มันเริ่มต้นด้วยใบเรียกเก็บเงินปลอม
ในช่วงการระบาดใหญ่ของ Covid-19 การเปลี่ยนแปลงอย่างมากโดยพนักงานที่ไม่ใช่คลินิกของ University of Vermont Health Network สำหรับการทำงานระยะไกล ลูกสาวของพนักงานคนหนึ่งได้รับ e -mail ซึ่งเธอคิดว่ามาจากสมาคมเจ้าของบ้านของเธอ เมื่อเธอไม่สามารถเปิดสิ่งที่แนบมาได้เธอก็ส่งต่อให้แม่ของเธอซึ่งเปิดมันในคอมพิวเตอร์ที่ทำงานของเธอและต่อมาเชื่อมต่อ VPN ของระบบสุขภาพ
เช่นเดียวกับที่ได้สัมผัสกับ ransomware
“ คุณไม่มีโอกาสได้เห็นมันเกิดขึ้นในระบบและพยายามหยุดมัน” Ciso Nate Couture กล่าว “พวกเขาทั้งหมดลงไปเรามีเซิร์ฟเวอร์ 1,300 เซิร์ฟเวอร์ไปออฟไลน์เป็นระยะเวลา 15 นาที”
เหตุการณ์ต่าง ๆ เช่น Ransomware -Attack ในเดือนตุลาคม 2563 กับหนึ่งในระบบสุขภาพที่ใหญ่ที่สุดของเวอร์มอนต์บังคับให้ผู้นำด้านไอทีต้องเผชิญหน้ากับความแตกต่างระหว่างยีนไซเบอร์และการกู้คืนภัยพิบัติ แผน DR แบบดั้งเดิมสันนิษฐานว่าองค์กรสามารถกู้คืนระบบจากการสำรองข้อมูลและดำเนินการต่อได้อย่างรวดเร็ว อย่างไรก็ตามเหตุการณ์ไซเบอร์ต้องการวิธีการพื้นฐานอื่น ๆ ซึ่งบางครั้งองค์กรด้านสุขภาพใช้ระบบชั่วคราวเป็นเวลาหลายสัปดาห์เมื่อพวกเขาสร้างสภาพแวดล้อมของพวกเขาใหม่
“ การกู้คืนภัยพิบัติแบบดั้งเดิมหมายถึงการกลับมาเป็นปกติจากเหตุการณ์ทางกายภาพและสิ่งแวดล้อม” ลีคิมอธิการบดีอาวุโสด้านความปลอดภัยทางไซเบอร์และความเป็นส่วนตัวของ HIMSS กล่าว “การกู้คืนเหตุการณ์ในโลกไซเบอร์หมายถึงการกลับมาเป็นปกติจากเหตุการณ์การรักษาความปลอดภัยทางไซเบอร์สิ่งเหล่านี้เป็นสิ่งที่จับต้องไม่ได้ซึ่งมักจะไม่ได้อยู่ในมุมมองของเราเว้นแต่เราจะดูแลพวกเขาเมื่อเราพบว่ามันมักจะอยู่ในภายหลังหลังจากข้อมูลอาจถูกกำจัดหรือความเสียหายอื่น ๆ
คลิกแบนเนอร์ด้านล่าง หากต้องการอ่านรายงานการวิจัยความปลอดภัยทางไซเบอร์ CDW ล่าสุด
ให้การดูแลท่ามกลางวิกฤตไอที
การโจมตีเครือข่ายสุขภาพของมหาวิทยาลัยเวอร์มอนต์ได้เปิดเผยช่องว่างที่สำคัญและเป็นเรื่องธรรมดามากในกลยุทธ์ฉุกเฉิน ในขณะที่ระบบการดูแลสุขภาพมีขั้นตอนการหยุดทำงานสำหรับปัญหาไอทีประจำแผนเหล่านี้ได้รับการออกแบบมาเพื่อตอบสนองการหยุดพักพลังงานซึ่งกินเวลาเพียงไม่กี่ชั่วโมงหรืออาจจะเป็นวัน แต่ด้วยระบบบันทึกสุขภาพอิเล็กทรอนิกส์ที่ยิ่งใหญ่ขององค์กรออฟไลน์เป็นเวลาสี่สัปดาห์โซลูชั่นที่ใช้กระดาษแสดงให้เห็นอย่างรวดเร็วไม่เพียงพอ
“ มีบริการทางคลินิกบางอย่างที่ไม่มีสิ่งใดที่จะหยุดทำงาน” Couture กล่าว “คุณสามารถทำบัตรผู้ป่วยบนกระดาษและคุณสามารถดูแลผู้ป่วยนอกเป็นประจำและดูแลห้องฉุกเฉินได้มากมายโดยไม่ต้องใช้เทคโนโลยีมากมาย แต่คุณไม่สามารถทำรังสีมะเร็งวิทยาโดยไม่ต้องใช้เทคโนโลยีที่รองรับ”
สำหรับเหตุการณ์ทั่วไปที่มีการกู้คืนภัยพิบัติองค์กรจะปิดการรักษาด้วยรังสีและการรักษาด้วยรังสีจนกระทั่งระบบกลับมาออนไลน์ซึ่งพบข้อตกลงสองสามข้อในกระบวนการ แต่ด้วยระบบที่ลดลงเป็นเวลาหลายสัปดาห์มันจะเป็นตัวแทนของช่องว่างที่ยอมรับไม่ได้ในการดูแลและดังนั้นตูตูและทีมของเขาสร้างสภาพแวดล้อมชั่วคราวที่แยกได้ซึ่งอนุญาตให้รักษาโรคมะเร็งต่อไปได้แม้ว่าจะดำเนินการเพื่อดำเนินการวิเคราะห์และฟื้นฟูนิติวิทยาศาสตร์ พวกเขายังยืนขึ้น EHR ของระบบสุขภาพแบบออฟไลน์ซึ่งเชื่อมต่อโดยตรงกับคอมพิวเตอร์เดสก์ท็อปและเครื่องพิมพ์บางเครื่องและใช้การตั้งค่าเพื่อให้ข้อมูลผู้ป่วยแก่แพทย์
เรียนรู้เพิ่มเติม: การสังเกตช่วยเพิ่มประสิทธิภาพของระบบไอทีและสนับสนุนการดูแลผู้ป่วย
นอกเหนือจากการกู้คืนระบบแล้วโรงพยาบาลยังต้องเปลี่ยนคะแนนสุดท้าย 5,500 จุดและใช้เครื่องมือรักษาความปลอดภัยใหม่ในช่วงกลางของวิกฤต การตอบสนองรวมถึงการใช้งานแพลตฟอร์ม Falcon EDR ของ CrowdStrike ซึ่งเดินไปที่กล่องสำรองที่ไม่มีการเปลี่ยนแปลงและร่วมมือกับ ZSCALER สำหรับการมองเห็นความปลอดภัยบนคลาวด์เมื่อเครื่องมือในท้องถิ่นล้มเหลว
โซลูชั่นใหม่กล่าวว่า Couture ทำให้ระบบสุขภาพอยู่ในตำแหน่งที่ดีขึ้นเพื่อป้องกันการโจมตีซ้ำ – และเพื่อกู้คืนได้เร็วขึ้นหากคุณเกิดขึ้น
“ เราอยู่ในการแข่งขันที่คุณไม่เคยเอาชนะ” เขากล่าว “งานของคุณคือพยายามที่จะไม่ถูกตีเพื่อที่จะได้รับการตีถ้าคุณถูกตีและยืนตัวเองจากเสื่อเมื่อคุณพ่ายแพ้”
เตรียมสำหรับขั้นตอนการหยุดทำงานที่ขยายออกไป
ตั้งแต่ปีพ. ศ. 2561 ระบบสุขภาพของเฮอร์มันน์เมโมเรียลในฮูสตันได้ดำเนินการแบบฝึกหัด ransomware เป็นประจำเพื่อประเมินว่าองค์กรจะยังคงให้การดูแลผู้ป่วยต่อไปหากการโจมตีนำระบบลงมาเป็นเวลานาน
“ ครั้งแรกที่เราทำสิ่งนี้เรานำทีมผู้นำและตัวแทนจากการดำเนินงานทางคลินิก” CISO Randy Yates กล่าว “เราถามว่าจะเกิดอะไรขึ้นถ้าเราประสบกับการโจมตีและพวกเขาไม่สามารถใช้ระบบไอทีบางอย่าง:” จะเกิดอะไรขึ้นถ้าสิ่งนี้หายไปถ้าคุณไม่สามารถพิมพ์ได้ถ้าคุณไม่สามารถสแกนได้? –
เยทส์และทีมของเขาคิดว่าจำเป็นต้องสร้างเครื่องมือและกระบวนการทางไซเบอร์ที่จะช่วยให้ทีมงานทางคลินิกและการดำเนินงานยังคงทำงานต่อไปแม้ว่าเครือข่ายจะลดลงหลายวันหรือหลายสัปดาห์
ค้นพบ: องค์กรด้านสุขภาพต้องการกลยุทธ์การต่อต้านไซเบอร์ที่สนับสนุนความสำเร็จ
การฝึกฝนทำให้สมบูรณ์แบบสำหรับ CyberResilience
Adam Lee ผู้อำนวยการฝ่ายจัดการเหตุฉุกเฉินและความยืดหยุ่นขององค์กรที่ Memorial Hermann นำความพยายามสองปีในการทำแผนที่กระบวนการสำคัญข้ามแผนกโดยระบุว่าแต่ละพื้นที่จำเป็นต้องดำเนินการอย่างไรในการดำเนินงานเป็นเวลา 30 วันแทนที่จะใช้เวลาเพียงไม่กี่ชั่วโมง
ระบบสุขภาพก็เริ่มดำเนินการฝึกซ้อมทีมสีแดง/ทีมสีน้ำเงินโดยบุคคลที่สามพยายามควบคุมการโจมตีในความสามารถในการตรวจสอบการทดสอบ แบบฝึกหัดเหล่านี้ช่วยชี้แจงว่าองค์กรสามารถทำอะไรได้ดีขึ้นเพื่อสนับสนุน CyberResilience หลังจากการโจมตี
“ บางครั้งมันก็ใช้เครื่องมือที่เรามีได้ดีกว่า” เยทส์กล่าว “แต่เราตระหนักว่าในบางกรณีเราต้องการความสามารถใหม่”