Einblicke in die Risiko- und Schwachstellenbewertung des CISA HPH-Sektors
In einer sich ständig weiterentwickelnden digitalen Landschaft sieht sich das Gesundheits- und Sozial wesen (HPH) mit wachsenden Herausforderungen im Bereich der Cybersicherheit konfrontiert. Die US-Behörde für Cybersicherheit und Infrastruktursicherheit (CISA) hat vor kurzem eine Risiko- und Schwachstellenbewertung (Risk and Vulnerability Assessment, RVA) durchgeführt, bei der die Cybersicherheitslage einer ungenannten HPH-Organisation untersucht wurde, die On-Premise-Software einsetzt. Dieser Artikel soll einen Einblick in die Ergebnisse der Bewertung geben, potenzielle Schwachstellen aufzeigen und praktische Strategien zur Verbesserung der Cybersicherheit im Gesundheitswesen aufzeigen.
CISA-Einblicke
Die CISA untersuchte im Laufe von zwei Wochen sorgfältig jeden Aspekt der Cybersicherheitsmaßnahmen des Zielunternehmens. Die Bewertung umfasste Penetrationstests, die Überprüfung von Webanwendungen, die Bewertung der Anfälligkeit für Phishing, die Widerstandsfähigkeit gegenüber simulierten gegnerischen Angriffen und eine gründliche Überprüfung von Datenbanken, Netzwerkkonfigurationen und angeschlossenen Geräten auf Schwachstellen.
Das Unternehmen blockierte erfolgreich Malware-Nutzlasten und bewies laut der CISA-Prüfung eine bemerkenswerte Widerstandsfähigkeit gegen Phishing-Versuche. Obwohl die Mitarbeiter durch Phishing-E-Mails getäuscht wurden, funktionierten die Multi-Faktor-Authentifizierung für Cloud-Konten und der eingeschränkte Zugang aufgrund kompromittierter Anmeldedaten gut.
Bei internen Penetrationstests wurden jedoch Fehlkonfigurationen, schwache Passwörter und andere kritische Probleme aufgedeckt, die die Domänen des Unternehmens gefährden könnten. Zu den bemerkenswerten Ergebnissen gehörten Standardanmeldedaten zum Schutz mehrerer Webschnittstellen, die Verwendung von Standard-Druckeranmeldedaten und die erfolgreiche Kompromittierung der Domäne des Unternehmens über verschiedene Angriffswege.
Die CISA wies auf vier Probleme mit hohem und ein Problem mit mittlerem Schweregrad hin, die sofortige Aufmerksamkeit erfordern. Dazu gehörten schwache Passwörter, eine Webserver-Vorlage ohne Einschränkungen der Benutzerrechte, die Einrichtung unnötiger Netzwerkdienste, ein Dienstkonto mit erhöhten Rechten und Systeme ohne SMB-Signaturdurchsetzung.
Empfehlungen zur Schadensbegrenzung
Die CISA berät Organisationen im Bereich Gesundheit und öffentliches Gesundheitswesen (HPH) bei der Umsetzung wichtiger Strategien zur Eindämmung von Cyberbedrohungen. Zu diesen Strategien gehören:
Vermögensverwaltung und Sicherheit:
- Entwicklung und Pflege einer Vermögensverwaltungspolitik zur Minimierung des Risikos der Aufdeckung von Schwachstellen.
- Inventarisierung, Beschaffung, Stilllegung und Netzwerksegmentierung von Hardware-, Software- und Datenbeständen.
Identitätsmanagement und Gerätesicherheit:
- Sichere Geräte und digitale Konten zum Schutz sensibler Daten und persönlich identifizierbarer Informationen (PII)/geschützter Gesundheitsinformationen (PHI).
- Der Schwerpunkt liegt auf E-Mail-Sicherheit, Phishing-Prävention, Zugriffsmanagement, Passwortrichtlinien, Datenschutz, Verlustprävention sowie Geräteprotokollen und Überwachungslösungen.
Schwachstellen-, Patch- und Konfigurationsmanagement:
- Entschärfung bekannter Schwachstellen und Erstellung sicherer Konfigurations-Baselines.
- Schwerpunkt auf Schwachstellen- und Patch-Management sowie auf Konfigurations- und Änderungsmanagement, um das Risiko zu verringern, dass Bedrohungsakteure Unternehmensnetzwerke ausnutzen.
Schlussfolgerung
Die Cybersicherheitsbewertung der CISA ist eine wertvolle Ressource für das Gesundheitswesen im Allgemeinen und bietet einen Fahrplan zur Verbesserung der Abwehrmaßnahmen gegen sich entwickelnde Cyberbedrohungen. Unternehmen des Gesundheitswesens können ihre Cybersicherheitslage stärken, sensible Daten schützen und die allgemeine Widerstandsfähigkeit des Sektors gegenüber Cyberrisiken erhöhen, indem sie die gefundenen Schwachstellen beheben und die vorgeschlagenen Strategien in die Praxis umsetzen.
Erfahren Sie, wie Organisationen des Gesundheitswesens die Einhaltung der wichtigsten Sicherheitspraktiken erreichen können.
Die Quellen für diesen Artikel sind u. a. ein Bericht von SecurityWeek.