Es ist 8 Uhr morgens und der IT steht ein harter Tag bevor…
Gesundheits- und Pflegepartnerschaft von Cheshire und Merseyside wollte herausfinden, wie gut es einem Cyber-Angriff standhalten würde. Also fragte es Gemserv Gesundheit um eine szenariobasierte Reaktionsübung zusammenzustellen, die mit einigen ernsthaft schlechten Nachrichten begann – aber viele nützliche Informationen aufdeckte.
Es ist 8 Uhr morgens und es war ein schöner Tag, bis du das Radio angemacht hast. Die Nachrichten haben gerade erst begonnen, und die Hauptgeschichte ist, dass ein Video veröffentlicht wurde, das eine Gruppe von NHS-Führungskräften zeigt, die besorgniserregende Bemerkungen über einen Covid-19-Impfstoff machen.
Sie scheinen darauf hinzudeuten, dass Sicherheitsprobleme vertuscht werden, und der Aktienkurs des Impfstoffherstellers ist über Nacht um 10 % abgestürzt. Das Telefon beginnt zu klingeln. Es ist ein Pressesprecher, der wissen möchte, was die IT gegen dieses Leck oder diese Fälschung oder was auch immer tun wird …
Cyber-Angriffe verbreiten sich schnell
Dies ist das Szenario, das 22 IT-Leiter in Cheshire und Merseyside im Frühjahr 2021 begrüßte. Es wurde von Gemserv Health mit Beiträgen von Cheshire und Merseyside Health and Care Partnership erstellt, um herauszufinden, wie das integrierte Versorgungssystem auf einen Cybersicherheitsvorfall reagieren würde .
Paul Charnley, Digital Lead für das ICS, erklärt, dass die Kommissare, Räte, Krankenhäuser und andere Anbieter in der Region ihre eigenen Richtlinien und Verfahren haben. Aber das ICS hatte keine übergreifende Antwort, die getestet und einsatzbereit war.
„NHS Digital verfügt über ein Datenschutz-Toolkit, das von jeder Organisation verlangt, ihre Reaktion auf einen Cyberangriff zu planen und zu proben, aber eines der Dinge, die wir von WannaCry gelernt haben, ist, dass ein Cybervorfall sehr schnell Auswirkungen auf eine große Region haben kann.“ er sagt. „Wir müssen koordinieren können.
„Die Übung, die wir durchgeführt haben, hat das wirklich zum Leben erweckt. Es war sehr heilsam und sehr hilfreich, und es hat uns viel zu denken gegeben. Wir haben seit WannaCry viel gelernt, aber wir befinden uns in einem Wettrüsten mit den Hackern und haben noch mehr zu tun.“
Von WannaCry lernen
WannaCry war der weltweite Ransomware-Angriff, der im Mai 2017 gestartet wurde. Er zielte nicht auf den NHS ab, aber das National Audit Office schätzte, dass trotzdem 34 % der Trusts in England betroffen waren.
Ein Grund war, dass der NHS viele Leute beschäftigt; Mit 1.3 Millionen Mitarbeitern hatte es mit einer Menge bösartiger E-Mails zu kämpfen. Ein weiterer Grund war, dass sich WannaCry über ältere, ungepatchte Windows-Systeme verbreitete; und der NHS hatte viele davon in Computern und medizinischen Geräten.
Ein drittes Problem war jedoch, dass es keine koordinierte Gegenwehr gab. Das NAO berichtete, dass das Gesundheitsministerium an einem Plan gearbeitet habe, dieser jedoch nicht auf lokaler Ebene getestet worden sei, sodass „nicht sofort klar war, wer die Reaktion leiten sollte, und es gab Kommunikationsprobleme.“
Einige Trusts konnten per E-Mail nicht erreicht werden, „weil sie mit WannaCry infiziert waren oder ihre E-Mail-Systeme vorsorglich abgeschaltet hatten“, so dass eine Mischung aus Telefonzentralen, Mobiltelefonen und WhatsApp als einziger Weg übrig blieb.
Nur so stark wie das schwächste Glied
IT-Führungskräfte in Cheshire und Merseyside wollten es besser machen. „Nach WannaCry haben wir uns geschworen, enger zusammenzuarbeiten, unter dem Motto: ‚Wir sind nur so stark wie unser schwächstes Glied'“, sagt Charnley.
Die 22 IT-Leiter in der Region einigten sich darauf, ihre Richtlinien und Verfahren zu standardisieren und alle vom NHS bereitgestellten Mittel zu bündeln, um das Geld weiter zu fließen. Cheshire und Merseyside HCP arbeiten jetzt mit NHS Digital an einer Ziel-Cybersicherheitsarchitektur und an einem Beschaffungsprozess, um die Strategie umzusetzen.
Dies hat es einzelnen Organisationen ermöglicht, an einem von zwei Sicherheitsinformations- und Ereignisverwaltungssystemen nach einem Standard zu arbeiten: einem Produkt zum Schutz medizinischer Geräte; und ein Single-Sign-On-Produkt, um dem Personal sicheren Zugriff auf klinische und administrative Systeme zu gewähren.
„Wir haben an unserer Strategie gearbeitet und sind dann dazu übergegangen, unseren Lieferantenmarkt und unsere Beschaffungsteams zu verwalten, um im Einklang damit einzukaufen“, sagt Charnley. „Gemserv hat sowohl die Politik als auch die Geschäftsmodelle unterstützt.“
Die Lücken finden
Cheshire und Merseyside HCP ist besser gegen einen Cyberangriff geschützt als noch vor fünf Jahren; Aber das Mantra der Cyber-Sicherheit ist nicht zu fragen, „ob“ ein Cyber-Vorfall möglich ist, sondern „wann“ einer eintreten wird.
Die szenariobasierte Übung wurde entwickelt, um herauszufinden, wie bereit das ICS ist, mit einem Angriff fertig zu werden; und ob IT-Führungskräfte im gesamten Patch klar sind, wer die Reaktion leiten wird und wie sie miteinander kommunizieren sollen.
Vor der Ankunft von Covid-19 hatte das ICS versucht, eine physische Veranstaltung durchzuführen, aber aufgrund der Pandemie zog es dorthin Microsoft Mannschaften. Für Organisationsteams wurden fünf virtuelle Breakout-Räume eingerichtet, denen das Szenario zugeführt wurde.
Im Laufe der Veranstaltung erhielten die Teams auch „Injektionen“ von Informationen, um das Szenario in eine andere Richtung zu lenken und ihre fortlaufenden Reaktionen zu testen. Sie bekamen eine „gute“ Nachricht: Das Video zeigte keine lokalen Führungskräfte und war stattdessen ein „Deepfake“. Sie erhielten auch einige „schlechte“ Nachrichten: Einer der Führungskräfte, die tief gefälscht worden waren, war auch Spear-Phishing ausgesetzt worden. Seine E-Mails und die seiner Kontakte waren gezielt angegriffen worden. Eine Route war offen für einen Ransomware-Angriff.
Nicht wenn, sondern wann
Charnley sagt, dass sich am Tag des Cyber-Szenario-Ereignisses jahrelange harte Arbeit in Cheshire und Merseyside ausgezahlt hat. IT-Teams konnten auf das Gemserv-Szenario besser koordiniert und kohärenter reagieren als auf WannaCry.
Sie hatten auch bessere Werkzeuge zu verwenden. Die Übung zeigte jedoch, dass es Lücken zu füllen gab. Es stellte sich heraus, dass es in der Gegend außerhalb der Geschäftszeiten an spezifischer Cybersicherheitsexpertise mangelt. Es gab noch Fragen darüber, wie Entscheidungen getroffen werden würden, die groß genug waren, um eine Genehmigung durch Regierungsabteilungen in London oder die zentralen Stellen des NHS in Leeds zu erfordern.
Es stellte sich heraus, dass die Notfallplaner von Gesundheitsbehörden und Kommunalbehörden ein Cyber-Handbuch benötigten, das sie neben ihren Handbüchern für den Umgang mit Zugunfällen, Chemieunfällen oder sogar nuklearen Zwischenfällen verwenden konnten. Gemserv Health hilft jetzt, eine zu schreiben, und wenn sie fertig ist, möchte Charnley sie testen, indem sie die Übung erneut durchführt.
„Gemserv sagte uns, dass das Militär Dinge baut und sie dann angreift“, sagt er. „Das kostet Millionen von Pfund. Wir haben nicht so viel Geld, aber wir können auf diese Weise viel lernen. Ich möchte dies alle sechs Monate tun – auf jeden Fall jedes Jahr – und ich denke, jeder ICS sollte dasselbe planen.
„Ich würde definitiv andere ermutigen, diesem Modell und diesem Ansatz zu folgen. Wir wollten mit einem externen Partner zusammenarbeiten, weil es einfach ist, sich in diesen Übungen abzuschotten oder seine Stärken auszuspielen. Der Blick von außen war sehr hilfreich. Es hat uns viele Dinge zum Nachdenken gegeben.“
Am Ball bleiben
Vor der Veranstaltung nutzte Gemserv seine Erfahrung aus der Zusammenarbeit mit vielen verschiedenen öffentlichen und privaten Organisationen, um ein Richtlinien- und Prozessdokument zu erstellen, das von Cheshire und Merseyside HCP angenommen werden kann. Es arbeitete mit den Verantwortlichen von ICS und NHS Digital zusammen, um ein maßgeschneidertes und realistisches mehrgleisiges Szenario zu entwickeln.
„Dies war das erste Mal, dass ein solches Cyber-Breach-and-Response-Szenario auf ICS-Ebene im NHS durchgeführt wurde“, sagt Andy Green, Chief Information Security Officer von Gemserv. „Wir sind von der Schadensbegrenzungsperspektive über einen böswilligen Insider zu einem ausgewachsenen Cyberangriff übergegangen.“
NHS-Kollegen von anderen ICS im ganzen Land nahmen ebenfalls teil, um ihre eigenen Notfallvorsorgeverfahren zu prüfen.
WEITERLESEN:
- Wie Sie Ihr Büro in einer Post-Covid-19-Welt erfolgreich wiedereröffnen
- Gründer-Feature: Neil Purcell, Gründer und CEO, Talent Works
- Gewährleistung einer sicheren Reise zur digitalen Transformation
- Bauen Sie diese fünf Gewohnheiten auf, um das Risiko von Ransomware zu verringern
„Es ist eine ständige Herausforderung, auf dem Laufenden zu bleiben, und es ist leider ein asymmetrisches Problem“, fügt Green hinzu. „Leider müssen die Angreifer nur einmal von 100 erfolgreich sein, während die Verteidiger 100 von 100 Mal auf der Hut sein müssen, also ist es ein ungleiches Katz-und-Maus-Spiel.“
Folge uns auf LinkedIn und Twitter
