Sicherheitsbedrohungen steigen von schlechten Akteuren des Nationalstaates auf, wenn das neue Jahr beginnt | Health Care Compliance Association (HCCA)

| |

[author: Jane Anderson]

Bericht zum Schutz der Privatsphäre von Patienten 18, Nr. 1 (Januar 2021)

Sicherheitsbedrohungen für Einrichtungen des Gesundheitswesens werden im Jahr 2021 weiter eskalieren, da schlechte Akteure mit erheblichen Fähigkeiten auf Organisationen mit Pandemie-Müdigkeit abzielen, die immer noch mit einer Belegschaft zu Hause zu kämpfen haben, berichten Cybersicherheitsexperten.

Die diesjährigen Bedrohungen werden bekannt vorkommen: Phishing-, Ransomware- und IT-Änderungen werden laut Experten eine Rolle spielen RPP. Diese Bedrohungen entwickeln sich jedoch immer ausgefeilter und erschweren die Verteidigung gegen sie, selbst wenn neue Tools eintreffen.

“Während künstliche Intelligenz in der Defensive eingeführt wird, verfügen schlechte Schauspieler über ähnliche Tools, mit denen eine einmal komplizierte Aufgabe oder ein Hack so einfach wie ein Knopfdruck sein kann”, berichtete Roger Shindell, Gründer und CEO von Carosh Compliance Lösungen.

Darüber hinaus hat die Pandemie massive Unsicherheit verursacht, sagte John Ford, Stratege bei IronNet Cybersecurity. “Angreifer zeichnen sich aus, wenn Veränderungen und Unsicherheit unsere Bemühungen verbrauchen”, sagte er. “Sie haben den Vorteil, alte und neue Schwachstellen zu beobachten und zu antizipieren, während der Rest von uns versucht, seine Arbeit zu erledigen, unabhängig davon, ob dies direkt mit der Leistungserbringung oder dem monumentalen Unterstützungssystem zusammenhängt, das unser Gesundheitssystem benötigt.”

Es gibt wenig gute Nachrichten, sagte Michelle O’Neill, Director of Corporate Compliance bei Summit Health Management in New Jersey. Letztes Jahr “beinhaltete eine Vielzahl neuer Sicherheitsbedrohungen und Angriffe gegen Krankenhäuser und Gesundheitsorganisationen”, sagte O’Neill RPP. “Der Gedanke ist, dass Krankenhäuser und Gesundheitsorganisationen im Jahr 2021 weiterhin ein Ziel sein werden, aber dass die Cyberkriminellen ihre Fähigkeiten verbessern und erfolgreicher werden.”

Um den Weg durch die Pandemie zu erleichtern, bot OCR den Gesundheitsorganisationen im Jahr 2020 einen gewissen Spielraum, insbesondere Anbietern und Geschäftspartnern (BAs), die Telegesundheitsdienste anbieten, betonte O’Neill. „Dies war sehr hilfreich, um den Patienten die Versorgung zu bieten, die sie benötigen, und zwar schnell und ohne Angst vor Strafen. Dies führte jedoch auch zu neuen Sicherheitsbedrohungen für Patienten, Ärzte, Organisationen und Geschäftspartner, die diese Telegesundheitsplattformen bereitstellten “, fügte sie hinzu.

Die Pandemie hat sowohl die Dringlichkeit als auch die Auswirkungen von Angriffen erhöht, sagte Ford. „Wenn Sie die Zeit vor der Pandemie zurücksetzen, waren Ransomware und Datendiebstahl immer noch ein Problem, aber die abgedeckten Einheiten arbeiteten in einem erwarteten Zustand und verfügten über eine bessere Verfügbarkeit von Ressourcen zur Bekämpfung der Angriffe. Schneller Vorlauf bis heute, und wir haben eine extrem gestresste Belegschaft, eine IT- und Sicherheitsumgebung, die erheblich verändert wurde, und das Volumen und Ausmaß der Angriffe wurden verstärkt. “

Rebecca Herold, Präsidentin von SIMBUS360 und CEO von The Privacy Professor, stellte fest, dass bis zum größten Teil des Jahres 2020 BAs von gedeckten Unternehmen (CEs) weniger geprüft und überwacht wurden und BAs keine wahrnehmbare Aufsicht über Subunternehmer hatten. „Dies ist besorgniserregend, da jetzt ein großer Teil der Mitarbeiter von CE, BA und Subunternehmern remote arbeitet, normalerweise von zu Hause aus. Denken Sie daran, dass diese Heimbüros normalerweise auch die Arbeitsbereiche für die anderen zu Hause sind und auch die neuen Schulräume für die Schüler von der Vorschule bis zum College, die ebenfalls in den Häusern wohnen. “

Wenn mehrere Personen aus mehreren Organisationen oder Schulen in unmittelbarer Nähe und im selben Netzwerk Livestreams senden, sind die Risiken erheblich, sagte Herold. „Selten sind die Online-Besprechungstools und Internetverbindungen angemessen gesichert, sodass sie für Angreifer offen sind, die Zugriff auf das drahtlose Netzwerk haben, sowie für diejenigen, die eine Verbindung zu jedem der Computergeräte herstellen, die nicht nur an das drahtlose Netzwerk, sondern auch an die verschiedenen Organisationen angeschlossen sind. und Schulnetzwerke. “

Zu den Bedrohungen gehören Identitätswechsel und BYODs

Zusätzlich zu den bekannten Sicherheitsbedrohungen von 2020 werden in diesem Jahr voraussichtlich neue Bedrohungen auftreten. Zum Beispiel sagte Shindell, er erwarte, dass schlechte Schauspieler anfangen, sich als Mitarbeiter oder Geschäftspartner auszugeben. Mit der heutigen Technologie sei alles möglich, sagte er. “Es liegt in der Natur des Menschen, Menschen zu vertrauen, die Ihre Organisation besuchen, und dies umso mehr, wenn sie Namen oder besondere Dinge erwähnen.”

Der Weg, um dieses Problem zu verhindern, ist eine strenge Politik und Schulung, sagte Shindell. “Haben Sie eine Kette von Genehmigungsmethoden, Standardbefragungen von jeder Person und eine Liste von zugelassenen / geprüften Anbietern”, sagte er. “Außerdem sollte eine Organisation einen physischen Penetrationstest durchführen lassen, um sicherzustellen, dass die Pläne verwendet werden.”

Herold sagte, sie erwarte neue Telemedizin-Angriffe sowie Angriffe durch Geräte im Besitz von Mitarbeitern und Geräte im Besitz von Patienten, die mit Netzwerken und Systemen des Gesundheitswesens verbunden sind.

In diesem Jahr, sagte Herold, erwarten Sie weitere Ransomware-Angriffe gegen BAs und ihre Subunternehmer. „Ransomware macht Cybercrooks sehr reichhaltig, und diese Cybercrooks erkennen, dass jedes abgedeckte Unternehmen Dutzende, Hunderte oder sogar Tausende von Geschäftspartnern einsetzt, um geschäftskritische Services zu erbringen oder Produkte für sie bereitzustellen. Sie erkennen, dass die CEs von ihren BAs abhängen und dass die BAs potenzielle Goldminen sind. “ Sie sagte, dass BAs ihrer Erfahrung nach „nicht alle HIPAA-Anforderungen erfüllen“ und häufig „im Allgemeinen sehr lasch und in ihren Sicherheitspraktiken für die geschützten Gesundheitsinformationen mangelhaft sind [PHI] dass ihre Kunden ihnen anvertraut haben. “

Phishing-Angriffe für andere Arten von Sicherheits- und Datenschutz-Exploits, die über Ransomware hinausgehen, um beispielsweise Zugang zu PHI-Schatzkammern zu erhalten, zielen auch auf BAs und Subunternehmer ab, sagte Herold. Darüber hinaus wird sich das Internet der Dinge (Internet of Things, IoT) “mit beispielloser Geschwindigkeit” vermehren, sagte sie und bemerkte, dass “jedes dieser Geräte einen Einstiegspunkt in die Netzwerke schafft, an die sie angeschlossen sind, und jedes möglicherweise an viele verschiedene Netzwerke angeschlossen wird. Die Angriffe werden durch diese neuen IoT-Pfade zunehmen. “

Ford sagte, dass Ransomware in diesem Jahr im Mittelpunkt stehen wird und noch weiter von den hohen 2020-Werten ansteigen wird. “Wir haben seit dem Einsetzen von COVID einen erheblichen Anstieg der Ransomware verzeichnet, und mit fortschreitenden Fortschritten bei der Erstellung und Verteilung von Impfstoffen wird auch die Verbreitung dieser Angriffe zunehmen”, sagte er. „Wir gehen davon aus, dass diese Angriffe immer raffinierter werden, da kriminelle Gruppen Instrumente einsetzen, die mit nationalstaatlichen Akteuren konkurrieren. Da sich die Betriebsumgebungen für die meisten Unternehmen aufgrund von COVID geändert haben, erwarten wir auch eine größere Anzahl dieser Angriffe, die sich auf Cloud-basierte Umgebungen konzentrieren. “

Unternehmen werden wahrscheinlich mehr Fälle erleben, in denen diese Bedrohungsakteure zusätzlichen Lösegelddruck ausüben, indem sie exfiltrierte Daten auf Datenleckseiten platzieren, auf denen zusätzliche schlechte Akteure PHI kaufen und darauf zugreifen können, was zu zusätzlichen Datenschutzbedenken führt, sagte Ford.

“Was ich für 2021 anders sehe, ist die Kühnheit und Reichweite der Angriffe”, sagte Ford und fügte hinzu, dass die jüngsten Hacks von Bundesbehörden und der Cyberdefense-Firma FireEye als Hinweis auf eine Eskalation dienen. “Obwohl diese Veranstaltungen nicht ausschließlich für das Gesundheitswesen gelten, ist es vernünftig, dreiste Anstrengungen in größerem Umfang zu erwarten, die sich an Einrichtungen des Gesundheitswesens und deren Lieferkette richten”, sagte Ford.

“Wie sich diese Ereignisse auf die Einhaltung der HIPAA auswirken, bleibt abzuwarten, aber ich kann nur hoffen, dass unsere Regulierungsgemeinschaft die Tatsache berücksichtigt, dass die Gesundheitsbehörden bei Angriffen auf nationaler Ebene keinen fairen Kampf führen.” er sagte. „Diese Veranstaltungen gehen einfach über die Fähigkeiten und das Budget aller bis auf einige wenige Gesundheitseinrichtungen in unserem Land hinaus. Fahrlässigkeit kann und sollte sicherlich ein durchsetzbarer Bestandteil von HIPAA-Verstößen bleiben, aber diesem Sektor wäre es besser, wenn sowohl HHS- als auch Gesundheitseinrichtungen Hand in Hand gehen und diese Bedrohungsakteure als ein Team bekämpfen, anstatt dies isoliert zu tun. Ich vermute, dass sie es tun werden. Bis dahin bleiben Sie dran, während sich dies im Jahr 2021 weiterentwickelt. “

Alte Geräte werfen Probleme auf

Dennoch können kleine Bedrohungen große Probleme für die Gesundheitsversorgung verursachen. “Es gibt so viele spezifische Probleme, die eine ungewöhnliche / einzigartige Bedrohung für die Sicherheit von PHI darstellen”, sagte O’Neill. „Ob Sie es glauben oder nicht, alte Geräte wie Faxgeräte, USBs, deren Sicherheit nicht bekannt ist, und PCs, die da draußen sind und nicht von der Sicherheit genehmigt wurden, sind definitiv Bereiche, in denen Datenschutz- und Sicherheitsexperten nachts wach bleiben. Dies wird auch 2021 eine Bedrohung bleiben. “

Gesundheitseinrichtungen setzen sich häufig reaktiv mit diesen Problemen auseinander, aber proaktive Maßnahmen können dazu beitragen, diese Geräte zu fangen, bevor sie zu einem Problem werden, sagte sie. Schulungen können dazu beitragen, Teammitglieder zu ermutigen, Sicherheitspersonal über diese Geräte zu informieren, damit die Sicherheit eingreifen und die auf den Geräten gespeicherten Daten schützen kann, fügte sie hinzu.

[View source.]

Previous

Netflix ‘Geschichte der Schimpfwörter’ macht profanen Spaß. Gastgeber Nicolas Cage? Nicht so viel.

Leave a Comment

This site uses Akismet to reduce spam. Learn how your comment data is processed.