Wie unentdecktes Phishing das Risiko einer Datenverletzung erhöht
Prime Valley Healthcare, Inc. ist ein gemeinnütziges, mittelgroßes Gesundheitssystem, das 2013 aus der Integration von zwei Gesundheitssystemen hervorgegangen ist.
Heute umfasst Prime Valley 36 Krankenhäuser, 550 Krankenstationen, 4500 Betten, mehr als 5.300 aktive Ärzte und 30.000 Mitarbeiter. In den vergangenen zwei Jahren stiegen die jährlichen Einnahmen um 700 Mio. USD und das Betriebsergebnis hat sich auf 500 Mio. USD mehr als verdoppelt.
In den letzten Jahren konzentrierte sich die Reform des Gesundheitswesens in den Vereinigten Staaten auf die Kontrolle der rapide steigenden Gesundheitskosten und die Verbesserung des finanziellen Zugangs zur Gesundheitsversorgung.
Die Gesundheitsversorgung ist von der Revolution, die fast alle anderen Bereiche der Gesellschaft digital verändert hat, nicht in gleichem Maße betroffen, auch wenn es in jüngster Zeit während der Covid-19-Pandemie einen Anstieg der telemedizinischen Verfahren gegeben hat.
Ein Hindernis für den verstärkten Einsatz von Kommunikations- und Informationstechnologien ist das Fehlen nationaler Normen für die Erfassung, Speicherung, Kommunikation, Verarbeitung und Darstellung von Gesundheitsinformationen. Ein weiteres Hindernis ist die Sorge um den Schutz der Privatsphäre und die Vertraulichkeit von Patientenakten (Gesundheitsinformationen) sowie Fragen der Datensicherheit.
Meghan Compton, die CISO von Prime Valley Healthcare, Inc., sah sich gerade die morgendlichen Risikobewertungsberichte für die IT-Infrastruktur an, als ein Anruf von Alex, einem Mitglied ihres Sicherheitsteams, einging. Alex hat ein Auge auf das Online-Konto von Dr. Froth geworfen. Er ist ein neuer Arzt, der gerade dem Ärztenetz von Prime Valley beigetreten ist. Dr. Froths Risikowert hat sich im letzten Monat erhöht, einschließlich mehrerer Anmeldungen bei seinem Konto von verschiedenen Büros aus, und es gab Aktivitäten aus Europa zu ungeraden Tageszeiten.
Während das Sicherheitsteam den Risikowert von Dr. Thomas Froth überwacht hat, stellt es fest, dass sich ein weiterer Risikowert erhöht, diesmal für den Leiter der Abteilung Fusionen und Übernahmen, Roy Smith. Dieselbe IP-Adresse, die mit Dr. Froth verknüpft war, ist auch mit dem Konto von Roy Smith verknüpft.
Es scheint, dass Prime Valley sich dem bedauerlichen Trend von Sicherheitsverletzungen angeschlossen hat, die durch einen unentdeckten Phishing-Angriff verursacht wurden.
Aufgrund der zunehmenden Risikobewertung musste Prime Valley den Präsidenten und CEO benachrichtigen und eine Untersuchung der Bedrohung einleiten. Meghans Team steht unter wachsendem Druck, um genau herauszufinden, was passiert ist, und um sicherzustellen, dass die Patientendaten nicht missbraucht worden sind.
Eine Woche später hat Alex etwas gefunden. Alex präsentiert Meghan einige wichtige Ergebnisse seiner Analyse mit IBM QRadar Advisor mit Watson. Er verfolgte den Angriff bis zu einer älteren Software zurück, die von dem Ärztenetz verwendet wurde. Die Angreifer waren bereits 3 Monate vor der Übernahme durch Prime Valley Healthcare, Inc. im Ärztenetzwerk. Die Angreifer gelangten über eine Facebook-Nachricht in das Ärztenetz.
Das M&A-Team muss es so eilig gehabt haben, dass es übersehen hat, sich zu vergewissern, dass das Netzwerk sicher ist, bevor es Konten mit dem Unternehmensnetzwerk von Prime Valley verbindet. Mithilfe von IBM X-Force Exchange zur Untersuchung der Bedrohungslage identifizierte der Threat Hunter in Meghans Team ein Muster aus dem Balkan, das auch für andere Angriffe auf das US-Gesundheitssystem verantwortlich ist.
Was ist Cybersicherheit?
Zu viele Ereignisse. Zu viele Fehlalarme. Zu viele Systeme, um Bedrohungen von der Wurzel bis zum Schaden zu verfolgen. Und nicht genug Fachwissen, um all diese Daten zu verwalten und ein Team vor dem Feind zu schützen. Die Realität sieht so aus, dass Analysten die Hilfe von künstlicher Intelligenz (KI) benötigen.
KI und maschinelles Lernen machen es einfacher und schneller, die Ursache und die Ereigniskette von fortschrittlichen, anhaltenden Bedrohungen und heimtückischen Insider-Aktivitäten zu finden.
Cyberangriffe werden immer umfangreicher und komplexer. Gleichzeitig sind die IT-Budgets knapp, und die Nachfrage nach Sicherheitskräften übersteigt schlichtweg die Nachfrage. Das moderne Security Operations Center (SOC), ob vor Ort oder virtuell, muss eine Kombination aus Technologien und Mitarbeitern einsetzen, um die Lücke zwischen Angriffen und Abhilfemaßnahmen zu schließen.
Mit dem richtigen Prozess erhalten Sie einen klaren Einblick in die unternehmensweiten Infrastrukturaktivitäten und können dynamisch reagieren, um sich vor fortschrittlichen, anhaltenden und opportunistischen Bedrohungen zu schützen, unabhängig davon, ob diese von außen oder von innen kommen.