COVID-19疫苗供应链隐藏了明显的网络威胁

疫苗分发物流中过时的系统带来了前所未有的网络威胁。

马里兰大学医学院授予的许可

首次发布于

在COVID-19疫苗到达患者手臂之前,它会通过多个供应链(与制药公司合作的利益相关者网络)进入市场。所有合作伙伴的共同点是网络威胁。 

为了造成破坏,恶意行为者不仅仅依赖于药物开发内部对知识产权的访问。 从研究到制造再到 新鲜食品的)低温运输系统 Xage的首席执行官Duncan Greatwood表示,这是Moderna和Pfizer所依赖的疫苗所依赖的。 

运营技术处于供应链的中间, 安全的影响被误解了 将漏洞隐藏在眼前。 疫苗分发物流中过时的系统带来了前所未有的网络威胁。 

“这些是在COVID [-19]出现之前的问题。现在,突然之间,我们几乎完全依赖于OT,IoT和运输服务-我们所知道的所有这些行业都受到了不良保护,” Egon Rinderer,Tanium全球技术副总裁兼联邦首席技术官。 但是业界期望它们“绝对完美,原始”,“不现实,对吧?” 

上周,欧盟的药品监管机构 欧洲药品管理局(EMA) 披露了网络攻击,导致恶意行为者从辉瑞和BioNtech访问COVID-19疫苗数据根据BioNTech。大约一周后,该攻击被披露 IBM Security X-Force发布了有关 网络钓鱼活动 针对参与冷链的组织。 

如果网络钓鱼攻击发生时OT连接到网络,则恶意软件可以访问共享网络的第三方。 

“人们开始越来越多地关注必须从主网络中分离出来的内容,” Liz Mann说, 安永美洲健康与生命科学网络安全负责人。医疗保健行业有法规 指导传统制造环境运营,但由于制造商批准的延迟,系统仍然过时。 

曼恩说:“如果某事有效,它并不总是因为可以升级而升级。” 

由于无法通过单一工具来管理OT可见性和控制权,因此威胁仍然无法解决。例如,卡车上的安全摄像机或重量传感器可以保持未打补丁的状态。 

Rinderer说:“有一种这种不成文的协议,我们会集体假装我们的OT都没有连接到企业网络。”但是OT,包括IoT和 工业控制系统(ICS)已连接到Internet,尤其是最近十年制造的设备。 

Rinderer说,假设其他情况是不可行和不现实的。  

分发正在进行中

制药公司如何与其供应链互动也将影响安全风险。 

联邦政府窃听 McKesson领导疫苗分销 根据Cyber​​security Dive的姊妹刊物《 Supply Chain Dive》,它在“经纱速度操作”中排名第一。辉瑞选择了一种“灵活”的模式,允许疫苗小瓶直接从其植物传播到接受者。  

供应链的建立需要花费数年的时间,但是COVID-19正在加速这一过程。这意味着“从操作的角度来看,您实际上并没有机会真正解决系统中的任何问题”, 丹尼尔·哈特奈特t,在网络研讨会期间,Kroll的合规风险和尽职调查副总经理。随着新参与者的压力增加,它可能会在以后引入风险。 

政府和辉瑞公司正在协调首批产品的去向,尽管他们预计最初​​的接受者之间会有所不同,包括医院,门诊诊所和药房。 

COVID-19疫苗分配模式的挑战是一个复杂的地缘政治格局,也被称为疫苗民族主义。哈特奈特说,这是一个“现实问题”。各国正在全力以赴,首先帮助其公民,或者赞助国产疫苗作为其“国家冠军”。

疫苗生产商与国家政府之间还存在“以我为先”的协议,可以将供应链绑定到某些区域,然后再覆盖其他区域。唐纳德·特朗普总统签署 行政命令 上周确保“美国人民排在第一位”接受由纳税人资助生产的疫苗。特朗普政府是否可以保证美国人可以进入美国仍不得而知,但这可能会加剧全球分销的瓶颈。 

对于那些没有能力开发自己的毒品的国家,“这比你所能拥有的价值更高,”林德勒说。网络犯罪分子没有动机去追求COVID-19疫苗供应链中的任何一个领域。 

有几种威胁和动机: 

  • 间谍活动:民族国家的参与者经常希望疫苗配方通过虚假信息窃取或抹黑毒品。间谍活动中通常会隐藏间谍活动威胁。 
  • 罪犯:有组织的犯罪集团通过恶意软件,勒索软件或破坏活动谋取金钱收益和IP。 
  • 黑客行为:为社会事业而进行黑客攻击的个人。在这种情况下,黑客主义者可能会不同意药房的行为或定价。 
  • 内部人员:偶然或恶意的人可能会泄漏有价值的IP。 

“漏洞不仅是系统的状态以及它们的安全性如何,而且还是攻击者的动机。” inder子手。过去 攻击显示 朝鲜民族国家参与者倾向于使用勒索软件,而俄罗斯民族国家参与者则倾向于破坏。中国民族国家行为者追求知识产权。

北朝鲜 有针对性的 约翰逊&本月早些时候,阿斯利康的Novavax Johnson公司的Johnson报道了《华尔街日报》。袭击的法证表明,这些袭击是针对美国国务院的类似活动。 

了解M.O.民族国家威胁是防御的一部分。这在制药行业中是众所周知的。 

他说:“如果防御能力很强且经过考验,就不必从别人的失败中学习。” 信息安全副总裁Marene Allison&J的风险管理和CISO&J,十月份告诉《网络安全潜水》。 2010年3月,当中国的民族行动者针对美国医疗保健组织时,“我们了解到我们需要共同努力,因为这关系到人类的医疗保健和挽救生命。” 

OT障碍

据称,今年制药业成为最容易受到网络攻击的行业 克拉罗蒂的研究。公司通过重新评估其关注点和技术环境的相互联系来做出反应。调查显示,四分之三的IT / OT安全专业人员希望他们的IT和OT环境能够在大流行中融合。 

3月,当员工被送回家时,公司加快了数字化转型的步伐,但以扩大攻击面为代价。生产网络中的大多数计算机都缺少密码,而是由防火墙保护。 Greatwood说,如果合作伙伴需要访问权限,则他们需要进入该设施,这在保护方面造成了漏洞。如果用户在不知不觉中连接了感染了恶意软件的设备,则没有其他保护措施可以质疑用户的存在权。 

Greatwood说,Purdue模型是对工业控制系统进行细分的框架,它要求“对操作的各个部分进行隔离”。但是,在依赖OT的行业(包括制药行业)中,挑战者是攻击者可以摆脱 纵深防御

Greatwood说,这并不意味着Purdue模型无效,只是存在一些效率低下的问题。 “因为一旦您进入了操作程序,那时候您就可以自由落体了。您可以从字面上去重新编程任何您喜欢的控制器。”

大流行不是将IT和OT结合到制药业的催化剂,但它加快了这一过程。多年来,公司一直在计算网络事件后对其任务的潜在影响或风险。这些指定的边界今年已通过泛滥的医疗系统和大规模远程工作进行了测试。曼恩说:“即使(药物)在它们的植物中也会有不同程度的成熟度。”今年,安全性的“正常”基准发生了变化,“您必须再次开始设置新的正常”。

在此期间,公司正在努力概述合作伙伴可以访问的内容。 

“了解威胁的能力,查看数据保护的能力以及供应链的弹性都是人们在安全职业生涯中所学到的所有东西。在这一点上,它们都将永远发挥作用。 ”,艾莉森说。 

医疗行业预计,与此同时,公司正在努力应对供应链中的OT威胁 实时信息共享。 COVID-19疫苗是与合作伙伴共同开发的,因此疫苗初始操作中产生的信息会通过合作伙伴生态系统传播。 Greatwood说,数据的创建者不能失去对它的控制。 

钓鱼  

药品供应链包括研发,监管机构,制造,分销,储存和疫苗接种点。取决于批准的疫苗数量,将有更多的供应链公司参与其中,而对合作伙伴安全性的洞察力则相当模糊。 

曼恩说:“您希望每个人都从安全角度理解他们的责任。” 

IBM的研究证明,工厂底层的IP并非总是直接的目标。 

“由于我们非常依赖技术,因此破坏事物的最快,最简单的方法就是破坏技术。” 史黛西·斯科特(Stacy Scott)上周举行的网络研讨会上,Kroll网络风险部总经理。供应链IP的形式为: 

  • 疫苗配方
  • 有关谁先收到货的数据,因此竞争对手可以先发货到其他地区
  • 供应商费率

供应链的运输和运输环节是 特别脆弱,据网络安全潜水的姊妹刊物《交通潜水》报道。运输公司的利润将不支持更换自动衡器或传统工业控制系统的成本。 

根据今年的调查,运输业在实施安全培训计划方面排名第一,尽管仅占被调查人数的4%。 网络钓鱼基准全球报告,由Terranova Security和Microsoft生产。医疗保健和教育排名最低,其中14%接受了“理想组合”的培训,其中包括意识教育模块和网络钓鱼模拟。 

尽管运输行业在网络钓鱼培训方面的排名较高,但“Terranova Security的首席信息安全官Theo Zafirakos说:“由于网络钓鱼电子邮件是一种传递机制,因此,测试恶意软件的感染往往要稍微复杂一些。感染依赖于其他因素,而这些因素通常是Clicker无法控制的,”包括防病毒,补丁,访问控制和恢复。 

医疗保健行业打开的恶意电子邮件低于平均19.8%的水平。运输行业的点击率达到24.7%,用户提交凭据的时间为17.5%,也高于平均水平。 

萨曼莎·安·施瓦茨(萨曼莎·安·施瓦茨)/网络安全潜水,Terranova Security和Microsoft提供的数据
 

Zafirakos说,高用户点击率并不总是表明安全失败的指标,因为“一个点击器足以将勒索软件带入组织中”。  

该基准是用于分析人类行为的模拟。 Zafirakos说,当用户打开网络钓鱼电子邮件并“面对密码请求页面并做出决定时,大量用户提交了他们的凭据”。一线行业中没有远程工作的行业可能为点击率较低的行业做出了贡献。 

虽然公司IT网络访问更加严格,但在生产车间和药品上通常没有严格监管 开发业务。 

“比喻是,进入网络,您可以阅读任何人的电子邮件,可以充当任何机器,也可以调用任何数据,” Greatwood说。 

OT中的隔离技术和访问控制需要更新,这取决于发布更新的供应商。 Rinderer说:“传统是绝对的唯一性,并且绝对锁定供应商。”这就是使OT环境过时的原因。 

与IT一样,零信任是授权访问的主要后继者,以减轻OT中的供应链风险。但是,环境植根于传统,零信任感觉就像是另一个遥远的目标。 “这是白日梦,”林德勒说。 “证据表明这种情况不会很快发生。”

跟随 推特

提起下: 卫生IT 医院管理 政策& Regulation