Preguntas frecuentes de expertos: ¿Cómo puede preparar la atención médica para el aumento de las amenazas cibernéticas?

Esta sesión de preguntas frecuentes se publicó originalmente en Sanidad Global. Entrevista realizada por Ella Thompson.

Los ataques de ransomware en el cuidado de la salud aumentaron un 328% en la primera mitad de 2022, según el HIPAA Journal. Y el costo promedio de una violación en la atención médica es de $ 10.1 millones en comparación con un promedio de $ 4.35 millones en otras industrias, según el Reporte de costo de una violación de IBM 2022.

La industria de la salud es un objetivo importante para los ataques cibernéticos, entonces, ¿cómo pueden preparar las organizaciones?

Nos sentamos con Trevor Dearing, director de marketing de soluciones industriales de Illumio, para discutir cómo las organizaciones de atención médica pueden ser proactivas contra las amenazas cibernéticas.

Unir a Illumio en HIMSS 2023 en Chicago del 17 al 21 de abril en el stand 2678. Registrar hoy.

¿Por qué el sector de la salud está en la parte superior de las listas de objetivos de los ciberatacantes?

La atención médica es un objetivo principal para los ataques cibernéticos porque un ataque puede poner en peligro el bienestar, e incluso la vida, de los pacientes.

Los ciberdelincuentes siempre apuntarán a aquellos que ofrezcan la mayor posibilidad de recompensa. Saben que los proveedores de atención médica no pueden permitir ningún tiempo de inactividad con la seguridad del paciente en juego y es más probable que paguen y lo hagan rápidamente. Es por eso que el sector se convirtió en una de las principales víctimas de los ataques de ransomware , particularmente en los últimos años.

Pero no son solo los ataques de ransomware los que las organizaciones deben tener en cuenta. Los proveedores de atención médica tienen grandes volúmenes de datos personales sobre los pacientes, que es un producto básico en los mercados de la web oscura. Estos datos alimentan ataques más dirigidos, chantajes y fraudes.

La industria también se convirtió en un objetivo más atractivo gracias al aumento de los dispositivos médicos conectados que ampliaron la superficie de ataque. La inestabilidad económica y las presiones del gasto público también significan que muchos proveedores de atención médica carecen de la cotización para igualar las estrategias cibernéticas más estables de otros sectores.

¿Cómo se desarrollan exactamente los ataques de ransomware?

La mayoría de los ataques de ransomware siguen un patrón similar. Los actores de ransomware obtienen acceso inicial a una organización y se esconden dentro de las redes (hasta meses a la vez) antes de atacar. Se moverán sigilosamente a través de la red de la organización, obteniendo privilegios de acceso de mayor nivel para acceder a archivos valiosos y sistemas de misión crítica antes de implementar su ransomware, bloqueando efectivamente archivos y aplicaciones. A menos que las organizaciones puedan detener la propagación, rápidamente encontrarán que toda la actividad se detiene.

Para los proveedores de atención médica, el peor de los casos podría ser la desconexión de dispositivos médicos, como sensores para monitorear los signos vitales del paciente y gestionar automáticamente el tratamiento. O podría bloquear registros críticos de pacientes y sistemas para gestionar citas, paralizando efectivamente la organización.

También estamos viendo más ataques que emplean una táctica de "doble extorsión" que combina el cifrado de datos con la exfiltración. El atacante hará copias de los datos y los cifrará, y luego amenazará con filtrar o vender información confidencial incluso si la víctima paga el rescate.

¿Cómo pueden las organizaciones de atención médica mantener a salvo de las amenazas cibernéticas?

Las organizaciones deben dejar de invertir tantos recursos en tratar de evitar que ocurran ataques e invertir en su lugar en la gestión del impacto. Esto significa aceptar que los ataques ocurrirán y mitigar el impacto a través de la contención de brechas.

Uno de los mejores modelos de seguridad para mejorar la resiliencia cibernética es Zero Trust. Esta estrategia se basa en el mantra de "nunca confíe, siempre verifique", lo que significa que no se confía automáticamente en ningún usuario para acceder a archivos y aplicaciones simplemente porque tiene las credenciales adecuadas.

Por lo general, Zero Trust consta de tres pilares: acceso a la red de confianza cero (ZTNA), seguridad de datos de confianza cero (ZTDS) y segmentación de confianza cero (ZTS). El último de los cuales es fundamental para la contención de brechas, dividiendo la red en múltiples secciones selladas, con principios de Zero Trust que rigen el movimiento entre zonas.

La investigación de Enterprise Strategy Group (ESG) encontró que las organizaciones que adoptaron estrategias de Zero Trust evitan un promedio de cinco desastres cibernéticos al año y ahorran un promedio de $ 20 millones en tiempo de inactividad de las aplicaciones. Y una emulación de ataque realizada por Bishop Fox descubrió que Illumio ZTS puede hacer que los atacantes sean ineficaces en menos de 10 minutos, cuatro veces más rápido que la detección y respuesta de endpoints (EDR) sola.

¿Por qué la industria de la salud debería cambiar su mentalidad para trabajar en aislar ataques, no prevenirlos?

Vimos un gran cambio en los motivos de ataque en los últimos años, desde un enfoque en el robo de datos hasta afectar la disponibilidad. Esto significa que la ciberseguridad ya no es solo un problema de seguridad; Es un problema operativo con impactos que incluyen un tiempo de inactividad operativo prolongado, daños financieros y de reputación y, para la atención médica, una posible pérdida de vidas.

Los ataques ahora están orientados a causar la máxima interrupción y los actores de amenazas cuentan con poder acceder a los sistemas y datos críticos antes de que las defensas los detecten. Los ataques también están aumentando en número y los ciberdelincuentes están empleando tácticas cada vez más sofisticadas para alcanzar sus objetivos. Esto significa que la prevención por sí sola ya no es una estrategia viable.

No importa cuán bien protegida esté la red, el compromiso es inevitable. Esto es lo que llamamos la mentalidad de "asumir incumplimiento". Esto puede parecer una actitud muy derrotista para un especialista en seguridad; Sin embargo, es esta mentalidad la que evitará que una brecha se convierta en un desastre grave. Si las organizaciones aceptan que un atacante violará sus defensas, pueden implementar medidas para contener la amenaza y minimizar el impacto.

Cuéntenos sobre los pasos que cualquier organización de atención médica, independientemente de su tamaño y cotización, puede tomar para fortalecer su postura de seguridad de inmediato.

El primer paso que deben tomar las organizaciones es mapear las comunicaciones de todos los sistemas. Una vez que un atacante se infiltró en una organización, intentará pasar a los activos de mayor valor. Estos podrían ser datos de pacientes o dispositivos médicos. Las organizaciones deben identificar qué sistemas pueden comunicar y cómo informar qué restricciones implementar.

A continuación, las organizaciones deben emplear este conocimiento para identificar y cuantificar los riesgos a los que se enfrenta cualquier activo o aplicación. Esto puede basar en la vulnerabilidad de cada sistema y la exposición a la que se enfrenta al conectarse a otros sistemas y dispositivos.

El paso final es aplicar controles basados en privilegios mínimos para gobernar y restringir el acceso entre recursos. Detener la comunicación no autorizada permite contener un ataque en una sola ubicación y evita que los atacantes lleguen a activos y servicios críticos. Este enfoque es igualmente aplicable para dispositivos médicos, centros de datos, la nube y puntos finales.

Seguir estos pasos hará que la infraestructura médica sea tolerante a las brechas y garantizará que las organizaciones puedan mantener los servicios incluso mientras están bajo ataque, sin la necesidad de cerrar los servicios o trasladar a los pacientes.

Registrar hoy para HIMSS 2023 y conozca a Illumio en nuestro stand 2678.

Lea más sobre cómo Illumio ZTS puede ayudar a proteger su organización de atención médica.

Contáctenos hoy para una demostración y consulta gratis.