IndustrialCyber报道,制药行业的网络安全问题日益严重,主要源于该行业对第三方供应商的日益依赖、数字化和工业物联网(IIoT)技术的采用以及向混合/多云环境的转变。正值COVID-19疫苗的推出和开发以及生命科学领域的其他突破之际,不断恶化的网络威胁形势,从而进一步提升了网络犯罪分子对这一关键领域构成的危险程度。
Sophos研究显示,网络攻击对制药组织的影响包括缺乏关键系统的可用性和可能导致研发(R&D)和药物生产停止的业务中断,以及包括知识产权(IP)、临床试验数据和患者在内的数据丢失。网络攻击还可能影响市场地位的丧失、因收入损失和诉讼的额外成本、监管不合规和潜在的巨额罚款、消费者信任的丧失以及股东价值的降低而导致的财务损失。
制药行业的公司拥有价值数十亿美元的数据,通常包括机密知识产权、药物进步和技术的研发数据、药物和开发的专有信息以及患者和临床试验数据。访问此类关键和敏感信息使制药行业成为网络犯罪分子极具吸引力的目标。
Sophos公司上个月公布的数据显示,预计到2027年,制药行业的复合年增长率预计为13.7%,因为数十亿人依赖该行业获取日常用药。“生产救命药物和发明新疗法的中断可能会产生致命的后果。然而,这个行业是全球受网络犯罪威胁最大的行业之一。
在去年7月发布的“数据泄露成本报告”中, IBM Security确定2021年药企数据泄露的平均成本为504万美元。
Booz Allen Hamilton在最近的一份报告中表示,制药公司未来的网络安全状态是拥有一个集成安全运营中心 (SOC),在该中心对公司数据进行分类,通过物理访问控制得到加强,再通过使用向公司发出异常行为警报的分析。这些公司还必须制定一个事件响应计划,通过改进检测工作来提高效率,同时采取强有力的前线防御态势,并使用基线行为配置文件来检测异常网络行为。
鉴于制药行业面临的威胁形势加剧,Industrial Cyber联系了行业专家,以评估实际情况,并努力确定可以加强该行业网络安全态势的各种最佳实践和措施。
Ipsen Pharmaceutical运营技术(OT)安全全球总监Brian Duffy告诉 Industrial Cyber,许多制药行业面临的挑战是确保制造场所运营的“可用性”。“许多扁平网络与企业网络互连,这导致单点进入OT资产。为了与我们的 IT 同事建立气隙隔离、网络细分和灵活的“零信任”文化,正确设置IT/OT融合之间的共享服务非常重要,”他补充道。
“越来越多的要求提取能源、关键性能指标、使用智能IIoT技术进行预测性维护已成为从OT区域获取关键数据的主要部分,”Duffy 说。“当通过OT DMZ内的单向网关传输 0、1、2、3 级资产数据时,这可能会导致不良实践。“系统设计”在为 IIoT设备构建解决方案时起着关键作用。还要确保 IIoT 设备符合ISA 62443认证计划,从而为设备提供安全级别。
Duffy 说,当需要围绕工业工厂的供应链和环境条件做出决策时,IIoT有许多改进因素。“由于在没有OT主题专家在其领域的声音和治理会议的安全性的情况下选择了不正确的产品或设计,”他补充说,“IIoT会妥协OT/ICS。”
“正确的方法是在制药工业现场实施与OT相关的安全框架,如 ISA 62443或 NIST 800-82等,”Duffy 说。“这些框架支柱不仅指导而且提供关于识别库存态势感知、检测、安全 OT/ICS 培训、备份/恢复和风险评估关键资产(如服务器、PLC、SCADA及其在制造现场的数据流)的说明。通过保护制造业务的可用性,这可以挽救生命并保持关键药物的可用性。
Fortinet医疗保健领域首席信息安全官Troy Ament告诉Industrial Cyber,制药行业面临许多网络安全挑战,包括网络复杂性、老化的OT环境与IT融合、不断扩大的攻击面、不同IT战略的并购、网络安全技能短缺、内部威胁以及合规义务,同时需要保持在全球大流行期间加快创新步伐。
Ament认为,制药行业对新技术的日益关注正在帮助组织更具创新性,但这也增加了他们的风险并扩大了他们的攻击面。“物联网使制药公司能够改善对患者数据和文档的访问,监控行业趋势并管理设备。然而,连接设备的数量增加了攻击面,并带来了新的隐私挑战,为黑客利用组织系统中的漏洞提供了更多机会。
Ament 表示,IIoT给制药公司带来了额外的机会和风险,因为它可以提高生产速度、优化流程和能源效率,但会进一步扩大攻击面并引入新的安全威胁。这种对云技术的日益依赖,从混合云环境到多云环境,进一步扩展了公司需要保护的接触点,这增加了数据泄露的风险。
“更令人担忧的是,IIoT 的互连性意味着这些入口点中的任何一个都可以用作更关键系统的网关,”Amado说。“换句话说,硬件攻击工具可以插入计算机(更容易访问),并通过横向移动,瞄准OT的一个组件。这些设备的隐蔽性意味着它们甚至可以绕过最严格的安全措施,包括气隙隔离和零信任。
Ament 说,制药公司面临着多种且不断发展的网络威胁,包括合规需求、国家赞助的攻击者以及日益增加的网络复杂性。“与其尝试单独解决每个问题,更好的计划是采用全面的架构方法来解决网络安全问题。这种方法提供了自动化、可见性和对威胁的快速响应,可以轻松证明合规性并击败攻击者,”他补充道。
Ament表示,制药公司需要着眼于构建一个框架,以帮助保护数据、限制数据访问、改进数据恢复、保护软件、硬件和物理设备,并提高员工意识。“网络安全平台方法对于帮助启用一些有助于保护当今混合工作环境的重要技术至关重要,例如零信任网络访问和安全SD-WAN,”他补充说。
Sepio Systems网络研究负责人 Jessica Amado告诉 Industrial Cyber,制药行业处理需要高度特定条件(例如特定温度和压力)的极易挥发化学品。“对这些条件的任何改变都会产生极其有害的后果,并蔓延到物质世界。例如,想象一下COVID疫苗的制造过程略有改变。即使是最小的变化也可能导致灾难性的影响,如果只是非常轻微地操纵它,它可能会被忽视。
Amado认为,现在,COVID疫苗可以被用作一种非常非常危险的武器,因为它被分发给全世界数百万人。当然,这种情况可以应用于任何药物或药品,但这是制药行业面临的极其独特的挑战,如果管理不当,可能会导致致命的后果。
数字化的便利性及其以分析为主导的数据管理和技术突破已导致制药行业的传统OT设备和系统与IT网络融合。重新调整将过时的OT系统暴露于更广泛的威胁面,从而导致IT/OT融合,从而削弱此类设施的网络安全态势。
根据 Amado 的说法,Stuxnet 是基于硬件的攻击如何对ICS造成物理损害的最著名的例子之一,如果还没有的话,同样的技术很容易被应用于制药行业。
鉴于制药行业的关键组成部分以研发投资、知识产权、临床和专利数据的创新为中心,因此必须迅速采取适当的方法和策略来保护数据、服务器和知识产权免受网络攻击。
Amado认为,在制药行业实施的正确方法和策略是访问控制,大多数制药实体都知道这一点。“但是,关键是确保正确执行访问控制。正如我所提到的,硬件攻击工具绕过了气隙和零信任安全协议。换句话说,即使可能存在访问控制,如果它们受到破坏,它们也是无效的,”她补充说。
不言而喻,随着攻击面扩展到传统边界之外,资产可见性和访问控制也必须这样做。“企业不能再在他们的直接边界内执行他们的安全措施并假设他们受到保护。员工在远程工作时使用的设备怎么样?当 BYOD在办公室外使用时会怎样?访问控制必须适用于这些领域,这意味着资产可见性也必须这样做,”她补充道。
鉴于2021年在关键基础设施领域观察到的勒索软件趋势增加,社区内部和全球政府行政部门对网络安全威胁的认识不断提高。上个月,美国政府发布了其水部门行动计划,以保护国家的水资源免受网络安全攻击。
Duffy 在评估制药行业的法规是否会很快出台时说,“OT网络安全法规可以作为对安全框架的内部或外部审计的一部分,许多外部公司都提供这项服务。”
“我认为这将在不久的将来成为生命科学制药行业的常态,OT/ICS安全态势将与网络安全工厂验收测试(CFAT)和网络安全现场验收(CSAT)测试的质量一起进行测试,”Duffy说。“合并质量验证测试和安全测试,为OT资产在一天结束时运行和执行监管任务奠定坚实的基础,”他补充说。
“我们这样做,尤其是在合规方面,”Ament说。“随着医疗保健监管要求的演变和变得更加复杂,手动实现网络范围的可见性和执行所需的安全控制的难度只会增加。此外,证明合规性可能很耗时,尤其是当网络由不共享报告功能的不同点产品组成时,”他补充道。
据Ament称,传统上,制药公司将其安全工作重点放在满足合规性要求上。“但现实情况是,大多数组织都在努力证明全面的合规性——随着数字化的发展,数据完整性是一项重要的新要求,”他补充道。
Amado说,现有的法规适用于制药行业,但它们通常已经过时、范围有限,或者旨在适用于整体医疗保健。“因此,制药公司绝对是时候收到关注当前和未来威胁形势的更新、全面的法规了。我们已经看到美国和英国等多个国家增加了对网络安全的关注,特别是在关键基础设施领域,”她补充说。
“由于制药行业属于关键基础设施,我希望针对这一特定行业的法规能够得到出台,Amado表示。“然而,监管通常是在一系列重大事件之后出台的,因此很难预测这些监管何时会实现。但在网络安全方面,主动出击应对总是会好于被动应对,”她总结道。
https://industrialcyber.co/threats-attacks/bolstering-cybersecurity-posture-of-critical-pharmaceutical-industry/
原文来源:网空闲话
![关键制药行业的网络安全态势堪忧]( "关键制药行业的网络安全态势堪忧")
原文始发于微信公众号(关键基础设施安全应急响应中心):关键制药行业的网络安全态势堪忧
评论