Podcast: Reproduza em uma nova janela | Download (Duração: 41:22 – 37,9 MB)
Assine: Podcasts da Apple | Spotify
Errol Weiss, da Health-ISAC, vincula inteligência de ameaças, segmentação de rede, risco de terceiros e IA de agente a um fator crítico: pessoal e orçamento. Assista abaixo ou no YouTube.
Errol Weiss, diretor de segurança, Health-ISAC
Todos os problemas de segurança cibernética na área da saúde têm, em última análise, a mesma causa raiz, e não é a tecnologia. Errol Weiss, diretor de segurança da Saúde-ISACcontinua a atingir as pessoas e os recursos como o factor decisivo para saber se um sistema de saúde pode defender-se. Num episódio recente do HealthsystemCIO Show, ele analisou as ameaças, os controles e as realidades organizacionais que moldam a defesa cibernética. Na verdade, cada tópico levava de volta ao pessoal e ao orçamento.
Health-ISAC é o Centro de Partilha e Análise de Informação do Sector da Saúde. Desde 2010, cresceu para quase 1.200 organizações membros, com mais de 15.000 pessoas ativas diariamente. Os membros incluem hospitais, fabricantes de dispositivos médicos, seguradoras e empresas farmacêuticas em mais de 140 países.
A inteligência sobre ameaças é uma grande parte do que a organização oferece. Especificamente, uma equipe dedicada produz diariamente inteligência original e a compartilha com os membros. Isto é importante porque a disparidade entre os que têm e os que não têm no sector impede muitas organizações de recrutar para esta função. Weiss descreveu o valor como tático e estratégico.
Entender o que os atores da ameaça desejam e por que, disse ele, orienta o orçamento estratégico que os CISOs precisam para justificar seus programas. Do lado tático, ele apontou para o do governo Catálogo de vulnerabilidades exploradas conhecidas (KEV). como um guia para o que os rebatedores estão acertando agora. Enquanto isso, a IA está apenas acelerando o ciclo, empurrando as equipes para a automação.
A inteligência eficaz ainda depende de saber o que você tem, porque não é possível proteger o que não foi inventariado, e essa lacuna surge o tempo todo para CISOs em grandes sistemas. Em particular, os Estados-nação pós-PI acrescentam urgência à medida que trabalham para encurtar os seus próprios ciclos de investigação.
Controlando a superfície de ataque
O crescimento das aplicações e a dívida técnica estão expandindo a superfície de ataque que os CISOs desejam reduzir. Os dispositivos médicos legados estão no centro deste desafio. Por exemplo, sua substituição é cara e devem funcionar continuamente para cuidar dos pacientes. Eles também sobrevivem ao suporte do fornecedor, que remove as atualizações de segurança e as transforma em vulnerabilidades de rede.
A segmentação de rede oferece um dos controles mais fortes para esse problema. Colocar dispositivos legados em uma rede separada e altamente monitorada limita a distância que um invasor pode se mover. Weiss construiu a abordagem em torno da suposição de que adversários capazes acabarão por entrar em algum lugar.
O objetivo, disse ele, é tornar a penetração o mais difícil e barulhenta possível e, ao mesmo tempo, diminuir a superfície de ataque. Como resultado, a segmentação transforma um incidente de toda a empresa em algo contido, com um raio de explosão que a equipe pode conter. Os fabricantes de hardware e os fornecedores de segmentação virtual também tornaram a gestão mais fácil de implementar a um custo real mas justificado.
O problema com as pessoas
O orçamento está no centro das decisões mais difíceis de um CISO, e a resposta honesta para saber se as equipes têm o suficiente geralmente é não. Hospitais com reservas baixas forçam a segurança a competir com as prioridades clínicas. Por exemplo, a escolha geralmente se resume a um novo firewall em vez de outro aparelho de ressonância magnética, e Weiss observou para onde iria a voz do paciente.
Para as equipes que lutam com essas compensações, ele apontou dois recursos federais construídos tendo em mente as restrições de recursos. O Práticas de segurança cibernética no setor de saúde o guia, conhecido como IHPC, divide os controles em um volume para pequenas organizações e outro para organizações de médio e grande porte. HHS é publicado separadamente Metas de desempenho de segurança cibernéticaou CPGs que separam as etapas mínimas das avançadas. Conseqüentemente, Weiss aconselhou as equipes com orçamento apertado a começar com o mínimo.
Sua própria lista de prioridades começa com autenticação multifatorial, backups e patches contínuos. Em particular, as credenciais roubadas tornam a MFA central, uma vez que os atacantes recolhem palavras-passe de sites fracos e através de campanhas de phishing que decorrem há duas décadas. Depois que uma única credencial desbloqueia o acesso, a invasão termina, então a MFA resistente a phishing ajuda a verificar quem está do outro lado.
No entanto, mesmo com o conhecimento e o orçamento disponíveis, a contratação de pessoal continua a ser um obstáculo, especialmente para os prestadores rurais. Weiss ficou surpreso ao saber que algumas organizações operam sem um CISO em tempo integral. Em muitos hospitais pequenos, o gestor de TI assume a segurança como uma responsabilidade secundária. Ele se lembrou de uma organização no Centro-Oeste onde o mesmo cara de TI também cortava a grama todo verão.
Terceiros e risco de concentração
A gestão de risco de terceiros suscitou alguns dos comentários mais contundentes de Weiss, especialmente em torno dos questionários. Por exemplo, um vendedor em busca de negócios preenche um instantâneo estático que raramente reflete a realidade. Da mesma forma, o exercício muitas vezes se torna competitivo quando deveria ser colaborativo. Ele pediu que se tratasse a segurança do fornecedor como uma parceria que ajuda terceiros a melhorar. Entretanto, monitorizar vários fornecedores continua a ser difícil e um único dia mau num fornecedor importante pode levar a um colapso.
Esta dificuldade está ligada a uma tendência mais ampla de consolidação. Weiss concordou que a redução de terceiros pode reduzir a superfície de ataque. Contudo, a consolidação introduz o seu próprio risco de concentração. Quando um ou dois fornecedores servem a maior parte do sector, a perturbação torna-se um potencial problema de segurança nacional.
H-ISAC emitiu seu “Melhores práticas para gerenciamento de identidade e gerenciamento de acesso de terceiros”, em junho.
Gerenciando Agente AI
A Agentic AI amplia o desafio de identidade que atravessa tudo isso. “Qualquer identidade não-humana ainda é uma identidade, e se pode agir, então deve ser governada pelo mesmo processo”, disse ele. A identidade tem um ciclo de vida de criação, gerenciamento, medição e remoção quando o acesso não é mais necessário. Por exemplo, ele lembrou das revisões obrigatórias de acesso duas vezes por ano no Citibank. Esta disciplina aplica-se igualmente aos agentes que podem acumular funções ao longo do tempo. Além disso, privilégios mínimos, registro e monitoramento são mais importantes na velocidade da máquina.
O modelo de governança deve mudar de humanos para agentes, já que as organizações nunca concederiam acesso ao sistema a um novo funcionário sem um processo, mas os agentes alternam rotineiramente as permissões.
Weiss encerrou com a principal bandeira vermelha que encontrou. “Uma das grandes questões para mim seria: ‘Nunca tivemos um acidente'”, disse ele. Normalmente, a reclamação sinaliza um lapso no monitoramento, o que significa que um incidente pode já ter passado por qualquer detecção.
Leve embora
- As pessoas e os orçamentos decidem se um sistema de saúde pode defender-se.
- Primeiro faça o inventário e depois use o catálogo KEV para priorizar a correção; você não pode proteger o que não identificou.
- Segmente dispositivos médicos legados para reduzir o raio de explosão de qualquer intrusão.
- Confie nas metas de desempenho de segurança cibernética HICP e HHS, começando com o mínimo e priorizando MFAs e backups resistentes a phishing.
- Gerencie a IA do agente como qualquer identidade: privilégios mínimos, registro em log e revisões periódicas de acesso.










