Как организации здравоохранения могут выбрать подходящего поставщика услуг управления безопасностью для своих нужд

Почему организации здравоохранения обращаются к MSSP

По словам Кристофера Филдера, директора по маркетингу продуктов в Arctic Wolf , помимо возможности восполнить нехватку персонала, программы MSSP помогают справиться с «постоянным шквалом атак на отрасль». Он добавляет, что здравоохранение — привлекательная цель, и ставки никогда не были столь высоки: «В лучшем случае злоумышленник получает большой объём персональной информации. В худшем — потеря дохода и потенциальный вред пациентам».

Уязвимость здравоохранения во многом обусловлена хорошо известным фактором: устаревшей инфраструктурой. Организации могут располагать передовыми системами для интерпретации рентгеновских снимков или проведения хирургических операций, но они часто работают вместе с критически важными устройствами мониторинга, работающими под управлением устаревших версий Windows , или облачными системами с небезопасными по умолчанию конфигурациями. «Существует множество пробелов, которые нужно заполнить», — говорит Филдер.

Такие задачи, как изоляция необновлённых устройств, могут быстро перегрузить ИТ-отдел. Кроме того, необходимо обеспечивать безопасность сетей и конечных точек, управлять доступом, отслеживать угрозы и реагировать на них до того, как атаки нанесут ущерб системе.

«Им с трудом удаётся поспевать за темпом изменений», — говорит Макфарлейн. Это касается и политики. Многие организации понимают, что им были бы полезны готовые сценарии реагирования на инциденты , но для этого требуется документирование рабочих процессов реагирования на инциденты, на что мало кто решался. «Чтобы докопаться до сути проблемы, нужно приложить немало усилий».

«Вот почему для MSSP настоящая добавленная стоимость — это люди, которых предоставляет услуга, а не только технологии», — говорит Филдер.

«Вы получаете команду экспертов по цене одного человека. Это даёт лишь малую выгоду», — говорит он. «Если у вас больница среднего размера, вам нужно реагировать на инциденты, выявлять угрозы, обнаруживать и реагировать на них на конечных точках, а также всё остальное. Вам нужен опытный специалист , который может быть доступен по ночам и выходным ».

Филдер отмечает, что найти талантливых сотрудников службы безопасности сложно, особенно когда в одном районе находится несколько больниц, конкурирующих за одних и тех же людей.

НАЧНИТЕ СЕЙЧАС: Повысьте уровень своей кибербезопасности с помощью управляемых услуг CDW.

Какую пользу получают организации здравоохранения от программ MSSP

Филдер описывает типичные предложения MSSP с военной точки зрения.

Перед атакой или «оставлением бума» организации могут воспользоваться рядом услуг:

• Управление уязвимостями включает в себя инвентаризацию всего оборудования и программного обеспечения в среде и определение того, какие пользователи имеют доступ к тем или иным системам . Это помогает организациям расставить приоритеты в работе по исправлению ошибок в системах или определить, где следует отслеживать несанкционированное использование, говорит Филдер.
• Управление идентификацией гарантирует, что пользователи, приложения и устройства имеют доступ только к тому, что им нужно, и ни к чему больше. Таким образом, в случае атаки радиус поражения минимизируется, поскольку злоумышленник не сможет далеко уйти, говорит Макфарлейн.
• Централизованное ведение журнала использует журналы инцидентов из разрозненных инструментов мониторинга угроз, чтобы обеспечить единое представление о том, где происходят инциденты, а также о том, как они связаны. Это сокращает объём оповещений и предоставляет дополнительную информацию об инцидентах.
• Анализ поведения пользователей позволяет определить, когда пользователи входят в систему и к каким данным они пытаются получить доступ. По словам Макфарлейна, это особенно важно для здравоохранения, поскольку «нестандартный доступ не обязательно является злонамеренным» (например, когда врач заходит в систему после окончания рабочего дня, чтобы сделать записи или просмотреть результаты исследований).

Во время атаки , или «бум-бум», всё дело в управляемом обнаружении и реагировании . В таких случаях организациям понадобится поставщик услуг управления безопасностью (MSSP), который «будет ощущаться продолжением команды кибербезопасности», — говорит Филдер. «Надлежащий поставщик будет относиться к вам как к своей собственной организации, а не как к очередному оповещению на консоли».

После нападения , или «сразу после взрыва», основное внимание уделяется реагированию на инцидент . «Вам нужен кто-то на условиях гонорара», — говорит Филдер. «Вы должны иметь возможность сделать один телефонный звонок, и команда, работающая над решением проблемы и переговорами в течение часа», — говорит Филдер.

Макфарлейн предупреждает, что реагирование — это не то же самое, что устранение последствий: «Организациям всё равно придётся принимать меры». Он рекомендует заранее определить, какие задачи по устранению последствий входят в сферу ответственности MSSP, а какие — в сферу деятельности системы здравоохранения. В этом случае институциональные знания организации помогут ей определить подходящего человека для управления ситуацией на месте.

Нажмите на баннер ниже , чтобы прочитать последний отчет CDW по исследованию кибербезопасности.

MSSP готовы удовлетворить потребности отрасли здравоохранения

Многие больницы и системы здравоохранения ведут переговоры с MSSP, полагая, что у них есть особые потребности в безопасности, связанные с демографическим составом их персонала или пациентов. Возможно, это правда, но, по словам Макфарлейна, это может отвлекать: «Хорошо продуманная, эффективно развернутая, хорошо структурированная и эффективно управляемая модель безопасности может подойти к любой ситуации».

Филдер согласен. Да, похоже, у каждого предприятия есть фрагмент устаревшей, автономной клиент-серверной архитектуры, но злоумышленники ищут не её. Их цель — устаревшие версии Microsoft Exchange или устройства под управлением Windows XP.

«Процессы могут различаться, но основные компоненты архитектуры, которыми будут пользоваться злоумышленники, очень похожи. Нам нужно донести до пользователей, что в конечном счёте это всё равно компьютеры, маршрутизаторы, коммутаторы и серверы», — говорит он, — независимо от того, какая система электронных медицинских карт используется , где расположена больница или какие пациенты проходят лечение.

Тем не менее, ни одно предложение MSSP не должно быть универсальным, продолжает Филдер. Например, хороший партнёр будет поддерживать существующие отношения организации с оборудованием и поставщиками, а также будет работать с организацией над определением оптимального графика проведения совещаний, внесения изменений в архитектурную среду или изучения передовых технологий, говорит Макфарлейн.

Здесь, добавляет он, MSSP поможет организации сосредоточиться на конечной цели: «Настройка взаимодействия с совершенно новым инструментом должна осуществляться только в самом конце процесса. Она не должна определять базовую стратегию, поскольку это может ограничить операции по обеспечению безопасности в зависимости от уровня их зрелости».