H υγειονομική περίθαλψη έχει σημειώσει πολλές σημαντικές παραβιάσεις δεδομένων μέχρι στιγμής φέτος.
Τι μπορεί να μάθει κανείς από τις εμπειρίες των επιχειρήσεων; Παρακάτω θα βρείτε τρία βασικά μαθήματα.
Η διαχείριση κινδύνου προμηθευτή είναι πιο σημαντική από ποτέ.
Πολλές από τις μεγαλύτερες παραβιάσεις δεδομένων για την υγειονομική περίθαλψη αυτή τη χρονιά αφορούσαν εξωτερικούς συνεργάτες. Παραδείγματος χάριν, η μεγαλύτερη παραβίαση δεδομένων υγείας έως το 2019 ήταν μια κυβερνοπαρακολούθηση που αποκαλύφθηκε την άνοιξη από την εταιρεία είσπραξης χρεών, American Medical Collection Agency, η οποία επηρέασε πάνω από 25 πελάτες και 20 εκατομμύρια άτομα. Καθώς και μια επίθεση ransomware που αποκαλύφθηκε την περασμένη εβδομάδα από την εταιρεία παροχής υπηρεσιών εικονικής περίθαλψης Virtual Provider Inc. που επηρέασε πάνω από 110 φορείς υγείας, συμπεριλαμβανομένων αρκετών νοσοκομείων.
Με τις επιχειρήσεις που παρουσιάζουν ορισμένες πολύ σοβαρές αδυναμίες ασφαλείας, οι φορείς υγειονομικής περίθαλψης πρέπει να διασφαλίσουν ότι οι συμβάσεις τους με εξωτερικούς συνεργάτες αναφέρουν επακριβώς τις προσδοκίες ασφαλείας.
Τα συμβόλαια θα πρέπει επίσης να διευκρινίζουν ότι τα όρια ασφάλισης στον κυβερνοχώρο είναι επαρκή για να καλύψουν όλες τις πιθανές ζημίες σε όλους τους πελάτες, όχι μόνο σε ένα.
Δεν υπάρχει εγγύηση ότι θα ανακτήσετε όλα τα δεδομένα σας μετά από επίθεση ransomware – ακόμη και αν είστε σε θέση να επαναφέρετε τα συστήματά σας χρησιμοποιώντας αντίγραφα ασφαλείας.
Για παράδειγμα, το κέντρο νοσοκομείων του Μπρούκλιν, που εδρεύει στη Νέα Υόρκη, αποκάλυψε πρόσφατα ότι ενώ ήταν σε θέση να ανακτήσει ορισμένα από τα δεδομένα των ασθενών που έπληξαν μετά από μια πρόσφατη επίθεση ransomware, κάποια ήταν ανεπανόρθωτα.
Δυσκολίες στην ανάκτηση όλων των δεδομένων μπορεί να προκύψουν από μη ολοκληρωμένες πρακτικές δημιουργίας αντιγράφων ασφαλείας δεδομένων.
Διατηρήστε ενημερωμένες υποδομές πληροφορικής, επιδιόρθωση λογισμικού, πολιτικές ασφάλειας, κατάρτιση εργατικού δυναμικού και προγράμματα αντιμετώπισης περιστατικών.
“Οι οργανισμοί υγειονομικής περίθαλψης πρέπει να διεξάγουν αξιολόγηση της ετοιμότητας των ransomware για να διαπιστώσουν αν οι διασφαλίσεις και οι έλεγχοι είναι επαρκείς και εάν οι διαδικασίες ανταπόκρισης τους αντιμετωπίζουν τις απαιτήσεις της ομοσπονδιακής και της κρατικής πληροφόρησης”, σημειώνει ο Tom Walsh, πρόεδρος της εταιρείας συμβούλων tw-Security.
“Η εκπαίδευση του προσωπικού με ένα πρόγραμμα ευαισθητοποίησης για το phishing, η ανάπτυξη εργαλείων ανίχνευσης και αποκατάστασης κατά του κακόβουλου λογισμικού και η τακτική επιδιόρθωση των συστημάτων του οργανισμού αποτελούν καλές πρακτικές για την αποτροπή μιας επιτυχημένης επίθεσης ransomware”, λέει ο Jon Moore.
