البودكاست: العب في نافذة جديدة | تحميل (المدة: 56:37 — 51.8 ميجابايت)
الاشتراك: أبل بودكاست | سبوتيفي
يشرح قادة الإنترنت في مجال الرعاية الصحية لماذا أصبحت التكنولوجيا التشغيلية غير المُدارة، وإمكانية الوصول إلى البائعين، وتناقضات الهوية الآن أكبر مخاطر الأمن السيبراني الخفية في الصناعة. انظر أدناه أو أبعد من ذلك يوتيوب.
أصبحت التكنولوجيا التشغيلية بهدوء واحدة من أكبر النقاط العمياء للأمن السيبراني في مجال الرعاية الصحية. يمكن أن تكون المخاطرة أكبر مما يمكن أن تقبله معظم أنظمة الرعاية الصحية إذا تمكنت من رؤيته بوضوح. وقد برز التجزئة باعتباره الإجراء المضاد الأكثر عملية.
كان هذا هو الإجماع الذي توصل إليه ثلاثة من قادة الأمن السيبراني للرعاية الصحية في لجنة تكنولوجيا المعلومات لأنظمة الرعاية الصحية التي عقدت مؤخرًا. ويحذرون من أن مشهد التهديد قد تغير بشكل أسرع مما تكيفت معه معظم أنظمة الرعاية الصحية.
وكان Skip Sorrels، المدير التنفيذي للتكنولوجيا الميدانية ورئيس أمن المعلومات حاضرين خلال الجلسة ساطع; ستيفن راميريز، نائب الرئيس ورئيس قسم تكنولوجيا المعلومات في الصحة المعروفة; وجيم كويهوف، نائب رئيس أمن المعلومات في صحة كورويل. لقد وصفوا جميعًا اللحظة التي أدركوا فيها حجم التكنولوجيا التي تعمل على شبكاتهم، بما يتجاوز الرقابة الأمنية التقليدية.
تعريف متزايد لـ OT
بالنسبة لسوريلز، فإن الحاجة الملحة تأتي من التغيير القادم في سلوك المهاجمين. وقال: “إنها مسألة وقت فقط قبل أن يدرك المتسللون أن ما كانوا يفعلونه لمدة عقد من الزمن في الجانب الصناعي من العالم سينطبق أيضًا على الرعاية الصحية”. عندما بدأ في تعيين زملائه قبل عامين، لم يتمكن سوى نصفهم فقط من تعريف OT. كما لم يكن لدى العديد من فرق الأمن رؤية للمعدات التي تديرها المرافق. وفي الوقت نفسه، قامت هذه المعدات بتشغيل اتصالات الإنترنت على نفس الشبكة مثل بيانات المرضى.
في Renown، قام راميريز بإضفاء الطابع الرسمي على السؤال في إطار عمل. يتم تصنيف كل عنصر متصل إلى إحدى فئتين: داعم للمريض أو غير داعم للمريض. على سبيل المثال، انتهت عملية الترقية الأخيرة للأنبوب الهوائي للنظام على الجانب التشغيلي. وتذكر أيضًا دخوله إلى المستشفى ورؤية جهاز Xbox متصلاً بالشبكة. وبعبارة أخرى، يمكن أن يكون المخزون غير متوقع. إن أجهزة البحث السريري، وأجهزة الضيوف المتصلة بالشبكة، وأجهزة الأطفال في مستشفى الأطفال، كلها بعيدة عن متناول الوسائل التقليدية المصممة للتتبع.
شهادة مشاركة
في كورويل، جاءت لحظة الصحوة في غرفة ميكانيكية. قبل سنوات، قام فريق داخلي باختبار ترقية وحدة تنقية الماء الساخن في إحدى مرافق النظام. ولم يكن للجهاز واجهة تقليدية، وتبين أنه ضعيف للغاية، وفقًا لكويهوف. يعتبر تنظيف الليجيونيلا في مصدر الماء الساخن بالمستشفى ضارًا بشكل لا يصدق. وأضاف أن الطريقة التي يتم بها اكتشاف المشكلة عادة هي من خلال مرض المريض. وفي نهاية المطاف، أعادت هذه الحلقة ضبط الطريقة التي فكر بها فريقه بشأن الأهمية والملكية والمرونة.
عندما يصبح الوصول إلى الموردين تهديدا
وخلصت اللجنة إلى أن مخاطر الطرف الثالث هي التعبير الأكثر إلحاحًا عن النقطة العمياء في OT. أوضحت حادثة كورويل الوشيكة السبب. قام أحد موردي أنظمة التدفئة والتهوية وتكييف الهواء (HVAC) بتوريد وتركيب وحدة معالجة الهواء. لقد مر عام تقريبًا قبل الاتصال بوحدة التحكم الإدارية المركزية. وقال كويهوف: “جاء الجهاز من الشركة المصنعة وعليه فيروس WannaCry”. حاولت البرامج الضارة الانتشار في جميع أنحاء البيئة. وتمت إعادة تشغيل الأجهزة على طول الطريق، على الرغم من إغلاق خوادم القيادة والسيطرة لفترة طويلة. ولهذا السبب أصر الفريق على إنشاء منطقة عازلة قبل أن تلمس أي من معدات المورد شبكة الإنتاج.
ومنذ ذلك الحين، تحدث كويهوف علنًا عن مسؤولية الموردين. واستشهد بمورد PACS الذي يمتلك مكدس TCP/IP عمره عقود. تم نقله من Sun Microsystems إلى Windows NT ويتعطل عندما تقول جلسة telnet مرحبًا. وقال: “نحن بحاجة إلى الإصرار بشكل جماعي على الموردين على أن هذا أمر غير مقبول”. وأشار أيضًا إلى نظام صحي معروف في الغرب الأوسط تم إنقاذه من خلال قناة الوصول عن بعد التي لا تتم صيانتها جيدًا لمزود الأشعة. وقال إن هذا النوع من الإخفاقات هو السبب وراء إدراج عقود البائعين الآن في سجل المخاطر لكل CISO.
ومن خلال عدسة الهوية، يرى راميريز نفس النمط. إن عصر الوصول إلى VPN الذي يديره البائع يفسح المجال أمام التحكم في الوصول المميز الممتد إلى البائعين. وفي بعض الحالات، أبقى شركاء مثل فيليبس أنفاقًا مفتوحة للمعدات الطبية لسنوات. قال: “الهوية ضخمة”. “ثمانون بالمائة من جميع الهجمات تستهدف الهوية. إذا تمكنا من التركيز عليها، فهذه هي التدابير اللازمة للحد بشكل أفضل من هذا الخطر بشكل عام.” بالإضافة إلى ذلك، يرى أن التغييرات المقترحة على قواعد أمان HIPAA تعمل على تسريع هذا التحول. على وجه الخصوص، ستؤدي متطلبات التجزئة والنسخ الاحتياطية غير القابلة للتغيير وأوقات الاسترداد البالغة 72 ساعة إلى ترجمة الضوابط المقترحة إلى تفويضات قابلة للتنفيذ.
تجزئة كالخندق
وفيما يتعلق بالضوابط الفنية، أشار جميع أعضاء اللجنة الثلاثة إلى تجزئة الشبكة. قال سوريلز إنه يعمل على وجه التحديد لأن حماية أصول التكنولوجيا التشغيلية أسهل من حماية الأجهزة السريرية المتنقلة. كما أنهم يجلسون في مواقع ثابتة ويؤدون وظائف خاصة. لم يتم التطرق للكثيرين منذ سنوات. ولهذا السبب حث الفرق على البدء بالأصول الثابتة الأكثر خطورة أولاً. يتم بناء العمل بشكل أكبر من هناك.
وافق كويهوف على نقطة التجزئة وحذر من التعامل معها على أنها حل سحري. وشدد على أن الفرق القانونية وفرق المصادر والتقنية يجب أن تتماشى مع أحكام وصول الطرف الثالث. يجب على الموظفين التوسط في اتصالات كل مورد بدلاً من توفير أنفاق دائمة على مدار الساعة طوال أيام الأسبوع. وبالمثل، قال راميريز إن الوضوح بشأن الملكية قد يكون المشكلة الهيكلية الأكبر. وقال: “إذا لم تكن تملكه، فلن تتمكن في كثير من الأحيان من إصلاحه. وهذا ما بدأنا نراه”. إنه يدفع فريقه القيادي نحو نموذج هجين. سيكون الأمن هو الذي سيمسك بزمام الإدارة، بينما ستتولى فرق العمليات أعمال التعافي بنفسها.
خذها بعيدا
- قم بفرز كل أصل متصل إلى فئات دعم المرضى ودعم غير المرضى قبل تعيين عناصر التحكم
- ابدأ أعمال التجزئة باستخدام أصول التشغيل التشغيلي الثابتة مثل أنظمة التدفئة والتهوية وتكييف الهواء والمصاعد وإزالة التلوث وأنظمة مجاري الهواء قبل التعامل مع الأجهزة السريرية المتنقلة
- اشتراط الوصول عن بعد بوساطة الموظفين ومحدود زمنيًا من الموردين في كل عقد جديد
- اجمع بين الحوكمة القائمة على الأمان واسترداد فريق العمليات بدلاً من مركزية كلتا الوظيفتين
- تتبع قابلية الاستغلال بدلاً من نتائج CVSS الأولية عند تحديد أولويات أعمال الثغرات الأمنية في التكنولوجيا التشغيلية
واستنادًا إلى خلفيته في التمريض، قال سوريلز إن الوظيفة تتطلب نفس الانضباط الذي يتطلبه الفرز بجانب سرير المريض. وقال: “خلاصة القول هي الأشياء غير الممتعة وغير الساحرة، وليس هناك حل سحري”. “إنه عمل شاق في بعض الأحيان.”
