Cela a commencé avec un faux projet de loi.
Pendant la pandémie Covid-19, une grande partie de la main-d'œuvre non clinique de l'Université du Vermont Health Network s'est déplacée vers des travaux à distance. La fille d'un employé a reçu un e-mail qu'elle croyait provenant de son association de propriétaires. Lorsqu'elle n'a pas pu ouvrir l'attachement, elle l'a transmise à sa mère, qui l'a ouverte sur son ordinateur de travail, puis a ensuite été connectée au VPN du système de santé.
Juste comme ça, l'organisation a été exposée à des ransomwares.
«Vous n'avez pas l'occasion de le voir se produire entre les systèmes et d'essayer de l'arrêter», explique Ciso Nate Couture. «Ils descendent tous. Nous avions 1 300 serveurs hors ligne dans une période de 15 minutes.»
Des incidents tels que l'attaque des ransomwares d'octobre 2020 contre l'un des plus grands systèmes de santé du Vermont obligent les leaders informatiques à affronter la différence entre la cyber-récupération et la reprise après sinistre. Les plans traditionnels DR supposent que les organisations peuvent rapidement restaurer les systèmes des sauvegardes et reprendre les opérations. Cependant, les cyber-incidents nécessitent une approche fondamentalement différente, avec les organisations de soins de santé utilisant parfois des systèmes temporaires pendant des semaines lorsqu'ils reconstruisent leur environnement.
«La reprise après sinistre traditionnelle signifie revenir à la normale des incidents physiques et environnementaux», explique Lee Kim, directeur principal de la cybersécurité et de la vie privée à HIMSS. «La récupération des cyber-incidents signifie revenir à la normale des incidents de cybersécurité. Ce sont des choses intangibles qui ne sont normalement pas dans notre ligne de vue à moins que nous les recherchions. Lorsque nous les découvrons, c'est souvent plus tard, après que les données puissent être exfiltrées ou d'autres dommages.»
Fournir des soins au milieu d'une crise informatique
L'attaque contre le réseau de santé de l'Université du Vermont a révélé une lacune critique – et extrêmement courante – dans la stratégie de préparation. Bien que le système de santé ait eu des procédures de temps d'arrêt pour les problèmes informatiques de routine, ces plans ont été conçus pour s'adapter aux pannes qui ne durent que quelques heures, ou peut-être des jours. Mais avec le système de dossiers de santé électronique épique de l'organisation hors ligne pendant quatre semaines, des solutions de contournement par papier se sont rapidement révélées inadéquates.
«Il existe certains services cliniques où il n'y a tout simplement pas un plan de temps d'arrêt», explique Couture. «Vous pouvez faire du cartographie des patients sur papier, et vous pouvez faire beaucoup de vos soins ambulatoires réguliers et des soins aux urgences sans beaucoup de technologie. Mais vous ne pouvez pas faire de radiation en oncologie sans la technologie qui le soutient.»
Pour un incident typique de reprise après sinistre, l'organisation aurait simplement fermé le traitement de radiation d'oncologie jusqu'à ce que les systèmes soient de retour en ligne, en heurtant quelques rendez-vous dans le processus. Mais avec les systèmes en baisse pendant des semaines, cela aurait représenté une lacune inacceptable dans les soins, et Couture et son équipe ont donc construit un environnement intérimaire isolé qui a permis aux traitements contre le cancer, même si les équipes informatiques ont couru pour terminer l'analyse médico-légale et la restauration. Ils ont également résisté à une version hors ligne du DSE du système de santé, connecté directement à certains ordinateurs et imprimantes de bureau, et ont utilisé la configuration pour fournir des impressions de données sur les patients aux cliniciens.
Au-delà de la restauration des systèmes, l'hôpital a dû remplacer 5 500 points d'évaluation compromis et mettre en œuvre de nouveaux outils de sécurité au milieu de la crise. La réponse comprenait le déploiement de la plate-forme Falcon EDR Falcon de Crowdsstrike, la migration vers les sauvegardes immuables de Rubrik et le partenariat avec ZSCaler pour une visibilité de sécurité basée sur le cloud lorsque les outils sur site ont échoué.
Les nouvelles solutions, dit Couture, mettent le système de santé dans une meilleure position pour empêcher une attaque répétée – et pour récupérer plus rapidement si l'on se produit.
«Nous sommes dans un combat où vous n'allez jamais vous appuyer sur le coup», dit-il. « Votre travail consiste à essayer de ne pas être touché, de pouvoir prendre un coup de poing si vous êtes touché et de vous relever du tapis lorsque vous êtes renversé. »
Préparer les procédures de temps d'arrêt prolongées
Depuis 2018, Memorial Hermann Health System à Houston a périodiquement effectué des exercices de ransomware pour évaluer comment l'organisation continuerait de fournir des soins aux patients si une attaque faisait baisser les systèmes pendant une période prolongée.
«La première fois que nous avons fait cela, nous avons fait venir nos équipes de direction et des représentants des opérations cliniques», explique Ciso Randy Yates. « Nous avons demandé ce qui se passerait si nous subissions une attaque et qu'ils ne pouvaient pas utiliser certains systèmes informatiques: » Que se passerait-il si cela disparaissait, si vous ne pouviez pas imprimer si vous ne pouviez pas scanner? « »
Yates et son équipe ont estimé qu'il était nécessaire de développer des outils et des processus de cyber-résilience qui aideraient les équipes cliniques et opérationnelles à continuer de faire leur travail, même si le réseau tombait pendant des jours ou des semaines.
La pratique rend parfait pour la cyber-résilience
Adam Lee, directeur de la gestion des urgences et de la résilience organisationnelle chez Memorial Hermann, a dirigé un effort de deux ans pour cartographier les processus critiques entre les départements, identifiant ce que chaque zone avait besoin pour maintenir les opérations pendant 30 jours plutôt que quelques heures.
Le système de santé a également commencé à mener des exercices techniques d'équipe rouge / bleu, où des tiers tentent des attaques contrôlées pour tester les capacités de surveillance. Ces exercices ont aidé à clarifier ce que l'organisation pourrait faire pour mieux soutenir la cyber-résilience après une attaque.
«Parfois, cela utilise mieux les outils que nous avons», dit Yates. «Mais nous avons réalisé que, dans certains cas, nous avions besoin de nouvelles capacités.»