A corto di risorse per la sicurezza informatica, gli operatori sanitari di piccole e medie dimensioni dovrebbero affidare in outsourcing la manutenzione delle cartelle cliniche elettroniche (EMR), la conformità del settore delle carte di pagamento (PCI) e la raccolta di informazioni sulle minacce a fornitori di servizi di terze parti, ma la valutazione del rischio deve comunque essere gestita internamente, secondo Mitchell Parker, CISO presso l'Indiana University Health.
Lamentando la recente piaga del ransomware e degli attacchi di violazione dei dati contro le organizzazioni sanitarie, insieme a ciò che ritiene sia la mancanza di linee guida specifiche sulla sicurezza informatica e una sovrabbondanza di società di infosec "olio di serpente" che forniscono costose valutazioni del rischio "senza fornire nulla di valore", Parker ha presentato una serie di raccomandazioni per i fornitori di servizi sanitari più piccoli in una presentazione alla conferenza virtuale Black Hat del 2020.
Complessità e costo sono stati i due fattori principali per cui Parker ha sconsigliato che le organizzazioni sanitarie di dimensioni modeste gestissero i propri sistemi EMR.
"Voglio essere molto chiaro: se stai ospitando un EMR e sei una piccola organizzazione, non farlo", ha detto Parker. "C'è un motivo per cui le più grandi società EMR offrono [una] opzione di hosting remoto: questa è la via del futuro perché farlo da soli è un'attività incredibilmente complessa".
Al contrario, ha affermato Parker, un più grande operatore del sistema sanitario o un grande ufficio di servizi "può farlo per te e farlo meglio", fornendo anche ulteriori strumenti utili tra cui la privacy e il monitoraggio delle deviazioni.
La conformità PCI è un'altra area che i piccoli fornitori di assistenza sanitaria vorranno evitare di gestire da soli, a causa del forte rischio connesso alla registrazione, elaborazione e archiviazione dei dati di pagamento sensibili, ha affermato Parker. "Inoltre, non vuoi essere in una posizione in cui stai annotando i numeri di carta di credito o registrandoli nei messaggi vocali – entrambi i quali influenzano il tuo stato di conformità PCI", perché una persona senza scrupoli con accesso a tali informazioni potrebbe rubare quei numeri , Lui ha spiegato.
"Realisticamente, credo che il trasferimento del rischio pagando un fornitore conforme allo standard PCI sia la mossa migliore che un'organizzazione possa fare", ha concluso il CISO. “Ci sono molte aziende là fuori che fanno un ottimo lavoro. Lo faranno per te a un prezzo ragionevole e ti forniranno qualcosa di ragionevolmente decente per la conformità PCI ".
Il partner ha consigliato di contrattare un fornitore del ciclo di entrate per fornire un portale di pagamento per i pazienti e ha consigliato di contattare banche e fornitori per ottenere i più recenti dispositivi P2PE (crittografia punto-punto). "Letteralmente, te li daranno", ha affermato Parker, sebbene i dispositivi dovrebbero essere valutati e aggiornati su base trimestrale.
La raccolta e la segnalazione di informazioni sulle minacce è un'altra responsabilità che Parker ritiene debba essere delegata a una terza parte. Il CISO ha affermato che organizzazioni come l'Healthcare Information Sharing and Advisory Center (H-ISAC) e il Health Sector Coordinating Council (HSCC) offrono collettivamente contenuti di qualità, mailing list, guida, raccomandazioni, conferenze e opportunità di coordinamento tra i membri del settore. "E lo consigliamo vivamente, più che spendere soldi per software di intelligence sulle minacce", ha affermato Parker.
Le valutazioni dei rischi, tuttavia, devono rimanere una responsabilità interna, aiutate da un aiuto esterno supplementare, se necessario, ha affermato Parker. "Il motivo è che devi conoscere bene la tua attività e sapere dove sono i tuoi buchi."
Ancora più importante, ha affermato, le organizzazioni sanitarie devono essere oneste sul loro stato di conformità per quanto riguarda HIPAA e altre normative e standard di sicurezza / privacy (per evitare che si trovino nei guai con l'Ufficio per i diritti civili e le compagnie di assicurazione). Ma tale franchezza potrebbe essere più difficile da ottenere quando un fornitore di terze parti pone domande.
"La gente pensa estraneo, pensa un revisore dei conti", ha detto Parker. “E se porti un estraneo, le persone si tireranno su e non diranno nulla. Questo non è un problema per le grandi aziende con cui ho lavorato, ma gli estranei non ottengono risposte; gli addetti ai lavori lo fanno. "
Parker ha affermato che l'Indiana University Health ha creato uno strumento di valutazione quantitativa del rischio scaricabile utilizzando un foglio di calcolo Excel basato sullo strumento di valutazione della preparazione dei sistemi dei Centers for Medicare & Medicaid Services che valuta i rischi in base a probabilità, impatto, velocità, potenziale perdita di reddito e impatto sulla reputazione.
Parker ha anche affrontato i rischi della tecnologia di accesso remoto, una tendenza esplosa sotto la pandemia Covid-19, ma che è emersa anche come un vettore di attacco significativo.
"Una delle lezioni più importanti apprese nell'ultimo anno è che l'accesso remoto è un obiettivo enorme", ha affermato Parker, che ha consigliato agli operatori sanitari di evitare di utilizzare Remote Desktop Protocol o VPN obsolete e prive di patch che non sono efficaci contro le minacce moderne.
Lo scorso maggio, il CyberPeace Institute e dozzine di leader e dignitari internazionali hanno sollecitato collettivamente i governi del mondo in una lettera aperta a contribuire a porre fine agli attacchi informatici contro ospedali e istituzioni sanitarie che sono già sotto l'incredibile sforzo di combattere la pandemia Covid-19.
Il post Quali funzioni di sicurezza dovrebbero esternalizzare i piccoli fornitori di servizi sanitari? è apparso per la prima volta su SC Media .