Как организации здравоохранения могут выбрать подходящего поставщика услуг управления безопасностью для своих нужд

Поставщики управляемых ИТ-услуг играют всё более важную роль для организаций здравоохранения, которым в противном случае было бы сложно выделить персонал и бюджет на управление ИТ. Поставщики управляемых услуг могут помочь организациям модернизировать инфраструктуру , контролировать производительность и улучшать управление данными. Кроме того, поставщики управляемых услуг могут повысить эффективность работы ИТ-отделов , взяв на себя задачи, на которые редко хватает ресурсов у команд с ограниченным штатом.
В условиях растущего дефицита специалистов по кибербезопасности в отрасли и соответствующей уязвимости к кибератакам организации здравоохранения также обращаются к поставщикам услуг управляемой безопасности . Как отмечает Gartner , типичные предложения MSSP в сочетании с круглосуточной доступностью персонала «призваны сократить количество сотрудников службы безопасности, которых предприятию необходимо нанимать, обучать и удерживать для поддержания приемлемого уровня безопасности».
«Хороший план MSSP поможет медицинским организациям максимально повысить окупаемость инвестиций в технологии, избавив их от необходимости блокировать и решать проблемы инфраструктуры первого и второго уровней», — говорит Роберт Макфарлейн, специалист по стратегии управления безопасностью в CDW . «Благодаря совместно управляемой среде организации могут уделять больше времени разработке политики и стратегии безопасности».
По словам Кристофера Филдера, директора по маркетингу продуктов в Arctic Wolf , помимо возможности восполнить нехватку персонала, программы MSSP помогают справиться с «постоянным шквалом атак на отрасль». Он добавляет, что здравоохранение — привлекательная цель, и ставки никогда не были столь высоки: «В лучшем случае злоумышленник получает большой объём персональной информации. В худшем — потеря дохода и потенциальный вред пациентам».
Уязвимость здравоохранения во многом обусловлена хорошо известным фактором: устаревшей инфраструктурой. Организации могут располагать передовыми системами для интерпретации рентгеновских снимков или проведения хирургических операций, но они часто работают вместе с критически важными устройствами мониторинга, работающими под управлением устаревших версий Windows , или облачными системами с небезопасными по умолчанию конфигурациями. «Существует множество пробелов, которые нужно заполнить», — говорит Филдер.
Такие задачи, как изоляция необновлённых устройств, могут быстро перегрузить ИТ-отдел. Кроме того, необходимо обеспечивать безопасность сетей и конечных точек, управлять доступом, отслеживать угрозы и реагировать на них до того, как атаки нанесут ущерб системе.
«Им с трудом удаётся поспевать за темпом изменений», — говорит Макфарлейн. Это касается и политики. Многие организации понимают, что им были бы полезны готовые сценарии реагирования на инциденты , но для этого требуется документирование рабочих процессов реагирования на инциденты, на что мало кто решался. «Чтобы докопаться до сути проблемы, нужно приложить немало усилий».
«Вот почему для MSSP настоящая добавленная стоимость — это люди, которых предоставляет услуга, а не только технологии», — говорит Филдер.
«Вы получаете команду экспертов по цене одного человека. Это даёт лишь малую выгоду», — говорит он. «Если у вас больница среднего размера, вам нужно реагировать на инциденты, выявлять угрозы, обнаруживать и реагировать на них на конечных точках, а также всё остальное. Вам нужен опытный специалист , который может быть доступен по ночам и выходным ».
Филдер отмечает, что найти талантливых сотрудников службы безопасности сложно, особенно когда в одном районе находится несколько больниц, конкурирующих за одних и тех же людей.
НАЧНИТЕ СЕЙЧАС: Повысьте уровень своей кибербезопасности с помощью управляемых услуг CDW.
Какую пользу получают организации здравоохранения от программ MSSPФилдер описывает типичные предложения MSSP с военной точки зрения.
Перед атакой или «оставлением бума» организации могут воспользоваться рядом услуг:
- Управление уязвимостями включает в себя инвентаризацию всего оборудования и программного обеспечения в среде и определение того, какие пользователи имеют доступ к тем или иным системам . Это помогает организациям расставить приоритеты в работе по исправлению ошибок в системах или определить, где следует отслеживать несанкционированное использование, говорит Филдер.
- Управление идентификацией гарантирует, что пользователи, приложения и устройства имеют доступ только к тому, что им нужно, и ни к чему больше. Таким образом, в случае атаки радиус поражения минимизируется, поскольку злоумышленник не сможет далеко уйти, говорит Макфарлейн.
- Централизованное ведение журнала использует журналы инцидентов из разрозненных инструментов мониторинга угроз, чтобы обеспечить единое представление о том, где происходят инциденты, а также о том, как они связаны. Это сокращает объём оповещений и предоставляет дополнительную информацию об инцидентах.
- Анализ поведения пользователей позволяет определить, когда пользователи входят в систему и к каким данным они пытаются получить доступ. По словам Макфарлейна, это особенно важно для здравоохранения, поскольку «нестандартный доступ не обязательно является злонамеренным» (например, когда врач заходит в систему после окончания рабочего дня, чтобы сделать записи или просмотреть результаты исследований).
Во время атаки , или «бум-бум», всё дело в управляемом обнаружении и реагировании . В таких случаях организациям понадобится поставщик услуг управления безопасностью (MSSP), который «будет ощущаться продолжением команды кибербезопасности», — говорит Филдер. «Надлежащий поставщик будет относиться к вам как к своей собственной организации, а не как к очередному оповещению на консоли».
После нападения , или «сразу после взрыва», основное внимание уделяется реагированию на инцидент . «Вам нужен кто-то на условиях гонорара», — говорит Филдер. «Вы должны иметь возможность сделать один телефонный звонок, и команда, работающая над решением проблемы и переговорами в течение часа», — говорит Филдер.
Макфарлейн предупреждает, что реагирование — это не то же самое, что устранение последствий: «Организациям всё равно придётся принимать меры». Он рекомендует заранее определить, какие задачи по устранению последствий входят в сферу ответственности MSSP, а какие — в сферу деятельности системы здравоохранения. В этом случае институциональные знания организации помогут ей определить подходящего человека для управления ситуацией на месте.
Нажмите на баннер ниже , чтобы прочитать последний отчет CDW по исследованию кибербезопасности.
Многие больницы и системы здравоохранения ведут переговоры с MSSP, полагая, что у них есть особые потребности в безопасности, связанные с демографическим составом их персонала или пациентов. Возможно, это правда, но, по словам Макфарлейна, это может отвлекать: «Хорошо продуманная, эффективно развернутая, хорошо структурированная и эффективно управляемая модель безопасности может подойти к любой ситуации».
Филдер согласен. Да, похоже, у каждого предприятия есть фрагмент устаревшей, автономной клиент-серверной архитектуры, но злоумышленники ищут не её. Их цель — устаревшие версии Microsoft Exchange или устройства под управлением Windows XP.
«Процессы могут различаться, но основные компоненты архитектуры, которыми будут пользоваться злоумышленники, очень похожи. Нам нужно донести до пользователей, что в конечном счёте это всё равно компьютеры, маршрутизаторы, коммутаторы и серверы», — говорит он, — независимо от того, какая система электронных медицинских карт используется , где расположена больница или какие пациенты проходят лечение.
Тем не менее, ни одно предложение MSSP не должно быть универсальным, продолжает Филдер. Например, хороший партнёр будет поддерживать существующие отношения организации с оборудованием и поставщиками, а также будет работать с организацией над определением оптимального графика проведения совещаний, внесения изменений в архитектурную среду или изучения передовых технологий, говорит Макфарлейн.
Здесь, добавляет он, MSSP поможет организации сосредоточиться на конечной цели: «Настройка взаимодействия с совершенно новым инструментом должна осуществляться только в самом конце процесса. Она не должна определять базовую стратегию, поскольку это может ограничить операции по обеспечению безопасности в зависимости от уровня их зрелости».
healthtechmagazine