Gestion des risques tiers, notification de violation, gestion de la continuité des activités / reprise après sinistre
Medical Management Systems Firm Discloses Cyber Incident, Risks to SECMarianne Kolbasuk McGee (HealthInfoSec)•May 11, 2022Une récente attaque de ransomware contre un fournisseur de systèmes de gestion des médicaments est le dernier rappel des menaces et des risques persistants de la cybersécurité confrontés à la chaîne d'approvisionnement des soins de santé et aux fournisseurs connexes, ainsi que leurs clients.
See Also: Live Webinar | Remote Employees & the Great Resignation:How Are You Managing Insider Threats?
Dans un u.S.Omnicell, basée à Mountain View, en Californie, a révélé que le 4 mai a affecté certains systèmes informatiques internes et que l'incident et son plein effet étaient toujours à l'étude de Mountain View, en Californie..
"Il y a un impact sur certains des produits et services de l'entreprise, ainsi que sur certains de ses systèmes internes", explique le dépôt par le fournisseur de solutions d'automatisation des médicaments, dont les produits sont utilisés dans les hôpitaux, les pharmacies et autres entités du secteur de la santé.
Lors de la détection de l'événement de sécurité, Omnicell a déclaré qu'il a pris des mesures immédiates pour contenir l'incident et mettre en œuvre ses plans de continuité des activités pour restaurer et soutenir les opérations continues.
"La Société en est aux premiers stades de son enquête et de son évaluation de l'événement de sécurité et ne peut pas déterminer, pour le moment, l'étendue de l'impact de cet événement sur notre entreprise, nos résultats d'exploitation ou si un tel impact aura unEffet défavorable matériel ", dit le dossier.
Omnicell dit avoir informé les autorités de l'application des lois et travaille également en étroite collaboration avec les experts en cybersécurité et le conseiller juridique sur la question.
Risques connexes
Omnicell dans son formulaire trimestriel 10-Q a également déposé auprès de la SEC lundi, reconnaît que les "perturbations importantes" dans ses systèmes informatiques, ses violations de données ou ses cyberattaques sur ses systèmes pourraient nuire à son entreprise.
"Nous comptons sur des systèmes informatiques pour conserver des dossiers financiers et des dossiers d'entreprise, communiquer avec le personnel et les parties externes, et exploiter d'autres fonctions critiques, y compris les processus de vente et de fabrication", a déclaré Omnicell dans le dossier.
"Nous utilisons également des services cloud tiers en relation avec nos opérations ... nos systèmes informatiques et nos services cloud tiers sont potentiellement vulnérables aux perturbations dues à la rupture, aux intrusions malveillantes et aux virus informatiques, aux crises de santé publique telles que la pandémi de pandémie Covid-19 en cours Covid-19, autres événements catastrophiques ou impact environnemental, ainsi qu'en raison des mises à niveau du système et / ou de nouvelles implémentations de système."
Omnicell dit que ses systèmes peuvent également connaître des vulnérabilités à partir du code logiciel tiers ou open source qui peut être incorporé dans ses propres systèmes de fournisseurs ou ses fournisseurs."Toute perturbation prolongée du système dans nos systèmes informatiques ou nos services tiers pourrait avoir un impact négatif sur la coordination de nos activités de vente, de planification et de fabrication, ce qui pourrait nuire à notre entreprise", dit Omnicell.
"De plus, afin de maximiser notre efficacité informatique, nous avons physiquement consolidé nos données primaires et opérations informatiques.Cette concentration, cependant, nous expose à un plus grand risque de perturbation de nos systèmes informatiques internes."
Bien que Omnicell dit qu'il conserve des sauvegardes hors site de ses données, "une perturbation des opérations dans nos installations pourrait perturber matériellement notre entreprise si nous ne sommes pas capables de restaurer la fonction dans un délai acceptable."
Omnicell dit également que ses systèmes informatiques et ses services cloud tiers "sont potentiellement vulnérables aux cyberattaques, y compris les ransomwares ou d'autres incidents de sécurité des données, par des employés ou d'autres, qui peuvent exposer des données sensibles aux personnes non autorisées."
«Les incidents de sécurité des données pourraient également entraîner la perte de secrets commerciaux ou d'autres propriétés intellectuelles, ou à l'exposition publique d'informations sensibles et confidentielles de nos employés, clients, fournisseurs et autres, dont n'importe lequel pourraient avoir un effet défavorable significatif sur notreentreprise, situation financière et résultats d'exploitation ", dit-il.
De plus, certaines solutions omnicell reçoivent, stockent et traitent les données des clients et sont également à risque.Par exemple, le système d'engagement privé sur les patients en cloud d'Omnicell, EnlivenHealth, aide les patients à respecter leurs objectifs de médicaments grâce à une plate-forme Aweb, selon la société.
"Une attaque efficace contre nos solutions pourrait perturber le bon fonctionnement de nos solutions, permettre un accès non autorisé à des informations sensibles et confidentielles de nos clients - y compris des informations de santé protégées - et perturber les opérations de nos clients", dit Omnicell
Pas de paris sûrs
Omnicell dit avoir mis en œuvre un certain nombre de mesures de sécurité conçues pour protéger ses systèmes et ses données, notamment des pare-feu, des antivirus et des outils de détection de logiciels malveillants, des correctifs, des moniteurs de journaux, des sauvegardes de routine, des audits système, des modifications de mot de passe de routine et des procédures de reprise après sinistre.
De plus, la société affirme avoir une assurance qui comprend actuellement une couverture pour les cyberattaques.
Mais, dit-il, "Nous avons vu une tendance où le montant de la couverture offerte par les assureurs pour de telles cyberattaques diminue tandis que le coût d'obtention d'une telle couverture augmente.Si cette tendance se poursuit, la couverture d'assurance que nous possédons peut ne pas être adéquate ou le coût pour obtenir une telle couverture peut devenir prohibitif.
«Tout incapacité à empêcher ces violations de sécurité ou violations de la confidentialité, ou mettre en œuvre des mesures correctives satisfaisantes, nous obligerons à dépenser des ressources importantes pour résoudre tout dommage, perturber nos opérations ou les opérations de nos clients, nuire à notre réputation, endommager nos relations avec nos clientsou nous exposer à un risque de perte financière, de litige, de pénalités réglementaires, d'obligations d'indemnisation contractuelle ou d'une autre responsabilité."
Omnicell a refusé la demande du groupe de médias de sécurité des informations pour des détails supplémentaires et des commentaires sur son récent incident de ransomware.
Signaler des lacunes
L'avocat de la vie privée David Holtzman de la société de conseil Hitprivacy indique que les reportages d'Omnicell à la SEC d'une attaque de ransomware soulignent "le besoin flagrant" de réglementations fédérales pour mieux protéger les individus dont les données sont divulguées par une cybersécurité ou un incident de ransomware.
"Actuellement, les sociétés cotées en bourse sont tenues de signaler la cybersécurité et les ransomwares afin de s'assurer que les intérêts de leurs actionnaires sont protégés", dit-il.
Holtzman affirme que, à l'exception des sociétés qui sont des entités couvertes de HIPAA ou sous réserve des réglementations de la Federal Trade Commission pour les dossiers de santé personnels, "il n'y a aucune exigence fédérale pour informer les consommateurs lorsque leurs informations personnellement identifiables sont compromises à la suite d'une cybersécurité ou d'une ransomwareincident."
Dans l'intervalle, les entités qui ont partagé des informations personnellement identifiables avec Omnicell devraient examiner leurs contrats de fournisseur pour s'assurer qu'il existe des conditions qui spécifient l'obligation d'Omnicell de fournir une notification en temps opportun et des rapports détaillés de leurs enquêtes sur les incidents de sécurité présentant un risque de compromis de données, ildit.
Holtzman affirme que les rapports devraient détailler l'incident précis survenu, les mesures prises par le vendeur lors de leur enquête, une analyse médico-légale des systèmes affectés par l'événement de sécurité, un inventaire des données qui appartiennent au fournisseur et les données exactes à risquede compromis.
Cloches d'avertissement
L'attaque des ransomwares contre Omnicell - et les risques déclarés de la société impliquant des cyber-états et des violations de données - sont également des rappels à d'autres entités du secteur de la santé sur l'impact potentiel que les incidents de sécurité de la chaîne d'approvisionnement et des fournisseurs peuvent avoir sur leurs propres organisations.
Parce que les produits et systèmes fournis par les fournisseurs de soins de santé peuvent être essentiels pour fournir des soins de vie, ces produits doivent être conçus de telle sorte qu'une attaque de cybersécurité ne peut jamais causer des dommages directs ou indirects, explique Todd Ebert, président et chef de la direction de la Healthcare Supply Chain Association.
De plus, aucun appareil ne devrait être en mesure d'agir comme une passerelle pour compromettre un système, un réseau ou un autre appareil connecté, et tous les appareils devraient être en mesure de fournir des fonctions cliniques de base sur une base autonome déconnectée de tous les systèmes ou réseaux, ilraconte ISMG.
Les fournisseurs et les prestataires de soins de santé doivent être vigilants et faire tout l'effort pour contrecarrer les attaques avant de se produire, et ils doivent également être préparés lorsqu'une attaque réussit, afin qu'ils puissent intervenir rapidement et limiter l'impact de l'attaque, dit Ebert.
«La maintenance des dispositifs et de la sécurité de l'information est une responsabilité partagée des fabricants et des fournisseurs d'appareils et services connectés ainsi que des organisations de prestation de soins de santé qui les utilisent.Fournir cette sécurité est un effort continu qui nécessite une vigilance, une adaptation et une communication continue et une collaboration entre les parties."
L'une des principales composantes de la préparation est d'avoir un plan de continuité pour les opérations continues si un appareil, des appareils ou un système doivent être isolés ou fermés, dit-il."Les fournisseurs devraient également avoir des plans en place pour examiner les réseaux ou systèmes auxquels les produits du fournisseur affecté sont connectés", dit-il.
"Les prestataires devraient se méfier de ces produits étant une passerelle pour une attaque contre leurs propres systèmes.Il est très important que les fournisseurs aient une ligne de communication ouverte et continue avec l'équipe de sécurité du fournisseur lorsqu'ils traitent d'une attaque "(voir: SBOMS dans la chaîne d'approvisionnement des soins de santé sont essentiels).
Préoccupations de sécurité des patients
Certains experts disent que les incidents de sécurité impliquant des systèmes et des logiciels informatiques tiers mettent également en évidence le risque pour la sécurité des patients.
"Les cyberattaques sur les entités de santé peuvent certainement mettre des vies en danger", explique Deidre Tompkins, directeur principal du conseil à la société de sécurité Pondurance.
De tels incidents peuvent perturber l'accès aux dossiers de santé électroniques des patients, exploiter les vulnérabilités dans les dispositifs médicaux et l'équipement de diagnostic, et exposer - ou divulguer illégalement - PHI, dit-elle."Les perturbations peuvent également inclure des retards et des complications dans les procédures ou les tests et provoquer le détournement des patients à d'autres installations."
Orientation
Dans la situation dans son ensemble, la semaine dernière, le National Institute of Standards and Technology - suite aux récents décrets du président Joe Biden concernant la cybersécurité - a révisé ses directives pour contrer les risques de la chaîne d'approvisionnement (voir: NIST met à jour les directives pour la gestion des risques de la chaîne d'approvisionnement).
La publication révisée «pratiques de gestion des risques de la chaîne d'approvisionnement de la cybersécurité pour les systèmes et les organisations» fournit des conseils sur l'identification, l'évaluation et la réponse aux risques de cybersécurité dans toute la chaîne d'approvisionnement à tous les niveaux d'une organisation.