2024 年 2 月 21 日,美国最大的医疗支付和收入周期管理提供商 Change Healthcare 因 BlackCat/ALPHV 的勒索软件攻击而关闭了 100 多项服务。从那时起,从最小的医生诊所到最大的医院系统,医疗服务提供商都无法收取收入,在某些情况下也无法为患者提供医疗服务。这次勒索软件攻击对医疗服务提供商来说简直是灾难性的,因为每 3 笔涉及患者的交易中就有 1 笔是通过变更系统进行的。
根据最新进展,Change 的母公司联合健康医疗集团(UnitedHealthcare Group)将在 2024 年 4 月 29 日之前恢复所有理赔功能,使运营恢复正常。在此之前,使用受影响服务的 Change Healthcare 客户必须寻找其他途径来处理健康保险索赔和接收预先授权。他们还必须了解此次攻击中被窃取的数据所造成的影响。
这次勒索软件攻击不仅对 Change Healthcare,而且对其整个客户群都是一场灾难。这也是第三方风险管理者需要将灾难计划纳入其事件响应战略的一堂客观课。
灾难规划为何对第三方事件响应至关重要
Change Healthcare 只是网络攻击影响范围远远超出一家公司的最新例子。2023 年底发生的 Okta 漏洞事件导致 Okta 客户支持系统的数据被盗。该事件对 Okta 客户造成的影响尚未完全统计。另一个例子是,医疗保健转录供应商Perry Johnson & Associates 遭受数据泄露,近 1300 万份患者记录受到影响,并引发多起集体诉讼。
这些和其他第三方网络攻击事件使得事件响应计划成为强大的第三方风险管理计划的必要条件。了解当您的某个供应商受到网络攻击时应该采取的措施,无论多么关键,都能在很大程度上确保业务的连续性。
第三方事件响应计划的一部分应该是制定灾难性事件的应对手册。值得庆幸的是,像 Change Healthcare 攻击这样的灾难性事件并不多见,一些医疗服务提供商每天损失的收入超过 100 万美元。但这并不意味着您可以忽视大规模网络攻击导致关键供应商瘫痪的可能性。
作为灾难规划(也称为灾难恢复)的一部分,了解几个问题的答案非常重要:
- 如果关键供应商宕机,有哪些替代方案?
- 我们能多快部署其中一种替代品?
- 在灾难发生时,我们需要哪些工具来迅速做出反应?
- 谁负责决定何时改用替代品?
除了网络攻击之外,灾难规划也是必不可少的。自然灾害与大规模勒索软件事件一样容易影响业务关系。将灾难计划纳入第三方事件响应手册,意味着当重大事件发生时,您可能会做好更充分的准备。
第三方灾难规划的最佳做法
如果您的重要供应商之一受到灾难影响,制定相应的计划是第三方事件响应的重要组成部分。与制定第三方事件响应手册一样,创建和实施有效的灾难计划也有几个关键步骤:
1. 组建跨职能团队。有效的灾难应对计划需要组织内部组建跨职能团队。该团队可由负责事件响应的原有团队承担,或吸纳更高层级成员参与,因为灾难响应可能需要高层决策。建议纳入信息安全、风险管理、法律事务以及采购或供应链管理团队。
2.确定角色和责任。 灾难性事件需要明确的责任和沟通。您应该已经制定了业务连续性和灾难恢复计划,以应对与自己公司相关的严重网络攻击或事件。该计划中跨职能团队的角色和职责也可能与某个供应商或供货商的灾难性事件相关。
3.创建替代解决方案列表。 如果某个供应商发生灾难性事件,您可能需要转向其他解决方案。例如,当 Change Healthcare 倒闭时,一些医疗保健提供商会贷款给员工发工资。如果您的某个重要供应商或供货商无法继续运营,制定一份其他选择清单可以确保您的业务连续性。这也是最有效的应对措施所必需的。
4.开展灾难应对桌面演练。 灾难规划中最重要的事情之一就是定期为响应团队举行演习。这超出了每个人都知道自己角色的事件响应手册的范围。灾难发生的频率很低,如果不对应对步骤进行演练,可能会导致失去宝贵的应对时间。这就是联邦紧急事务管理局(FEMA)为其危机响应人员所做的工作,也是纽约市警察局危机干预小组为纽约市的突发事件所做的准备工作。虽然供应商发生的灾难性事件可能不会危及生命,但仍有必要进行实际演练,以便应急小组知道该怎么做。
5.持续监控可能发生的灾难性事件。 组织不能依靠供应商或供货商来了解什么是灾难性事件或什么不是灾难性事件,也不能依靠他们来及时报告。因此,必须持续监控关键第三方是否存在新的和正在出现的威胁。虽然这似乎显而易见,但对于拥有庞大供应商生态系统的组织而言,这可能是一项艰巨的任务。与其手动关注安全新闻和社区发布的信息,不如寻找能够为您自动化和扩展监控流程的威胁情报提供商。
改进第三方业务连续性的下一步措施
有效的第三方业务连续性计划需要内部和外部利益相关者之间的合作。只有通过与供应商通力合作,制定出具有凝聚力的战略,企业才能确保在灾难性事件中保持正常运营。
业务连续性程序包括以下活动:
- 事件检测
- 事件监测
- 内部交流
- 与相关的国家和/或区域风险咨询系统和/或小组互动
- 与应急响应人员或执法人员沟通
- 确保破坏性事件期间的通信手段
- 记录事件的相关重要信息,包括相关决定和行动
各组织需要制定与业务连续性相关的流程,以及在发生灾难性供应商事件时可遵循的统一计划。
普遍存在的帮助
Prevalent 第三方风险管理平台在业务连续性计划中发挥着关键作用。Prevalent 具有持续风险监控以及剖析和分层功能,可确保安全和采购团队直观地了解风险,与受影响的供应商进行沟通,并评估与每个第三方合作的风险。
Prevalent 的供应商威胁监控解决方案可确保各种规模的公司准确跟踪其关键供应商可能面临的风险。这使他们能够确定可能面临的风险类型,并了解可能发生灾难性事件的早期信号。
Prevalent 还开发了一个业务连续性计划模板,以帮助定义在灾难性供应商事件中适用的政策和实践。在无法预测供应商生态系统可能遭受的下一次灾难的环境中,提前制定该计划至关重要。
有关 Prevalent 如何帮助贵组织制定全面的第三方业务连续性计划的更多信息,请立即申请演示。
编者按:本文最初发表于Prevalent.net。2024 年 10 月,Mitratech 收购了人工智能第三方风险管理公司 Prevalent。此后,我们对内容进行了更新,以纳入与我们的产品、监管变化和合规性相一致的信息。
