Dalam hal perawatan kesehatan, keamanan siber benar-benar dapat menjadi pembeda antara hidup dan mati. Untuk mengoordinasikan perawatan pasien, memberikan catatan kesehatan elektronik yang tepat kepada tenaga medis yang tepat, atau melindungi informasi sensitif, rumah sakit, laboratorium, dan penyedia layanan kesehatan lainnya harus tetap online, terhubung, dan aman.
Itulah mengapa National Health Service (NHS) yang baru persyaratan bahwa semua entitas menerapkan otentikasi multi-faktor (MFA) merupakan tonggak sejarah yang sangat penting. Saya tidak hanya mengatakan hal ini atas nama RSA: ini bersifat pribadi. Saya berasal dari Inggris dan masih memiliki keluarga di sana. Dengan menerapkan MFA, NHS akan terus menjaga keamanan informasi kesehatan yang sangat sensitif milik pasien (termasuk keluarga saya).
Kebijakan MFA menguraikan aturan dan persyaratan untuk menerapkan autentikasi multi-faktor di seluruh organisasi atau sistem. Tujuannya adalah untuk memastikan bahwa hanya pengguna yang memiliki izin yang dapat mengakses sistem atau data, sehingga mengurangi risiko akses yang tidak sah, pembobolan data, dan serangan siber. Kebijakan MFA yang terdefinisi dengan baik menentukan pengguna mana yang harus mengautentikasi melalui berbagai faktor, metode autentikasi yang akan digunakan, dan kondisi di mana MFA akan dibutuhkan, seperti untuk mengakses data sensitif atau melakukan tindakan berisiko tinggi. Kebijakan ini juga biasanya mencakup panduan tentang kepatuhan, penegakan, dan pembaruan rutin untuk beradaptasi dengan ancaman keamanan yang muncul.
Dan meskipun kebijakan ini khusus untuk NHS, kebijakan ini juga merupakan bagian dari tren global yang lebih luas. Persyaratan NHS yang baru ini mengikuti mandat di AS untuk meningkatkan keamanan siber negara. Demikian juga dengan NIS2 Uni Eropa bertujuan untuk menetapkan "tingkat keamanan siber yang tinggi" di antara semua negara anggota. Insiden seperti Log4j, perang di Ukraina, dan serangan siber yang disponsori negara semua telah menempatkan keamanan siber sebagai hal yang utama di seluruh dunia: tidak pernah ada yang lebih penting bagi semua organisasi untuk fokus memperkuat pertahanan mereka. Hal ini terutama berlaku untuk layanan kesehatan, itulah sebabnya saya sangat senang bahwa NHS menangani keamanan siber dengan serius.
Namun untuk sistem sebesar dan sekompleks NHS, dibutuhkan kerja keras untuk mengimplementasikan autentikasi multi-faktor pada waktunya untuk memenuhi tenggat waktu Februari 2024 untuk mendemonstrasikan rencana implementasi, atau tenggat waktu Juni 2024 untuk kepatuhan penuh. Jadi, mari kita lihat mengapa MFA penting dalam keamanan siber, tinjau persyaratan kebijakan MFA NHS, dan diskusikan kemampuan yang harus diprioritaskan oleh NHS, dewan perawatan terintegrasi, badan-badan di bawah naungan Departemen Kesehatan dan Perawatan Sosial, dan penyedia layanan kesehatan lainnya.
Autentikasi multi-faktor memberikan lapisan keamanan ekstra yang membantu memastikan bahwa pengguna adalah orang yang sesuai dengan yang diklaimnya. Daripada hanya membutuhkan alamat email dan kata sandi, MFA mengharuskan pengguna untuk memberikan faktor tambahan-seperti memasukkan kode verifikasi, merespons notifikasi push, menggunakan kunci keamanan, atau memberikan informasi biometrik-untuk masuk.
Menambahkan lapisan keamanan ekstra dapat memberikan dampak yang luar biasa. Memberikan kata sandi dan email saja tidak cukup untuk menghentikan sebagian besar pembobolan data: pendekatan Laporan Investigasi Pelanggaran Data Verizon 2023 menemukan bahwa 74% dari semua pelanggaran melibatkan "Kesalahan, Penyalahgunaan Hak Istimewa, Penggunaan kredensial yang dicuri, atau Rekayasa Sosial." Laporan ini juga menemukan bahwa kredensial yang dicuri menjadi titik masuk paling populer untuk pelanggaran" selama lima tahun terakhir.
Dan bukan hanya karena lebih banyak pembobolan yang dimulai dengan kata sandi yang disusupi, tetapi juga karena pembobolan tersebut juga cenderung berdampak lebih besar. The Laporan Biaya Pelanggaran Data IBM 2023 menemukan bahwa pelanggaran yang dimulai dengan kredensial yang dicuri atau disusupi membutuhkan waktu rata-rata 308 hari untuk dideteksi dan ditanggulangi, menjadikannya salah satu vektor serangan awal yang paling sering terjadi, paling lama, dan paling mahal.
Menerapkan kebijakan otentikasi multi-faktor (MFA) yang kuat sangat penting dalam melindungi informasi sensitif secara proaktif. Dengan ancaman dunia maya yang semakin canggih, mengandalkan kata sandi saja untuk autentikasi tidak lagi memadai. Kebijakan MFA yang komprehensif mengharuskan pengguna untuk memverifikasi identitas mereka melalui berbagai faktor, yang secara drastis mengurangi kemungkinan akses yang tidak sah, bahkan jika kredensial dibobol. Dengan menerapkan MFA di semua titik akses, organisasi tidak hanya meningkatkan postur keamanan mereka tetapi juga menyelaraskan dengan praktik terbaik dan persyaratan kepatuhan, memastikan perlindungan yang kuat terhadap ancaman siber yang terus berkembang dan meminimalkan dampak dari potensi pelanggaran.
Saya menyarankan agar dokter, rumah sakit, dan laboratorium menggunakan kebijakan NHS MFA sebagai cara untuk mengatasi ancaman serangan siber yang sangat nyata, dan tidak memandangnya sebagai tindakan "centang kotak" yang harus mereka selesaikan. Karena sistem digital NHS sudah diserang:
- Pada tahun 2023, sebuah perusahaan keamanan siber menemukan bahwa "jutaan perangkat medis di rumah sakit NHS Trust... sepenuhnya terbuka terhadap serangan ransomware oleh geng penjahat siber"
- Juga pada tahun 2023, sindikat ransomware BlackCat / ALPHV dilaporkan berhasil lolos dengan 7 terabyte data pasiendari Barts Health NHS Trust, salah satu grup rumah sakit terbesar di Inggris
- Dalam kurun waktu yang sama, tim Universitas Manchester mengumumkan bahwa "rincian NHS dari lebih dari satu juta pasien telah dikompromikan"
- Pada tahun 2022, penyedia TI NHS, Advanced, mengumumkan bahwa mereka membutuhkan waktu "tiga hingga empat minggu untuk pulih sepenuhnya" setelah terkena serangan serangan ransomware, Serangan itu memaksa petugas medis untuk membuat catatan perawatan "dengan pena dan kertas" selama berminggu-minggu, yang pada gilirannya menciptakan "enam bulan untuk memproses dan memberi masukan" tumpukan manual
- The Pusat Keamanan Siber Nasional (National Cyber Security Centre (NCSC)) mencatat bahwa aktor-aktor yang disponsori negara "menargetkan... NHS selama puncak pandemi"
Saya bisa melanjutkan. Entah itu serangan ransomware, serangan pembobolan akun, rekayasa sosial, atau phishing biasa, penjahat siber berusaha mendapatkan akun pengguna dan data pasien, atau mengganggu operasi hingga rumah sakit harus membayar. Karena nyawa orang benar-benar dipertaruhkan: pada tahun 2020, para pelaku ancaman melumpuhkan sistem di Rumah Sakit Universitas Düsseldorf di Jerman. Selama serangan itu, para dokter berusaha memindahkan seorang pasien ke rumah sakit lain untuk menerima perawatan. Pasien meninggal saat pemindahan, menandai "kasus pertama yang diketahui tentang hilangnya nyawa" sebagai akibat dari serangan ransomware.
RSA telah bekerja dengan sektor kesehatan selama beberapa dekade. Tahun ini, kami merilis produk baru yang signifikan kemampuan yang akan membantu menjaga keamanan catatan kesehatan elektronik, dan kami memahami bahwa mengamankan sistem medis mengharuskan organisasi untuk memenuhi persyaratan kepatuhan dan memperkuat diri mereka terhadap serangan siber.
Menurut saya, kebijakan MFA NHS England melakukan pekerjaan yang baik dengan memprioritaskan tujuan yang bisa dicapai: menerapkan autentikasi multi-faktor adalah hal yang sangat penting dalam keamanan siber, dan arahan kebijakan bahwa MFA harus "diterapkan pada semua akses pengguna jarak jauh ke semua sistem" dan "diterapkan pada semua akses pengguna yang memiliki hak istimewa ke sistem yang dihosting secara eksternal" akan membantu mengamankan sejumlah besar pengguna dan kasus penggunaan yang berisiko tinggi.
Perlunya implementasi MFA yang lebih luas
Meskipun demikian, saya pikir mandatnya harus lebih jauh lagi dan meluas ke semua pengguna. NHS mendefinisikan "pengguna istimewa" sebagai "administrator sistem atau yang memiliki fungsi yang berhubungan dengan keamanan." Saya menduga bahwa maksud mereka dalam mengamankan para admin terlebih dahulu adalah untuk menjaga agar akun mereka tidak disusupi dan menerapkan perubahan keamanan di seluruh sistem.
Jika itu masalahnya, maka itu adalah langkah pertama yang masuk akal-selama itu bukan langkah terakhir. Menghentikan pengguna yang memiliki hak istimewa mengakses sistem eksternal atau pengguna jarak jauh masih menyisakan terlalu banyak kepercayaan yang tertanam dalam sistem. Penjahat siber sangat ahli dalam menemukan celah dalam sistem keamanan dan mengeksploitasinya untuk keuntungan penuh mereka - dan meninggalkan MFA dari pengguna tanpa fungsi terkait keamanan atau pengguna internal adalah celah yang sangat besar.
Memahami risiko serangan internal
Organisasi cenderung menempatkan sebagian besar pertahanan mereka di sekitar akun yang bernilai lebih tinggi dan bersiap untuk mempertahankan diri dari serangan eksternal; pemikiran tersebut gagal untuk mengenali bahwa banyak serangan yang berkembang secara internal setelah mengkompromikan akun yang lebih rendah. Sangat sedikit serangan yang dimulai dengan membobol kredensial administratif.
Sebaliknya, penyerang "menggunakan berbagai alat untuk melintasi lingkungan Anda dan kemudian berputar, termasuk menggunakan phishing dan kredensial yang dicuri untuk mendapatkan akses dan menambahkan pintu belakang untuk mempertahankan akses tersebut dan memanfaatkan kerentanan untuk bergerak
secara lateral," menurut Laporan Investigasi Pelanggaran Data Verizon 2023. Meskipun penyerang akan mencoba secara bertahap naik ke atas dan meningkatkan hak istimewa mereka, mereka mulai dengan mengkompromikan akun yang lebih rendah dan kurang aman.
Kerugian kebijakan MFA
Selain itu, meskipun MFA sangat penting, namun ini bukanlah peluru perak. Organisasi harus bergerak lebih dekat dengan nol kepercayaan dan menjadikan keamanan sebagai komponen penting dalam setiap proses bisnis. Lihatlah kelompok peretasan BlackCat / ALPHV yang membobol Barts Health Trust: pada musim gugur ini, kelompok yang sama berhasil menghindari MFA dengan merekayasa secara sosial Help Desk TI di Caesars Entertainment Group di Las Vegas, yang dilaporkan menyebabkan $15 juta pembayaran uang tebusan.
Jangan salah sangka: ada banyak hal yang disukai dalam kebijakan autentikasi multi-faktor NHS Inggris. Contohnya adalah penggunaan standar industri: jika kantor-kantor NHS memilih untuk menerapkan autentikasi biometrik, kebijakan ini merekomendasikan untuk meninjau NIST SP 800-63B s5.2.3 dan NCSC 'Sistem pengenalan dan autentikasi biometrik'. Dokumen-dokumen tersebut sangat membantu-dengan mengacu pada dokumen-dokumen tersebut, personel NHS dapat membangun praktik terbaik ke dalam penerapan MFA mereka.
The Panduan kebijakan MFA NHS Inggris juga memprioritaskan pragmatisme dan fleksibilitas, dengan mencatat bahwa "semua pendekatan teknis untuk MFA saat ini diizinkan" dan bahwa organisasi tidak boleh mencoba mencari solusi yang "ideal": "Sebaliknya, Anda harus menerapkan apa yang memungkinkan, dan memperbaikinya dari waktu ke waktu." NHS mengatakan bahwa organisasi "sebaiknya memilih satu faktor-atau kemungkinan besar beberapa faktor-berdasarkan keadaan organisasi dan pengguna Anda."
Pendekatan tersebut-untuk tidak membiarkan yang sempurna menjadi musuh yang baik dan untuk meningkatkan MFA dari waktu ke waktu-sangat baik. Kemungkinan besar, organisasi NHS perlu mendukung banyak kelompok pengguna yang bekerja di berbagai lingkungan. Selain itu, mereka akan membutuhkan kebijakan MFA yang dapat beradaptasi dengan kelompok pengguna baru dan lingkungan baru seiring dengan berkembangnya kebutuhan organisasi.
Untuk melakukan hal tersebut, sangat penting bagi NHS untuk memprioritaskan solusi yang mendukung berbagai metode MFA saat ini, dan yang dibangun untuk diperluas di lingkungan on-premise, multi-cloud, dan hibrida. Personel NHS dapat coba ID Plus selama 45 hari untuk melihat kemampuan tersebut bekerja.
