Podcast: Reproduza em uma nova janela | Download (Duração: 56:37 — 51,8 MB)
Assine: Podcasts da Apple | Spotify
Os líderes cibernéticos da área de saúde explicam por que a TO não gerenciada, o acesso do provedor e as lacunas de identidade agora levam ao maior risco oculto de segurança cibernética do setor. Assista abaixo ou em YouTube.
A tecnologia operacional tornou-se silenciosamente um dos maiores pontos cegos na segurança cibernética da saúde. O risco pode exceder o que a maioria dos sistemas de saúde aceitaria se pudessem vê-lo claramente. A segmentação emergiu como a contramedida mais prática.
Esse foi o consenso de três líderes de segurança cibernética na área da saúde em um painel recente da HealthsystemCIO. Alertam que o cenário de ameaças mudou mais rapidamente do que a adaptação da maioria dos sistemas de saúde.
A sessão contou com Skip Sorrels, CTO de campo e CISO da clareza; Stephen Ramirez, vice-presidente e CISO da Saúde respeitável; e Jim Kuiphoff, Vice-CISO da Corewell Saúde. Cada um descreveu o momento em que perceberam quanta tecnologia estava operando em suas redes fora da supervisão de segurança tradicional.
Uma definição ampliada do AT
Para Sorrells, a urgência advém de uma mudança iminente no comportamento dos grevistas. “É apenas uma questão de tempo até que os hackers percebam que o que vêm fazendo há 10 anos na parte industrial do mundo será aplicado à saúde”, disse ele. Quando ele começou a pesquisa entre pares, há dois anos, apenas cerca de metade conseguia definir o AT. Muitas equipes de segurança também não tinham visibilidade dos equipamentos gerenciados pelas instalações. Entretanto, este equipamento mantém ligações à Internet na mesma rede dos dados do paciente.
Em Renown, Ramírez formaliza a questão em uma estrutura. Cada ativo associado é classificado em um de dois grupos, pacientes de suporte ou não. Por exemplo, a recente atualização do tubo pneumático do sistema chegou ao lado OT. Ele também se lembra de ter entrado em um hospital e visto um Xbox conectado à rede. O estoque, em outras palavras, pode ser imprevisível. Equipamentos de pesquisa clínica, dispositivos convidados de rede e dispositivos pediátricos em hospitais infantis ficam fora do que as ferramentas de ativos tradicionais são projetadas para rastrear.
Na Corewell, o momento do despertar ocorreu em uma sala mecânica. Anos atrás, uma equipe interna testou uma atualização de uma unidade de desinfecção de água quente em uma das instalações do sistema. O dispositivo funcionou sem uma interface tradicional e revelou-se altamente vulnerável, disse Kuiphof. A Legionella no abastecimento de água quente de um hospital é extremamente prejudicial para a limpeza. A forma como o problema geralmente é descoberto, acrescentou, é através da doença do paciente. No final das contas, o episódio reconfigurou a forma como sua equipe pensava sobre criticidade, propriedade e sustentabilidade.
Quando o acesso do provedor se torna uma ameaça
O painel convergiu para o risco de terceiros como a expressão mais premente do ponto cego da OT. O quase acidente de Corwell ilustra o porquê. Um fornecedor de HVAC fornece e instala um ar condicionado. Demorou cerca de um ano até que ele se conectasse ao console de controle central. “O dispositivo veio do fabricante com o WannaCry”, disse Kuiphof. O malware tentou se infiltrar no ambiente. Ele reinicializou as máquinas ao longo do caminho, embora os servidores de comando e controle já estivessem desligados há muito tempo. Portanto, a equipe insistiu em uma zona tampão antes que qualquer dispositivo do fornecedor tocasse a rede de produção.
Desde então, Kuiphof tornou-se franco sobre a responsabilidade do vendedor. Ele cita um fornecedor de PACS com uma pilha TCP/IP com décadas de existência. Portado da Sun Microsystems para o Windows NT, ele trava quando uma sessão telnet diz olá. “Precisamos insistir coletivamente com os fornecedores que isso é inaceitável, ponto final”, disse ele. Ele também apontou para um conhecido sistema de saúde do Meio-Oeste comprado por meio de um canal de acesso remoto mal limpo de um fornecedor de radiologia. Esse tipo de falha, disse ele, é a razão pela qual os contratos de fornecedores agora pertencem ao registro de riscos de todos os CISOs.
Através de lentes de identidade, Ramirez vê o mesmo padrão. A era do acesso VPN gerenciado pelo provedor está dando lugar ao controle de acesso privilegiado estendido aos provedores. Parceiros como a Philips mantiveram, em alguns casos, túneis de dispositivos médicos abertos durante anos. “A identidade é enorme”, disse ele. “Oitenta por cento de todos os ataques são focados na identidade. Se pudermos nos concentrar nisso, essas serão as mitigações para reduzir melhor o risco geral.” Além disso, ele vê as alterações propostas nas regras de segurança da HIPAA acelerando as mudanças. Em particular, os requisitos de segmentação, os backups imutáveis e os tempos de restauração de 72 horas transformarão os controles propostos em mandatos executáveis.
Segmentação como um fosso
Quanto ao controle técnico, todos os três painelistas apontaram para a segmentação da rede. Sorrells disse que funciona precisamente porque os ativos de TO são mais fáceis de proteger do que os dispositivos clínicos móveis. Eles também estão localizados em locais fixos e desempenham funções especiais. Muitos deles não são tocados há anos. Conseqüentemente, ele incentivou as equipes a começarem primeiro com os ativos fixos de maior risco. O trabalho então se desenvolve a partir daí.
Concordando com o ponto de segmentação, Kuiphof alertou contra tratá-lo como uma solução mágica. Ele enfatizou que as equipes jurídicas, de compras e técnicas devem chegar a acordo sobre as disposições para o acesso de terceiros. Os funcionários devem mediar todas as conexões com um provedor, em vez de fornecer túneis constantes 24 horas por dia, 7 dias por semana. Da mesma forma, Ramirez disse que a clareza da propriedade pode ser a questão estrutural mais ampla. “Se você não for o proprietário, não poderá consertá-lo com muita frequência. É isso que estamos começando a ver”, disse ele. Ele está empurrando sua equipe de liderança para um modelo híbrido. A segurança controlará as rédeas enquanto as equipes de operações serão responsáveis pela correção.
Leve embora
- Classifique cada ativo associado em categorias de apoio ao paciente e não apoio ao paciente antes de atribuir controles
- Comece o trabalho de segmentação com ativos fixos de TO, como HVAC, elevadores, saneamento e tubulações, antes de passar para dispositivos clínicos móveis
- Exigir a mediação de um funcionário do provedor de acesso remoto por tempo limitado em cada novo contrato
- Combine o gerenciamento orientado à segurança com a remoção das equipes de operações, em vez de centralizar ambas as funções
- Rastreie explorações em vez de pontuações CVSS brutas ao priorizar o trabalho em vulnerabilidades de TO
Citando sua experiência com enfermeiras de trauma, Sorrells disse que o trabalho exige a mesma disciplina que a triagem de um paciente à beira do leito. “O essencial são as coisas que não são divertidas, não são glamorosas e não têm soluções mágicas”, disse ele. “Às vezes é um trabalho árduo.”
