¿Cómo evaluaría las prácticas de ciberseguridad en la industria de la salud?
SecurityScorecard otorgó a la industria de la salud una calificación de ciberseguridad “B+”, señalando que la calificación de seguridad de la industria fue “más alta de lo esperado”.
La compañía publicó sus hallazgos en el contexto del ciberataque Change Healthcare y dijo que el informe ayudará a las organizaciones de atención médica a evaluar el riesgo de una infracción y prevenir resultados similares. Las empresas utilizan la tecnología de evaluación de seguridad de SecurityScorecard para la gestión de riesgos empresariales, gestión de riesgos de terceros, informes de la junta directiva, diligencia debida, suscripción cibernética y supervisión regulatoria.
Este informe analizó los riesgos de seguridad de las 500 principales empresas del sector sanitario. La mayoría de estas empresas son empresas farmacéuticas y de biotecnología.
Los investigadores de SecurityScorecard analizaron la atención médica, incluida la farmacéutica y la biotecnología, los proveedores y distribuidores de dispositivos médicos, las clínicas y las organizaciones de seguros y facturación. Los ciberataques a la atención médica reportados tienden a centrarse en los proveedores de atención médica, lo que puede distorsionar las percepciones de los riesgos de ciberseguridad para el sector de la salud en su conjunto, según el informe. En general, el 90% de las organizaciones sanitarias encuestadas recibieron una calificación A o B en ciberseguridad. El 8% eran C y el 2% eran D o F. Según la metodología de calificación de la empresa, una calificación “B” indica una probabilidad de infracción 2,9 veces mayor que una calificación “A”, una calificación “C” indica una probabilidad de infracción 5,4 veces mayor y una calificación “D” indica un 5,4 x una mayor probabilidad de infracción indica que una infracción es 9,2 veces más probable, y una calificación “F” indica 13,8 veces más probabilidades de verse comprometida.
“Los puntos únicos de falla, como Change Healthcare, que apoyó el procesamiento de reclamos médicos, pueden paralizar todo el ecosistema de atención médica. Sin la comunidad de ciberseguridad que monitorea proactivamente los riesgos de la cadena de suministro, la historia se repetirá. Debemos trabajar juntos para identificar y abordar los puntos únicos de falla. fracaso”, dijo Ryan Shastobitoff, vicepresidente senior de investigación e inteligencia de amenazas, en un comunicado.
Los investigadores descubrieron que la calificación general fue más alta de lo esperado porque la muestra incluía grandes empresas que cotizan en bolsa, que a menudo tienen mejor seguridad, y porque la muestra incluía más empresas farmacéuticas y de biotecnología.
SecurityScorecard señala que las 500 principales empresas de atención médica y sus posibles violaciones de ciberseguridad tienen el mayor impacto en los mercados de atención médica y en la mayoría de los pacientes en comparación con las organizaciones y proveedores más pequeños. Los piratas informáticos también consideran que estas empresas son las más rentables, por lo que suelen ser las más atacadas.
Según el informe, los problemas que pueden surgir de los ataques de ransomware incluyen el uso de datos de pacientes para fraude, la vulneración de la propiedad intelectual farmacéutica y la interrupción de los procesos comerciales.
Las empresas farmacéuticas, las clínicas y las organizaciones de seguros recibieron calificaciones igualmente altas de los analistas.
Sin embargo, los fabricantes y distribuidores de dispositivos médicos obtienen puntuaciones bajas y representan una gran proporción de organizaciones clasificadas en el 10% inferior de las puntuaciones de ciberseguridad. Una de las diferencias clave en las amenazas a la ciberseguridad que está reduciendo las puntuaciones de los dispositivos médicos es la menor puntuación en la seguridad de los terminales, que según el informe se debe principalmente a navegadores web obsoletos.
Aunque la encuesta encontró que los dispositivos médicos son el área más problemática, SecurityScorecard dice que los hallazgos requieren una consideración más amplia de los riesgos que estos dispositivos representan no solo para los hospitales sino también para los propios fabricantes.
“Los dispositivos médicos vulnerables son un factor de riesgo único y bien conocido en esta industria, principalmente para los proveedores de atención médica que implementan los dispositivos en el área de la superficie de ataque, en lugar de las empresas que los fabrican o venden. “Este es un riesgo significativo”, dice el informe. estados.
Los analistas dicen que los dispositivos médicos son vulnerables a los ataques porque tienen una superficie de ataque diferente.
El 9% de las organizaciones analizadas tuvieron una filtración de datos en el último año o un dispositivo comprometido en los últimos 30 días.
SecurityScorecard señaló que este último factor es importante. Esto se debe a que “las máquinas comprometidas pueden ser sólo la punta del iceberg y pueden ser el primer punto de acceso para que un grupo de amenazas se mueva lateralmente y expanda el acceso a toda la red”.
Para los fabricantes y proveedores de dispositivos médicos, la evidencia de dispositivos comprometidos en los últimos 30 días fue el doble que la muestra general.
SecurityScorecard ha categorizado los mayores riesgos para la ciberseguridad en las organizaciones como:
La cadena de redireccionamiento incluye HTTP (32 %) El servicio SSL/TLS admite protocolos débiles (22 %) Implementación insegura de la integridad de los subrecursos (8 %) Se observaron navegadores web obsoletos (7 %) El registro SPF contiene fallas leves sin DMARC (5 %) Los derechos de autor del sitio web son desactualizado (5%) Otros problemas de seguridad de la aplicación (5%) Falta registro SPF (3%) El sitio web hace referencia al almacenamiento de objetos (3%) El sitio no aplica HTTPS (2%) La cookie de sesión no tiene el atributo “HttpOnly” (2 %) La cookie de sesión no tiene el atributo “Seguro” Ninguno (2%)
Además, categorizamos los problemas en categorías de seguridad de red, seguridad de aplicaciones, seguridad de terminales y estado de DNS. Descubrieron que las amenazas a la seguridad de las aplicaciones son más comunes a través de cadenas de redireccionamiento, principalmente involucrando HTTP, mientras que las amenazas a la seguridad de los terminales son las más peligrosas para las empresas.
Los problemas de salud del DNS incluyeron dos problemas específicos con el Marco de políticas del remitente (SPF). Permitir que los correos electrónicos sospechosos se muevan a carpetas de spam, bandejas de entrada con signos de interrogación sospechosos o sin SPF.
La subcontratación de tareas a terceros también plantea riesgos para las organizaciones sanitarias. Esto es especialmente cierto cuando se subcontratan tareas administrativas, financieras o de prueba y diagnóstico. Según SecurityScorecard, los proveedores que contienen datos médicos o tienen software vulnerable también representan un riesgo para las organizaciones de atención médica.
Fuente: https://www.fiercehealthcare.com/health-tech/report-90-healthcare-orgs-get-b-cybersecurity-medical-devices-fall-below-mark
