15.8 C
Москва
Понедельник, 7 октября, 2024
ДомойНовостиКак регулирующие органы могут предотвратить кибератаки, подобные Change Healthcare? : Кадры

Как регулирующие органы могут предотвратить кибератаки, подобные Change Healthcare? : Кадры

Дата:

Похожие новости

spot_imgspot_img
- Реклама -
После того, как кибератака Change Healthcare посеяла хаос в системе здравоохранения, члены Финансового комитета Сената заслушивают показания Эндрю Уитти, генерального директора UnitedHealth Group. Change Healthcare является дочерней компанией UnitedHealth.

После того, как кибератака Change Healthcare посеяла хаос в системе здравоохранения, члены Финансового комитета Сената заслушали показания Эндрю Уитти, генерального директора UnitedHealth Group, материнской компании Change Healthcare.

Жаклин Мартин/AP


скрыть подпись

переключить заголовок

Жаклин Мартин/AP

Компания Central Oregon Pathology Consultants работает в этой сфере уже почти 60 лет, предлагая молекулярное тестирование и другие диагностические услуги пациентам к востоку от Каскадных гор.

Начиная с прошлой зимы, она работала месяцами без оплаты, выживая за счет наличных денег, сказала менеджер практики Джули Трейсвелл. Практика оказалась в центре последствий одной из самых значительных атак с использованием программ-вымогателей в истории Америки: февральского взлома платежного менеджера Change Healthcare.

Хак парализовал целые участки системы здравоохранения США. Больницы, фармацевты и даже физиотерапевты с трудом выставляли счета за свои услуги. Пациентам было трудно получать лекарства по рецептам.

Недавно COPC узнала, что Change начала обрабатывать некоторые из неурегулированных претензий, которых на июль было около 20 000, но Tracewell не знает, какие именно, сказала она. Портал оплаты для пациентов остается недоступен, что означает, что клиенты не могут оплачивать свои счета.

«Потребуются месяцы, чтобы подсчитать общие потери от этого простоя», — сказала она.

Здравоохранение является наиболее частой целью атак программ-вымогателей: в 2023 году ФБР говорит249 из них были направлены против учреждений здравоохранения — больше, чем среди всех секторов.

Руководители здравоохранения, юристы и члены Конгресса обеспокоены тем, что ответные меры федерального правительства недостаточны, недостаточно финансируются и чрезмерно сосредоточены на защите больниц — даже несмотря на то, что Change доказали, что слабые стороны широко распространены.

«Текущий подход Министерства здравоохранения и социальных служб к кибербезопасности в сфере здравоохранения — саморегулирование и добровольные передовые практики — крайне неадекватен и делает систему здравоохранения уязвимой для преступников и хакеров иностранных правительств», — заявил сенатор Рон Уайден (демократ от штата Орегон), председатель Финансового комитета Сената. написал в недавнем письме в агентство.

Денег нет, сказал Марк Монтгомери, старший директор Центра кибер- и технологических инноваций Фонда защиты демократий. «Мы увидели крайне незначительные или почти нулевые усилия» по увеличению инвестиций в безопасность, сказал он.

Задача срочная — 2024 год стал годом хакерских атак в здравоохранении. В одном случае сотни больниц по всему Юго-Востоку столкнулись с перебоями их возможности получать кровь для переливания после того, как некоммерческая служба по сбору донорской крови OneBlood стала жертвой атаки вируса-вымогателя.

Кибератаки усложняют как повседневные, так и сложные задачи, сказал Нейт Кутюр, директор по информационной безопасности в сети здравоохранения Университета Вермонта, которая пострадала от атаки вируса-вымогателя в 2020 году. «Мы не можем смешивать химиопрепараты на глаз», — сказал он, имея в виду методы лечения рака, которые опираются на технологии, отключенные в результате атаки, на июньском мероприятии в Вашингтоне, округ Колумбия.

В декабре Министерство здравоохранения и социальных служб разработать стратегию кибербезопасности призвано поддержать сектор. Несколько предложений были сосредоточены на больницах, включая программу кнута и пряника, чтобы поощрять поставщиков, которые приняли определенные «основные» методы безопасности, и наказывать тех, кто этого не сделал.

Даже для реализации этой узкой цели могут потребоваться годы: бюджетное предложение департаментаденьги начнут поступать в больницы с «высокой потребностью» в 2027 финансовом году.

Сосредоточение на больницах «неуместно», сказала в интервью Илиана Питерс, бывший юрист по вопросам принудительного исполнения в Управлении по гражданским правам HHS. «Федеральному правительству нужно пойти дальше», инвестируя также в организации, которые поставляют и заключают контракты с поставщиками, сказала она.

Заинтересованность департамента в защите здоровья и безопасности пациентов «выводит больницы на первые места в списке наших приоритетных партнеров», — заявил в интервью Брайан Мазанец, заместитель директора Администрации стратегической готовности и реагирования Министерства здравоохранения и социальных служб США.

Ответственность за кибербезопасность здравоохранения страны делят три управления в двух разных агентствах. Управление по гражданским правам департамента здравоохранения является своего рода патрульным, следящим за тем, чтобы больницы и другие медицинские группы имели адекватную защиту конфиденциальности пациентов, и, если нет, потенциально штрафующим их.

Управление готовности министерства здравоохранения и Агентство кибербезопасности и безопасности инфраструктуры министерства внутренней безопасности помогают выстраивать оборону — например, обязывая разработчиков медицинского программного обеспечения использовать технологию аудита для проверки своей безопасности.

Оба последних обязаны создать список «системно важных субъектов», чья деятельность имеет решающее значение для бесперебойного функционирования системы здравоохранения. Эти субъекты могут получить особое внимание, например, включение в правительственные брифинги об угрозах, сказал в интервью Джош Корман, соучредитель группы по защите прав в киберпространстве I Am The Cavalry.

Федеральные чиновники работали над списком, когда появились новости о взломе Change, но Change Healthcare в нем не было, заявила Джен Истерли, руководитель агентства по кибербезопасности Министерства внутренней безопасности, на мероприятии в марте.

Нитин Натараджан, заместитель директора агентства по кибербезопасности, сообщил KFF Health News, что список — это всего лишь черновик. Агентство предварительно оценено список организаций — по секторам — будет завершен в сентябре прошлого года.

Офис готовности департамента здравоохранения должен координировать свою деятельность с агентством кибербезопасности Министерства внутренней безопасности и всем департаментом здравоохранения, но сотрудники Конгресса заявили, что усилия офиса не оправдывают ожиданий. В HHS есть «бункеры передового опыта», «где команды не общаются друг с другом, [where it] «Неясно, к кому людям следует обращаться», — сказал Мэтт Макмюррей, руководитель аппарата представителя Робина Келли (демократ от Иллинойса), на июньской конференции.

Является ли отдел готовности департамента здравоохранения «подходящим местом для кибербезопасности? Я не уверен», — сказал он.

Исторически офис был сосредоточен на катастрофах физического мира — землетрясениях, ураганах, атаках сибирской язвы, пандемиях. Он унаследовал кибербезопасность, когда руководство департамента эпохи Трампа попыталось захватить больше денег и полномочий, сказал Крис Микинс, который работал в офисе готовности при Трампе, а теперь является аналитиком в инвестиционном банке Raymond James.

Но с тех пор, сказал Микинс, агентство показало, что оно «не имеет квалификации для этого. Там нет финансирования, там нет вовлеченности, там нет экспертизы».

По словам Энни Фикслер, директора Центра кибертехнологических инноваций FDD, в офисе по обеспечению готовности работает лишь «небольшая горстка» сотрудников, занимающихся кибербезопасностью. Мазанец признает, что эта цифра невелика, но надеется, что дополнительное финансирование позволит нанять больше сотрудников.

Офис медленно реагировал на внешние отзывы. Когда отраслевой центр по обмену информацией о киберугрозах попытался скоординироваться с ним, чтобы создать процесс реагирования на инциденты, «потребовалось, наверное, три года, чтобы найти тех, кто готов поддержать» эти усилия, сказал Джим Раут, тогдашний председатель правления группы Health Information Sharing and Analysis Center.

По словам Рауса, во время атаки NotPetya в 2017 году — взлома, который нанес серьезный ущерб больницам и производителю лекарств Merck — Health-ISAC в конечном итоге сама распространила информацию среди своих членов, включая лучший метод сдерживания атаки.

Сторонники рассматривают взлом Change — как сообщается, вызванный отсутствием многофакторной аутентификации, технологии, очень знакомой на рабочих местах в Америке — и говорят, что HHS необходимо использовать предписания и стимулы, чтобы заставить сектор здравоохранения принять более эффективные меры защиты. Стратегия департамента, опубликованная в декабре, предложила относительно ограниченный список целей для сектора здравоохранения, которые на данный момент в основном являются добровольными. Агентство «изучает» создание «новых обязательных» стандартов, сказал Мазанец.

Большая часть стратегии HHS должна быть развернута в течение ближайших месяцев. Департамент уже запросил дополнительное финансирование. Например, офис готовности хочет дополнительно 12 миллионов долларов на кибербезопасность. Офис гражданских прав с фиксированным бюджетом и сокращающимся штатом сотрудников по обеспечению соблюдения должен выпустить обновление своих правил конфиденциальности и безопасности.

«Отрасль в целом по-прежнему сталкивается со значительными проблемами», — сказал Раут. «Я не вижу на горизонте ничего, что обязательно это изменит».

Новости здравоохранения KFF — это национальная редакция, которая выпускает глубокие журналистские материалы о проблемах здравоохранения и является одной из основных рабочих программ КФФ — независимый источник исследований, опросов и журналистики в области политики здравоохранения.

- Реклама -
Москва
пасмурно
15.8 ° C
15.8 °
15.8 °
88 %
1.4kmh
100 %
Пн
18 °
Вт
16 °
Ср
9 °
Чт
11 °
Пт
12 °

Последние новости

RUB - Русский рубль
EUR
105,535
USD
96,253
CNY
13,713
GBP
125,773
ILS
25,421
INR
1,146
TRY
2,809
JPY
0,649