, diz ele.
Holtzman diz que os relatórios devem detalhar o incidente preciso que ocorreu, as etapas que o fornecedor realizou durante a investigação, uma análise forense dos sistemas afetados pelo evento de segurança, um inventário dos dados que pertencem ao provedor e a exata dados em risco de comprometimento.
Warning Bells
O ataque de ransomware à Omnicell - e os riscos declarados da empresa envolvendo ameaças cibernéticas e violações de dados - também são lembretes para outras entidades do setor de saúde sobre o impacto potencial que os incidentes de segurança da cadeia de suprimentos e fornecedores podem ter em suas próprias organizações.
Como os produtos e sistemas fornecidos pelos fornecedores de assistência médica podem ser essenciais para a prestação de cuidados que salvam vidas, esses produtos devem ser projetados de forma que um ataque de segurança cibernética nunca cause danos diretos ou indiretos, diz Todd Ebert, presidente e CEO da Healthcare Supply Chain Associação.
Além disso, nenhum dispositivo deve ser capaz de atuar como um gateway para comprometer um sistema, rede ou outro dispositivo conectado, e todos os dispositivos devem ser capazes de fornecer funções clínicas básicas de forma autônoma, desconectados de todos os sistemas ou redes, diz ele ao ISMG.
Fornecedores e profissionais de saúde precisam estar vigilantes e fazer todos os esforços para impedir os ataques antes que eles ocorram, e também devem estar preparados para quando um ataque for bem-sucedido, para que possam intervir rapidamente e limitar o impacto do ataque, diz Ebert .
"Manter a segurança de dispositivos e informações é uma responsabilidade compartilhada dos fabricantes e fornecedores de dispositivos e serviços conectados, bem como das organizações de saúde que os utilizam. Fornecer essa segurança é um esforço contínuo que requer vigilância, adaptação e comunicação contínua e colaboração entre as partes."
Um dos principais componentes da preparação é ter um plano de continuidade para continuar as operações se um dispositivo, dispositivos ou sistema precisar ser isolado ou desligado, diz ele. "Os fornecedores também devem ter planos para examinar quaisquer redes ou sistemas aos quais os produtos do fornecedor afetado estejam conectados", diz ele.
"Os provedores devem estar atentos para que esses produtos sejam uma porta de entrada para um ataque em seus próprios sistemas. É muito importante que os provedores tenham uma linha de comunicação aberta e contínua com a equipe de segurança do fornecedor ao lidar com um ataque" (consulte: SBOMs na cadeia de suprimentos de saúde são essenciais).
Preocupações com a segurança do paciente
Alguns especialistas dizem que incidentes de segurança envolvendo software e sistemas de TI de terceiros também destacam o risco à segurança do paciente.
"Os ataques cibernéticos em entidades de saúde certamente podem colocar vidas em risco", diz Deidre Tompkins, gerente sênior de consultoria da empresa de segurança Pondurance.
Tais incidentes podem interromper o acesso aos registros eletrônicos de saúde do paciente, explorar vulnerabilidades em dispositivos médicos e equipamentos de diagnóstico e expor - ou divulgar ilegalmente - PHI, diz ela. "As interrupções também podem incluir atrasos e complicações em procedimentos ou testes e causar desvio de pacientes para outras instalações".
Orientação do NIST
No quadro geral, na semana passada, o Instituto Nacional de Padrões e Tecnologia - seguindo as recentes ordens executivas do presidente Joe Biden em relação à segurança cibernética - revisou sua orientação para combater os riscos da cadeia de suprimentos (consulte: NIST Atualiza a Orientação para Gerenciamento de Riscos da Cadeia de Suprimentos).
A publicação revisada "Cybersecurity Supply Chain Risk Management Practices for Systems and Organizations" fornece orientação sobre como identificar, avaliar e responder a riscos de segurança cibernética em toda a cadeia de suprimentos em todos os níveis de uma organização.
