医疗账单与IT解决方案供应商PracticeMax宣布,该公司于4月17日至5月5日期间遭遇勒索软件攻击。作为医疗保健机构Humana和Anthem的业务合作伙伴,在此次数据泄露事件中,未经授权的攻击者访问并窃取了超过4000份Humana患者档案,其中包含受保护的健康信息(PHI)。
此次勒索软件攻击绝非首次针对医疗行业。事实上,就在去年,我们目睹了Ryuk
在医院系统中肆意蔓延。医疗相关的勒索软件攻击案例仍在持续增加。PracticeMax数据泄露事件再次印证了医疗组织亟需加强防护,以保障其供应链中最薄弱的环节——第三方供应商和业务合作伙伴。本文将提供若干应对建议。
提升业务合作伙伴风险管理的5个技巧
为在供应商生命周期的每个阶段掌握业务合作伙伴风险状况,并更好地防范供应链攻击,请考虑以下建议:
1. 了解您的商业伙伴——以及他们带来的风险
为缩小第三方攻击面迈出的第一步,应在业务合作伙伴(BAs)入职前或入职期间对其进行固有风险评估。针对勒索软件的固有风险评估将揭示以下因素:
- 内部安全控制与工具
- 事件响应流程
- 员工安全意识培训计划
随后,您可结合所处理数据的类型,利用这些结果对业务合作伙伴进行分层,并据此合理规划后续尽职调查活动的规模。
专业建议:为加速入职流程和初始风险评估,建议利用已完成的供应商风险评估库。这些存储库中的风险评估应基于医疗行业标准(如H-ISAC),并包含动态更新内容,涵盖网络安全、业务运营、声誉管理及财务风险等领域的最新洞察。
2. 建立包含第四方技术的全面供应商档案
您当前的业务合作伙伴档案可能涵盖年收入、行业代码、所有权、声誉及其他属性。但这些档案通常无法揭示合作伙伴使用的第四方产品与服务。了解其部署的产品和工具,有助于在第四方技术(如Kaseya)遭遇数据泄露时评估集中风险。 建议采用能自动映射至第四方技术供应商关系的第三方风险管理解决方案,以简化风险评估流程。
3. 持续开展业务合作伙伴风险评估——而非仅在合同续签期间进行
在供应商入职阶段进行评估是良好的开端。然而,若将后续复核限定在固定周期(如合同续签时),则会遗漏期间出现的风险。针对此类缺口,可采取以下几种应对策略:
- 采取主动措施,更频繁地进行全面评估
- 一种被动应对策略,即针对特定事件开展风险评估
每种方法都具备优势,并能提供更规律的洞察力,助您全面掌控业务分析风险。主动式方法将供应商完成的基于控制措施的评估,与来自互联网、暗网以及公共和私有渠道的声誉、制裁及财务信息威胁的外部分析相结合。该方法的核心在于将所有来源的数据标准化并建立关联,整合至单一风险登记册中,实现集中化的背景分析、量化评估、风险管理及整改措施。
反应式方法基于上述技巧二所述的第四方关系,自动触发、执行并分析针对特定事件的评估(例如应对SolarWinds攻击)。无论采用何种方式,您都能持续获取更规范的洞察,从而为供应链决策提供更明智、基于风险的依据。
4. 切勿忽视离职管理——供应商关系终止后风险仍可能持续存在
尽管PracticeMax攻击事件涉及现有供应商,但必须确保离职流程与入职流程同样严格。在终止业务分析员合作关系时,应评估其是否按监管要求和行业最佳实践处置患者个人健康信息及资产。否则可能面临巨额罚款(摩根士丹利便是前车之鉴)。 我们发现,极少企业会在业务伙伴关系终止阶段处理风险问题。请寻找能帮助您安排任务、审查合同以确保所有义务已履行,并能生成可定制合同评估报告来评估离职状态的解决方案。
5. 实现报告自动化,高效满足HIPAA及其他法规要求
《健康保险流通与责任法案》安全条例要求受保护实体与任何代表其提供服务的第三方供应商签订业务合作协议(BAA)。该协议要求业务合作伙伴遵守与受保护实体相同的HIPAA标准,确保患者受保护健康信息(PHI)的安全。若您需要处理数十、数百甚至数千家第三方合作方,手动收集并通过电子表格分析这些信息的工作量将迅速变得难以承受。 应寻求能自动完成BA风险数据收集分析的解决方案,同时生成符合HIPAA要求的合规报告——在外部审计前清晰展示合规状态及潜在薄弱环节。这将极大加速风险缓解流程。
医疗保健第三方风险管理的下一步行动
采取整体方法保障业务合作伙伴安全,并在第三方生命周期的每个环节保护数据,可助您降低风险,避免成为下一个勒索软件数据泄露受害者。如需了解Prevalent如何帮助您满足HIPAA安全规则业务合作伙伴风险要求,请下载《HIPAA第三方合规检查清单》,或立即联系我们进行战略研讨。
额外提示:若您认为商业伙伴遭遇了勒索软件攻击,请使用这份免费问卷评估您的风险敞口。
编者按 本文最初发表于 Prevalent.net. 2024 年 10 月,Mitratech 收购了人工智能第三方风险管理公司 Prevalent。此后,我们对内容进行了更新,以纳入与我们的产品、监管变化和合规性相一致的信息。
