Quando se trata do setor de saúde, a segurança cibernética pode ser literalmente a diferença entre a vida e a morte. Para coordenar o atendimento ao paciente, fornecer os registros eletrônicos de saúde corretos para a equipe médica adequada ou proteger informações confidenciais, hospitais, laboratórios e outros prestadores de serviços de saúde devem permanecer on-line, conectados e protegidos.
É por isso que o novo sistema de saúde do Serviço Nacional de Saúde (NHS) requisito que todas as entidades implementem autenticação multifatorial (MFA) é um marco muito importante. Não estou dizendo isso apenas em nome da RSA: é algo pessoal. Sou do Reino Unido e ainda tenho família lá. Ao implementar a MFA, o NHS continuará a manter seguras as informações de saúde altamente confidenciais de seus pacientes (inclusive da minha família).
Uma política de MFA descreve as regras e os requisitos para a implementação da autenticação multifatorial em uma organização ou sistema. O objetivo é garantir que somente usuários autorizados possam acessar sistemas ou dados, reduzindo o risco de acesso não autorizado, violações de dados e ataques cibernéticos. Uma política de MFA bem definida especifica quais usuários devem se autenticar por meio de vários fatores, os métodos de autenticação a serem usados e as circunstâncias em que a MFA será exigida, como para acessar dados confidenciais ou realizar ações de alto risco. Normalmente, a política também inclui diretrizes sobre conformidade, aplicação e atualizações regulares para se adaptar às novas ameaças à segurança.
E, embora essa política seja específica do NHS, ela também faz parte de uma tendência global mais ampla. A nova exigência do NHS segue os mandatos nos EUA para melhorar a segurança cibernética do país. Da mesma forma, o NIS2 da União Europeia A diretiva visa estabelecer um "alto nível comum de segurança cibernética" entre todos os estados membros. Incidentes como Log4j, A guerra em Ucrânia, e ataques cibernéticos patrocinados pelo Estado colocaram a segurança cibernética no centro das atenções em todo o mundo: nunca foi tão importante para todas as organizações se concentrarem em fortalecer suas defesas. Isso é especialmente verdadeiro para o setor de saúde, e é por isso que estou muito animado com o fato de o NHS estar levando a segurança cibernética a sério.
No entanto, para um sistema tão grande e complexo como o NHS, será necessário um trabalho real para implementar a autenticação multifator a tempo de cumprir o prazo de fevereiro de 2024 para demonstrar os planos de implementação ou o prazo de junho de 2024 para conformidade total. Portanto, vamos ver por que a MFA é importante para a segurança cibernética, analisar os requisitos da política de MFA do NHS e discutir os recursos que os trusts do NHS, os conselhos de assistência integrada, os órgãos independentes do Departamento de Saúde e Assistência Social e outros prestadores de serviços de saúde devem priorizar.
A autenticação multifatorial fornece uma camada extra de segurança que ajuda a garantir que um usuário seja quem ele diz ser. Em vez de exigir apenas um endereço de e-mail e uma senha, a MFA requer que os usuários forneçam um fator adicional - como digitar um código de verificação, responder a uma notificação push, usar uma chave de segurança ou fornecer informações biométricas - para fazer login.
Adicionar uma camada extra de segurança pode ter um impacto tremendo. O fornecimento de uma senha e de um e-mail simplesmente não é suficiente para impedir a maioria das violações de dados: o Relatório de Investigações de Violação de Dados da Verizon 2023 descobriu que 74% de todas as violações envolvem "erro, uso indevido de privilégios, uso de credenciais roubadas ou engenharia social". O relatório também constatou que as credenciais roubadas se tornaram o ponto de entrada mais popular para violações" nos últimos cinco anos.
E não se trata apenas do fato de que mais violações começam com senhas comprometidas, mas também de que essas violações tendem a ter um impacto maior. As Relatório IBM sobre o custo de uma violação de dados em 2023 descobriu que as violações que começaram com credenciais roubadas ou comprometidas levaram, em média, 308 dias para serem detectadas e contidas, o que as torna um dos vetores de ataque inicial mais frequentes, mais duradouros e mais caros.
A implementação de uma política sólida de autenticação multifator (MFA) é fundamental para proteger proativamente as informações confidenciais. Com as ameaças cibernéticas cada vez mais sofisticadas, confiar apenas em senhas para autenticação não é mais suficiente. Uma política abrangente de MFA exige que os usuários verifiquem sua identidade por meio de vários fatores, o que reduz drasticamente a probabilidade de acesso não autorizado, mesmo que as credenciais sejam comprometidas. Ao aplicar a MFA em todos os pontos de acesso, as organizações não apenas aprimoram sua postura de segurança, mas também se alinham às práticas recomendadas e aos requisitos de conformidade, garantindo uma proteção robusta contra as ameaças cibernéticas em evolução e minimizando o impacto de possíveis violações.
Eu recomendaria que os GPs, hospitais e laboratórios usassem a política de MFA do NHS como uma forma de lidar com a ameaça real de ataques cibernéticos, e não a vissem como mais uma medida "obrigatória" que precisam cumprir. Porque os sistemas digitais do NHS já estão sendo atacados:
- Em 2023, uma empresa de segurança cibernética descobriu que "milhões de dispositivos médicos em hospitais do NHS Trust estão... totalmente abertos a ataques de ransomware por gangues de criminosos cibernéticos"
- Também em 2023, o sindicato de ransomware BlackCat / ALPHV supostamente fugiu com 7 terabytes de dados de pacientesdo Barts Health NHS Trust, um dos maiores grupos hospitalares do Reino Unido
- Nesse mesmo período, a Universidade de Manchester anunciou que "detalhes do NHS de mais de um milhão de pacientes foram comprometidos"
- Em 2022, a Advanced, fornecedora de TI do NHS, anunciou que levaria "de três a quatro semanas para se recuperar totalmente" depois de ter sido atingida por um ataque de ransomware, Esse ataque forçou a equipe médica a fazer anotações de cuidados "com caneta e papel" durante semanas, o que, por sua vez, criou "seis meses para processar e inserir dados" o acúmulo de manuais
- O Centro Nacional de Segurança Cibernética (NCSC) observou que os agentes patrocinados pelo Estado "visaram... o NHS durante o auge da pandemia"
Eu poderia continuar. Seja por meio de ataques de ransomware, ataques de comprometimento de contas, engenharia social ou o velho e simples phishing, os criminosos cibernéticos estão tentando colocar as mãos em contas de usuários e dados de pacientes ou interromper as operações a ponto de os hospitais terem de pagar. Porque a vida das pessoas realmente está em risco: em 2020, os agentes de ameaças desativaram os sistemas do Hospital Universitário de Düsseldorf, na Alemanha. Durante o ataque, os médicos tentaram transferir um paciente para outro hospital para receber atendimento. O paciente morreu durante a transferência, marcando "o primeiro caso conhecido de perda de uma vida" como resultado de um ataque de ransomware.
A RSA trabalha com o setor de saúde há décadas. Este ano, lançamos um novo e significativo capacidades que ajudarão a manter os registros eletrônicos de saúde seguros, e entendemos que a proteção dos sistemas médicos exige que as organizações atendam aos requisitos de conformidade e se protejam contra ataques cibernéticos.
Acho que a política de MFA do NHS England faz um bom trabalho ao priorizar uma meta alcançável: a implementação da autenticação multifator é uma questão de segurança cibernética, e a diretriz da política de que a MFA deve "ser aplicada em todos os acessos de usuários remotos a todos os sistemas" e "ser aplicada em todos os acessos de usuários privilegiados a sistemas hospedados externamente" ajudará a proteger um número significativo de usuários e casos de uso de alto risco.
A necessidade de uma implementação mais ampla da AMF
Dito isso, acho que o mandato deve ir além e se estender a todos os usuários. O NHS define "usuário privilegiado" como "um administrador de sistemas ou com funções relacionadas à segurança". Espero que a intenção de proteger os administradores em primeiro lugar seja evitar que suas contas sejam comprometidas e implementar alterações de segurança em todo o sistema.
Se for esse o caso, essa é uma primeira etapa razoável, desde que não seja a última. Parar com usuários privilegiados que acessam sistemas externos ou usuários remotos ainda deixa muita confiança embutida no sistema. Os criminosos cibernéticos são muito bons em encontrar as lacunas em um sistema de segurança e explorá-las ao máximo - e deixar a MFA fora de qualquer usuário sem funções relacionadas à segurança ou usuários internos é uma lacuna muito grande.
Compreensão do risco de ataques internos
As organizações tendem a colocar a maior parte de suas defesas em torno de contas de maior valor e se preparam para se defender de ataques externos; esse pensamento não reconhece que muitos ataques progridem internamente depois de comprometer uma conta de nível inferior. Muito poucos ataques começam com o comprometimento de credenciais administrativas.
Em vez disso, os invasores "usam uma variedade de ferramentas para atravessar seu ambiente e, em seguida, mudar de direção, incluindo o uso de phishing e credenciais roubadas para obter acesso e adicionar backdoors para manter esse acesso e aproveitar as vulnerabilidades para se mover".
lateralmente", de acordo com o Verizon 2023 Data Breach Investigations Report. Embora os invasores tentem subir gradualmente e aumentar seus privilégios à medida que avançam, eles começam comprometendo as contas de nível inferior e menos seguras.
Desvantagens da política de MFA
Além disso, embora a MFA seja essencial, ela não é uma solução milagrosa. As organizações precisam se aproximar de confiança zero e tornar a segurança um componente essencial de todos os processos de negócios. Veja o caso do grupo de hackers BlackCat / ALPHV que violou o Barts Health Trust: neste outono, esse mesmo grupo conseguiu burlar a MFA por meio de engenharia social no Help Desk de TI do Caesars Entertainment Group em Las Vegas, o que supostamente levou a um $15 milhões pagamento de resgate.
Não me entenda mal: há muito o que gostar na política de autenticação multifator do NHS England. Por exemplo, o uso de padrões do setor: se os escritórios do NHS optarem por implementar a autenticação biométrica, a política recomenda a análise de NIST SP 800-63B s5.2.3 e NCSC "Sistemas de reconhecimento e autenticação biométricos. Esses documentos são extremamente úteis - ao consultá-los, a equipe do NHS pode criar práticas recomendadas para a implementação da MFA.
O Guia de políticas do NHS England MFA também prioriza o pragmatismo e a flexibilidade, observando que "todas as abordagens técnicas da MFA são permitidas atualmente" e que as organizações não devem tentar encontrar uma solução "ideal": "em vez disso, você deve implementar o que for viável e aprimorá-lo com o tempo". O NHS diz que as organizações "devem escolher um fator - ou, mais provavelmente, vários fatores - com base nas circunstâncias de suas organizações e usuários".
Essa abordagem - de não deixar que o perfeito seja inimigo do bom e de aprimorar a MFA com o tempo - é excelente. Muito provavelmente, as organizações de NHS precisarão dar suporte a vários grupos de usuários que trabalham em vários ambientes. Além disso, precisarão de uma política de MFA que possa se adaptar a novos grupos de usuários e novos ambientes à medida que as necessidades da organização evoluírem.
Para isso, é essencial que o NHS priorize soluções que ofereçam suporte a uma variedade de métodos MFA atuais e que sejam desenvolvidas para se estenderem a ambientes locais, multinuvem e híbridos. A equipe do NHS pode Experimente o ID Plus por 45 dias para ver esses recursos em funcionamento.
