Ενίσχυση της κυβερνοασφάλειας μέσω συνεργασίας
Η NHS England καλεί τους προμηθευτές της να υπογράψουν έναν νέο χάρτη κυβερνοασφάλειας, ζητώντας την εφαρμογή μέτρων για την αντιμετώπιση των διαρκώς αυξανόμενων απειλών από ransomware. Σε επιστολή προς τους προμηθευτές, η υπηρεσία προειδοποιεί ότι τα περιστατικά είναι συχνά πολύ σοβαρά και γίνονται ολοένα και πιο συχνά. Για την αντιμετώπιση αυτού του ζητήματος, ζητείται από τους προμηθευτές να δεσμευτούν σε οκτώ βασικές αρχές ασφάλειας.
Η σημασία της συνεργασίας και της προστασίας
Ο διευθυντής κυβερνοασφάλειας της NHS, Mike Fell, τόνισε σε ανάρτησή του στο LinkedIn ότι η πολυπλοκότητα της κυβερνοασφάλειας και η αλυσίδα εφοδιασμού της NHS καθιστούν τη συνεργασία κρίσιμη. «Η συνεργασία μέσω της αλυσίδας εφοδιασμού μας είναι απαραίτητη και πρέπει να εργαστούμε μαζί για να προστατεύσουμε την υγειονομική περίθαλψη και να υπερασπιστούμε ως ένα», έγραψε χαρακτηριστικά.
Βασικές απαιτήσεις για την ενίσχυση της ασφάλειας
Οι προμηθευτές που θα υπογράψουν τον χάρτη θα πρέπει να διασφαλίσουν ότι τα συστήματά τους υποστηρίζονται σωστά και διαθέτουν τις τελευταίες ενημερώσεις για την αντιμετώπιση γνωστών ευπαθειών. Πρέπει να επιτύχουν και να διατηρήσουν τουλάχιστον το επίπεδο «Standards Met» στο πλαίσιο του Data Security and Protection Toolkit (DSPT).
Επιπλέον, τους ζητείται να χρησιμοποιούν multi-factor authentication (MFA) στα δικά τους δίκτυα και συστήματα, και να υποστηρίζουν την ομοσπονδία ταυτότητας ή να παρέχουν λειτουργικότητα MFA στα προϊόντα που προσφέρουν.
Επικέντρωση στις υποδομές και την παρακολούθηση
Η βελτίωση των υποδομών αποτελεί βασικό στόχο του χάρτη, με την υγειονομική υπηρεσία να ζητά από τους προμηθευτές να εφαρμόσουν αποτελεσματικές τεχνικές κυβερνοπαρακολούθησης 24/7 και να καταγράφουν την κρίσιμη υποδομή πληροφορικής τους. Ένας βασικός στόχος είναι να εξασφαλιστεί ότι οι προμηθευτές είναι καλύτερα εξοπλισμένοι για την πρόληψη και την ανίχνευση κυβερνοεπιθέσεων, και να διευκολύνουν τη διερεύνηση περιστατικών.
Αντίγραφα ασφαλείας και ασφάλεια λογισμικού στο προσκήνιο
Η σημασία των αντιγράφων ασφαλείας τονίζεται ιδιαίτερα, με τον χάρτη να καλεί τους οργανισμούς να διατηρούν αμετάβλητα αντίγραφα ασφαλείας κρίσιμων δεδομένων επιχειρηματικής δραστηριότητας. Οι προμηθευτές πρέπει επίσης να σχεδιάζουν για τη συνέχεια της επιχειρηματικής δραστηριότητας και την ταχεία ανάκτηση των βασικών συστημάτων πληροφορικής σε περίπτωση παραβίασης ή περιστατικού.
Παράλληλα, οι προμηθευτές πρέπει να διεξάγουν ασκήσεις σε επίπεδο διοικητικού συμβουλίου για να διασφαλίσουν ότι είναι έτοιμοι να ανταποκριθούν σε περίπτωση κυβερνοεπίθεσης. Αν συμβεί κάποιο περιστατικό, πρέπει να αναφέρουν άμεσα στους πελάτες τους, συνεργαζόμενοι με την NHS England και τηρώντας όλες τις κανονιστικές απαιτήσεις.
Συμμόρφωση με τις αρχές ασφαλούς σχεδίασης
Οι προμηθευτές λογισμικού προς την NHS πρέπει να διασφαλίζουν ότι το λογισμικό έχει παραχθεί σύμφωνα με τον κώδικα πρακτικής λογισμικού από το Υπουργείο Επιστήμης, Καινοτομίας και Τεχνολογίας και το National Cyber Security Centre (NCSC). Ο χάρτης απαιτεί τη συμμόρφωση με τις αρχές της ασφαλούς σχεδίασης και ανάπτυξης, του ασφαλούς περιβάλλοντος κατασκευής, της ασφαλούς ανάπτυξης και συντήρησης, καθώς και της επικοινωνίας με τους πελάτες.
Πιο στενή συνεργασία
Η NHS England δήλωσε ότι θα κάνει ό,τι μπορεί για να βοηθήσει την αλυσίδα εφοδιασμού της να συμμορφωθεί, αναπτύσσοντας εργαλεία για να βοηθήσει τους παρόχους να εντοπίσουν τους κρίσιμους προμηθευτές τους για να πραγματοποιήσουν κατάλληλη διασφάλιση, καθορίζοντας απαιτήσεις για μια εθνική πλατφόρμα διαχείρισης προμηθευτών και αναπτύσσοντας ένα μοντέλο διασφάλισης κινδύνου.
Θα αναθεωρήσει επίσης τα συμβατικά της πλαίσια για να συμπεριλάβει κατάλληλα χρονοδιαγράμματα ασφάλειας και να καταστήσει σαφείς τις προσδοκίες. Αυτό θα περιλαμβάνει την κυκλοφορία μιας φόρμας αυτοαξιολόγησης αργότερα φέτος, δίνοντας χρόνο στους προμηθευτές να επεξεργαστούν τις οκτώ δηλώσεις και να είναι έτοιμοι να δεσμευτούν. Προγραμματίζεται επίσης μια σειρά από webinars τους επόμενους μήνες, με ένα φόρουμ προμηθευτών για την κυβερνοασφάλεια προγραμματισμένο για το φθινόπωρο.
Ο χάρτης ακολουθεί μια σειρά από επιθέσεις υψηλού προφίλ στην αλυσίδα εφοδιασμού. Το περασμένο καλοκαίρι, για παράδειγμα, μια ρωσόφωνη ομάδα ransomware επιτέθηκε στην εταιρεία αιματολογικών εξετάσεων Synnovis. Η επίθεση στη Synnovis διέκοψε τις υπηρεσίες στα νοσοκομεία NHS King’s College και Guy’s and St. Thomas’.
Αργότερα φέτος, ο νόμος για την Κυβερνοασφάλεια και την Ανθεκτικότητα θα τεθεί σε ισχύ, ενισχύοντας την ασφάλεια της αλυσίδας εφοδιασμού στις βασικές υπηρεσίες, τις υποδομές και τις ψηφιακές υπηρεσίες, συμπεριλαμβανομένης της NHS.
