Voici les questions posées par le Congrès après une attaque de ransomware

Si votre violation est suffisamment importante, les membres du Congrès en prennent note.

Tel est le cas des services de santé universels. Dans une lettre d’aujourd’hui, le vice-président de la commission du renseignement du Sénat, Mark Warner, D-Va., A écrit au président-directeur général de l’UHS, Alan B. Miller, pour exprimer ses «graves préoccupations» au sujet d’une attaque par ransomware à la fin du mois dernier et demander plus d’informations sur la posture de cybersécurité de l’entreprise. avant la violation.

«En tant que l’un des plus grands exploitants d’établissements médicaux du pays avec 3,5 millions de visites de patients par an, il est impératif que les soins médicaux soient fournis à tous les patients sans aucune interruption ou perturbation créée par une cybersécurité inadéquate», a écrit Warner. «Alors que les premiers rapports suggèrent que les attaquants n’ont pas accédé aux données des patients ou des employés, un incident comme celui-ci met en évidence la nécessité d’assurer une hygiène de cybersécurité adéquate dans un établissement de santé.»

De large à assez spécifique, la lettre de Warner donne un aperçu de certaines des questions que les entreprises pourraient se poser par le Congrès ou les régulateurs fédéraux à la suite d’une attaque de ransomware. Il s’est enquis de l’état de la cybersécurité UHS avant l’attaque, des détails sur les politiques de gestion des vulnérabilités et des correctifs, sur l’étendue de la segmentation du réseau entre les différentes installations et systèmes et sur les politiques de gestion des risques des tiers. Il a demandé si les dispositifs médicaux sont isolés des systèmes administratifs et des réseaux pour éviter les perturbations à la suite d’une attaque.

Warner a également demandé si UHS avait décidé de payer la rançon et si oui, combien; il a demandé confirmation que les données protégées par la HIPAA n’avaient pas été consultées ou exfiltrées; et il a demandé le nom du cadre supérieur supervisant les efforts de rétablissement et d’intervention.

L’incident a été confirmé par UHS le 29 septembre. Dans une mise à jour publiée le 5 octobre, la société a déclaré que peu de temps après avoir pris connaissance d’une cyberattaque en cours le dimanche 27 septembre, la société «a rapidement déconnecté tous les systèmes et arrêté. le réseau afin de poursuivre la propagation. » Ils affirment que les principaux systèmes d’information, comme leur système de dossiers de santé électroniques, n’ont «pas été directement touchés» et qu’ils travaillaient à remettre en ligne d’autres systèmes et à en restaurer d’autres à partir de sauvegardes.

Warner note que les experts en cybersécurité mettent en garde contre la menace que représente le ransomware pour le secteur de la santé depuis des années et que cette activité ne fait que s’intensifier depuis le début de la pandémie de coronavirus qui a poussé des millions d’employés à travailler à domicile.

En effet, les agences gouvernementales des deux pays où UHS opère, le US Cybersecurity and Infrastructure Security et le National Cyber ​​Security Center du Royaume-Uni, ont tous deux mis en garde ces derniers mois contre le ciblage accru des établissements de santé par les groupes de piratage des États-nations. Dans un document d’orientation récemment publié sur la façon dont les organisations doivent se préparer aux ransomwares, CISA conseille que la restauration des systèmes liés à la santé et à la sécurité devrait être l’une des premières priorités.

Une mauvaise violation peut amener d’autres aspects des opérations commerciales d’une entreprise à un examen plus approfondi. Les grandes entreprises de soins de santé consolidées avec des établissements qui partagent des systèmes logiciels interconnectés sont particulièrement exposées, car une seule violation pourrait avoir un impact sur les systèmes et les données des patients à travers les frontières des États et des pays. Selon Warner, ces entités distribuées ont des obligations uniques en matière de cybersécurité.

«Avec toutes les ressources d’une entreprise Fortune 500 recevant plus de 11 milliards de dollars de revenus annuels, les patients de UHS s’attendent et méritent que la posture de cybersécurité de leur fournisseur soit suffisamment mature et robuste pour éviter des interruptions majeures des opérations de santé», a-t-il déclaré.