A agência de segurança cibernética dos EUA, CISA, publicou novas orientações para ajudar as organizações de saúde e de saúde pública a compreender as ameaças e riscos cibernéticos para o seu setor e a aplicar mitigações.
Intitulado Guia de Mitigação: Setor de Saúde Pública e Saúde (HPH) (PDF), o documento foi lançado como um complemento ao Resumo de Riscos Cibernéticos distribuído em julho e ocorre cerca de um mês depois que a CISA e a HHS anunciaram recursos de segurança cibernética para o setor HPH.
Usando dados coletados de organizações inscritas nos programas de varredura de vulnerabilidades e varredura de aplicações web da CISA, o novo guia incorpora o catálogo de Vulnerabilidades Conhecidas Exploradas (KEV) da agência, informações de outras fontes e a estrutura MITRE ATT&CK, para contextualizar as tendências de vulnerabilidade.
Também recomenda mitigações alinhadas com as Metas de Desempenho de Segurança Cibernética (CPGs) intersetoriais da CISA e fornece orientação e suporte adicionais para organizações HPH.
As recomendações da CISA começam com a gestão e segurança de activos, uma questão sensível dado o elevado valor da informação de saúde protegida (PHI) e outros tipos de informação com que as organizações HPH trabalham, e que representa um alvo atraente para os actores de ameaças.
Em seguida, a orientação cobre o gerenciamento de identidades e segurança de dispositivos, fornecendo recomendações sobre segurança de e-mail, prevenção de phishing, senhas, gerenciamento e monitoramento de acesso e práticas de proteção de dados.
Vulnerabilidades, aplicação de patches e gerenciamento de configurações também são abordados. As organizações são aconselhadas a criar inventários de ativos para identificar falhas, garantir a correção oportuna de todos os servidores e aplicativos e implementar o gerenciamento de configuração de segurança para identificar e resolver configurações incorretas.
A orientação também recomenda que os princípios de segurança desde a concepção sejam adoptados pelos fabricantes de produtos HPH: “Com sistemas voltados para a Internet ligados a sistemas e funções de saúde críticos, é crucial que os fabricantes de produtos tecnológicos utilizados por entidades HPH empreguem segurança desde a concepção práticas”.
Por fim, o documento fornece orientações sobre correção de vulnerabilidades, para ajudar as organizações de HPH a priorizar a correção de vulnerabilidades com base em sua arquitetura de rede interna e postura de risco.
A CISA chama a atenção para cinco vulnerabilidades conhecidas por serem usadas em ataques, nomeadamente CVE-2021-44228 (o infame bug Log4Shell que afeta o Apache Log4j2), CVE-2019-11043 e CVE-2012-1823 (falhas RCE em PHP), CVE-2021 -34473 (um problema do Microsoft Exchange conhecido como ProxyShell) e CVE-2017-12617 (RCE no Apache Tomcat).
“Conforme destacado neste guia, as entidades do setor HPH devem estar vigilantes nas suas práticas de mitigação de vulnerabilidades para prevenir e minimizar o risco de ameaças cibernéticas. Depois que uma organização avalia e considera uma vulnerabilidade um risco, ela deve tratar a vulnerabilidade. A CISA recomenda que as entidades HPH implementem esta orientação para reduzir significativamente o seu risco de segurança cibernética”, conclui a CISA.