Domande e risposte: il CISO del Jackson Health System adotta misure ponderate per la sicurezza

HEALTHTECH: Come si è evoluta la sicurezza informatica in ambito sanitario negli ultimi anni? A cosa le organizzazioni sanitarie devono prestare maggiore attenzione ora, rispetto a cinque anni fa?

BARRERA: Credo che molto dipenda da quella che vedo come una valanga nella portata, nell'ampiezza e nella frequenza delle violazioni avvenute. WannaCry nel 2017 è stato davvero un importante catalizzatore per quello che è stato un flusso costante di attacchi ransomware, soprattutto nel settore sanitario. Anche gli allarmi dell'FBI e della Cybersecurity and Infrastructure Security Agency si sono concentrati maggiormente sul settore sanitario come obiettivo principale degli attacchi.

Per questo motivo, le organizzazioni hanno dovuto essere più attente in diversi ambiti. Uno di questi è l' Internet of Medical Things , dove per anni le apparecchiature biomediche sono state in gran parte non gestite a causa di alcune aspettative di un ambiente "incontaminato" da parte dei produttori, ad esempio. Un altro ambito è il modello "zero trust ", che ha registrato una forte crescita nel settore sanitario .

Per le organizzazioni che tendono a essere piuttosto conservative nell'uso del cloud, sta diventando sempre più difficile, e spesso non è più una scelta obbligata. Alcune soluzioni semplicemente non offrono un'opzione on-premise. In molti casi, siamo passati da una struttura di licenze perpetue a un abbonamento. Il profilo di rischio più ampio che può derivare dal passaggio al cloud è un problema serio.

Ciò ha un impatto anche sulla gestione delle identità e degli accessi , fondamentale per la sicurezza zero-trust . Quando si sa che i propri sistemi non sono più all'interno delle proprie mura e si ha principalmente un ambiente cloud o un qualche tipo di ambiente ibrido, è importante preservare la sacralità di tale identità. È necessario conoscere i ruoli e le responsabilità della propria organizzazione man mano che tutto si sposta sul cloud.

Allo stesso modo, poiché l'IA gioca un ruolo sempre più importante per le organizzazioni, gli utenti si affidano già all'IA in una forma o nell'altra e cercano di eludere i controlli. E gli avversari stanno sicuramente usando l'IA per cercare di danneggiare diverse organizzazioni.

LEGGI DI PIÙ: Gli esercizi del Purple Team possono migliorare la tua strategia di gestione delle minacce.

HEALTHTECH: Quali sono gli ambiti della sicurezza a cui Jackson Health si è interessata? Perché altre organizzazioni sanitarie dovrebbero concentrarsi su questi aspetti?

BARRERA: Grazie all'assicurazione sulla responsabilità informatica, abbiamo iniziato ad affidarci a backup immutabili . Ci offre un livello di sicurezza notevolmente diverso, che ci consente di sapere che i nostri backup non sono infetti e che, una volta eseguito il backup, i dati non possono essere modificati. In precedenza, in caso di attacco ransomware, avremmo potuto avere un backup compromesso. Quindi, passare a backup immutabili è una scelta relativamente semplice.

Grazie al cloud, all'intelligenza artificiale e, in un certo senso, all'architettura decentralizzata, è necessaria una soluzione di gestione delle identità e degli accessi molto solida. La gestione delle identità a 360 gradi è fondamentale per un approccio Zero Trust, soprattutto se si dispone di una soluzione di gestione degli accessi privilegiati . Credo che con un PAM ci si trovi in una categoria diversa rispetto a una semplice gestione delle credenziali non gestita in un archivio.

Per Jackson Health, concentrandoci sull'ambito dell'intelligenza artificiale, vogliamo sapere come vengono gestite le credenziali utilizzate, perché spesso si verifica un divario enorme. Le tecnologie di intelligenza artificiale in uso sono piuttosto diffuse e, se alcune di queste tecnologie non rientrano in un ciclo di vita hardware regolamentato, si potrebbero verificare seri problemi. Quando si tratta di intelligenza artificiale, è importante seguire i principi di base. Non concedere l'accesso root amministrativo se deve solo leggere.

Nel corso degli anni, Jackson Health ha ottenuto un incredibile successo con le revisioni periodiche degli accessi. Effettuiamo audit di controllo mensili e convalidiamo le credenziali di Active Directory . Molte di queste sono completamente automatizzate. Questo è un altro principio fondamentale che seguiamo per poter supportare le soluzioni tecnologiche più moderne o all'avanguardia che tutti desiderano.

HEALTHTECH: Come avete coinvolto gli altri stakeholder nella condivisione delle responsabilità in materia di sicurezza? Cosa funziona per collegare le priorità di sicurezza con l'assistenza ai pazienti?

BARRERA: A seconda della cultura del team di sicurezza, essere troppo tecnici quando si tratta di diffondere consapevolezza e partnership in materia di sicurezza potrebbe non essere la mossa più appropriata. Quando di recente ho tenuto una sorta di formazione a un gruppo di nuovi residenti, ho detto loro che la sicurezza è una responsabilità condivisa, indipendentemente da quanto siano efficaci i nostri strumenti di sicurezza. Cerco anche di collegare questa responsabilità a qualcosa di personale.

Richiede molto duro lavoro, perché tutti sono molto impegnati. Quando i medici hanno molti pazienti da assistere, la formazione sulla sicurezza informatica può sembrare un peso . Ma quando si incontrano di persona altri reparti, si condividono le notizie e le storie personali, tutto diventa più significativo. Abbiamo anche comitati composti da una rappresentanza trasversale dell'organizzazione. Col tempo, si è creato un incredibile coinvolgimento con i lavoratori di altri reparti.

All'interno di questi comitati, prevediamo anche di organizzare "road show" faccia a faccia. Dopo questa attività di sensibilizzazione e interazione di persona, si crea molta sinergia e abbiamo persino persone che desiderano fare da mentore ad altri. Quindi, le persone prestano attenzione, ma questo richiede cura e attenzione. È davvero come la gestione del rischio, in quanto è un ciclo continuo.

È utile che la sicurezza sia integrata nella nostra cultura. Quando la leadership è coinvolta e collaborativa, questo fa davvero la differenza, perché è possibile organizzare tutte queste attività, come il road show e la formazione annuale sulla sicurezza a cui tutti sono tenuti a partecipare. In alcune organizzazioni, se qualcuno non partecipa alla formazione, non succede nulla. Ma in Jackson Health, abbiamo una conformità al 100%. Tutti seguono la formazione obbligatoria, altrimenti il loro account viene disabilitato e devono recarsi dalle Risorse Umane per completarla prima di poter tornare al lavoro.

SCOPRI: Rafforza la tua sicurezza con una formazione conveniente.

HEALTHTECH: In che modo l'intelligenza artificiale, l'apprendimento automatico e le esigenze in materia di dati influenzeranno la sicurezza sanitaria in futuro?

BARRERA: Siamo tutti a diversi livelli di adozione. Credo che uno degli aspetti più importanti da comprendere sia che, anche se pensi che la tua organizzazione non stia utilizzando l'IA, i tuoi utenti sì. In Jackson Health, uno dei primi modi in cui utilizziamo l'IA è per eseguire determinati processi ripetitivi che sono soggetti a errori se eseguiti da esseri umani. Un esempio è la riprogrammazione di appuntamenti con ordini allegati. Un essere umano medio, anche se ha uno script, potrebbe semplicemente eliminare l'appuntamento per crearne uno nuovo, e poi rendersi conto: "Oh, ho eliminato l'appuntamento con un ordine, tre ordini, cinque ordini allegati". Questi ordini sono spariti. E quindi quel processo viene sostituito da un'automazione più accurata ed efficiente.

Il team di sicurezza IT lavora a stretto contatto con il team di data science per l'integrazione delle applicazioni. Per tutto ciò che arriva prima dell'approvvigionamento, sottoponiamo il tutto a un questionario di sicurezza. Valutiamo il rischio. Al momento dell'implementazione, eseguiamo scansioni e convalide, quindi impariamo a conoscere la soluzione.

Penso, tuttavia, che l'intelligenza artificiale abbia un futuro molto luminoso nel settore sanitario . Da molti anni disponiamo di una soluzione di analisi comportamentale che sfrutta l'intelligenza artificiale. Pertanto, siamo costantemente alla ricerca di modi per migliorare l'efficienza del nostro centro operativo di sicurezza, che è il fulcro della nostra risposta agli incidenti, e di altre soluzioni simili. Con l'aumento degli attacchi che utilizzano l'intelligenza artificiale contro il settore sanitario, dobbiamo contrastarli con soluzioni equivalenti o addirittura migliori. Crediamo che, quando introduciamo o stiamo già utilizzando l'intelligenza artificiale, questo ci garantisca un vantaggio competitivo su qualsiasi cosa accada.

Stiamo anche lavorando sulla comunicazione e sulla sensibilizzazione. Stiamo modificando le nostre policy per il sistema sanitario sull'uso accettabile dell'IA, consapevoli che le persone la utilizzano costantemente al di fuori della rete. Regolamentiamo un numero più ampio di aspetti. Ad esempio, non consentiamo ChatGPT, Grok o altri strumenti di IA generativa simili, ma sappiamo che ci sono sempre modi in cui i dipendenti possono aggirare tali controlli. Sta a noi garantire l'uso accettabile, la privacy dei pazienti e impedire lo scambio illecito di dati. Vogliamo che la soluzione di IA con cui ci colleghiamo contribuisca a realizzare lo slogan del nostro sistema sanitario, che è "fare in modo che i miracoli accadano".