信息來源：安全內(nèi)參

IndustrialCyber報道，制藥行業(yè)的網(wǎng)絡安全問題日益嚴重，主要源于該行業(yè)對第三方供應商的日益依賴、數(shù)字化和工業(yè)物聯(lián)網(wǎng) (IIoT) 技術的采用以及向混合/多云環(huán)境的轉(zhuǎn)變。正值COVID-19疫苗的推出和開發(fā)以及生命科學領域的其他突破之際，不斷惡化的網(wǎng)絡威脅形勢，從而進一步提升了網(wǎng)絡犯罪分子對這一關鍵領域構(gòu)成的危險程度。  

關鍵制藥行業(yè)的網(wǎng)絡安全特點

Sophos研究顯示，網(wǎng)絡攻擊對制藥組織的影響包括缺乏關鍵系統(tǒng)的可用性和可能導致研發(fā) (R&D) 和藥物生產(chǎn)停止的業(yè)務中斷，以及包括知識產(chǎn)權 (IP)、臨床試驗數(shù)據(jù)和患者在內(nèi)的數(shù)據(jù)丟失。網(wǎng)絡攻擊還可能影響市場地位的喪失、因收入損失和訴訟的額外成本、監(jiān)管不合規(guī)和潛在的巨額罰款、消費者信任的喪失以及股東價值的降低而導致的財務損失。

制藥行業(yè)的公司擁有價值數(shù)十億美元的數(shù)據(jù)，通常包括機密知識產(chǎn)權、藥物進步和技術的研發(fā)數(shù)據(jù)、藥物和開發(fā)的專有信息以及患者和臨床試驗數(shù)據(jù)。訪問此類關鍵和敏感信息使制藥行業(yè)成為網(wǎng)絡犯罪分子極具吸引力的目標。

Sophos公司上個月公布的數(shù)據(jù)顯示，預計到2027年，制藥行業(yè)的復合年增長率預計為13.7%，因為數(shù)十億人依賴該行業(yè)獲取日常用藥?！吧a(chǎn)救命藥物和發(fā)明新療法的中斷可能會產(chǎn)生致命的后果。然而，這個行業(yè)是全球受網(wǎng)絡犯罪威脅最大的行業(yè)之一。

在去年7月發(fā)布的“數(shù)據(jù)泄露成本報告”中， IBM Security確定2021年藥企數(shù)據(jù)泄露的平均成本為504萬美元。

Booz Allen Hamilton在最近的一份報告中表示，制藥公司未來的網(wǎng)絡安全狀態(tài)是擁有一個集成安全運營中心 (SOC)，在該中心對公司數(shù)據(jù)進行分類，通過物理訪問控制得到加強，再通過使用向公司發(fā)出異常行為警報的分析。這些公司還必須制定一個事件響應計劃，通過改進檢測工作來提高效率，同時采取強有力的前線防御態(tài)勢，并使用基線行為配置文件來檢測異常網(wǎng)絡行為。

關鍵制藥行業(yè)的網(wǎng)絡安全現(xiàn)狀

鑒于制藥行業(yè)面臨的威脅形勢加劇，Industrial Cyber聯(lián)系了行業(yè)專家，以評估實際情況，并努力確定可以加強該行業(yè)網(wǎng)絡安全態(tài)勢的各種最佳實踐和措施。

Ipsen Pharmaceutical運營技術 (OT) 安全全球總監(jiān)Brian Duffy告訴 Industrial Cyber，許多制藥行業(yè)面臨的挑戰(zhàn)是確保制造場所運營的“可用性”。“許多扁平網(wǎng)絡與企業(yè)網(wǎng)絡互連，這導致單點進入OT資產(chǎn)。為了與我們的 IT 同事建立氣隙隔離、網(wǎng)絡細分和靈活的“零信任”文化，正確設置IT/OT融合之間的共享服務非常重要，”他補充道。

“越來越多的要求提取能源、關鍵性能指標、使用智能IIoT技術進行預測性維護已成為從OT區(qū)域獲取關鍵數(shù)據(jù)的主要部分，”Duffy 說?！爱斖ㄟ^OT DMZ內(nèi)的單向網(wǎng)關傳輸 0、1、2、3 級資產(chǎn)數(shù)據(jù)時，這可能會導致不良實踐?！跋到y(tǒng)設計”在為 IIoT設備構(gòu)建解決方案時起著關鍵作用。還要確保 IIoT 設備符合ISA 62443認證計劃，從而為設備提供安全級別。

Duffy 說，當需要圍繞工業(yè)工廠的供應鏈和環(huán)境條件做出決策時，IIoT有許多改進因素。“由于在沒有OT主題專家在其領域的聲音和治理會議的安全性的情況下選擇了不正確的產(chǎn)品或設計，”他補充說，“IIoT會妥協(xié)OT/ICS?！?

“正確的方法是在制藥工業(yè)現(xiàn)場實施與OT相關的安全框架，如 ISA 62443或 NIST 800-82等，”Duffy 說?！斑@些框架支柱不僅指導而且提供關于識別庫存態(tài)勢感知、檢測、安全 OT/ICS 培訓、備份/恢復和風險評估關鍵資產(chǎn)（如服務器、PLC、SCADA及其在制造現(xiàn)場的數(shù)據(jù)流）的說明。通過保護制造業(yè)務的可用性，這可以挽救生命并保持關鍵藥物的可用性。

Fortinet醫(yī)療保健領域首席信息安全官Troy Ament告訴Industrial Cyber，制藥行業(yè)面臨許多網(wǎng)絡安全挑戰(zhàn)，包括網(wǎng)絡復雜性、老化的OT環(huán)境與IT融合、不斷擴大的攻擊面、不同IT戰(zhàn)略的并購、網(wǎng)絡安全技能短缺、內(nèi)部威脅以及合規(guī)義務，同時需要保持在全球大流行期間加快創(chuàng)新步伐。

Ament認為，制藥行業(yè)對新技術的日益關注正在幫助組織更具創(chuàng)新性，但這也增加了他們的風險并擴大了他們的攻擊面?！拔锫?lián)網(wǎng)使制藥公司能夠改善對患者數(shù)據(jù)和文檔的訪問，監(jiān)控行業(yè)趨勢并管理設備。然而，連接設備的數(shù)量增加了攻擊面，并帶來了新的隱私挑戰(zhàn)，為黑客利用組織系統(tǒng)中的漏洞提供了更多機會。

Ament 表示，IIoT給制藥公司帶來了額外的機會和風險，因為它可以提高生產(chǎn)速度、優(yōu)化流程和能源效率，但會進一步擴大攻擊面并引入新的安全威脅。這種對云技術的日益依賴，從混合云環(huán)境到多云環(huán)境，進一步擴展了公司需要保護的接觸點，這增加了數(shù)據(jù)泄露的風險。

“更令人擔憂的是，IIoT 的互連性意味著這些入口點中的任何一個都可以用作更關鍵系統(tǒng)的網(wǎng)關，”Amado說?！皳Q句話說，硬件攻擊工具可以插入計算機（更容易訪問），并通過橫向移動，瞄準OT的一個組件。這些設備的隱蔽性意味著它們甚至可以繞過最嚴格的安全措施，包括氣隙隔離和零信任。

Ament 說，制藥公司面臨著多種且不斷發(fā)展的網(wǎng)絡威脅，包括合規(guī)需求、國家贊助的攻擊者以及日益增加的網(wǎng)絡復雜性?！芭c其嘗試單獨解決每個問題，更好的計劃是采用全面的架構(gòu)方法來解決網(wǎng)絡安全問題。這種方法提供了自動化、可見性和對威脅的快速響應，可以輕松證明合規(guī)性并擊敗攻擊者，”他補充道。

Ament表示，制藥公司需要著眼于構(gòu)建一個框架，以幫助保護數(shù)據(jù)、限制數(shù)據(jù)訪問、改進數(shù)據(jù)恢復、保護軟件、硬件和物理設備，并提高員工意識。“網(wǎng)絡安全平臺方法對于幫助啟用一些有助于保護當今混合工作環(huán)境的重要技術至關重要，例如零信任網(wǎng)絡訪問和安全SD-WAN，”他補充說。

Sepio Systems網(wǎng)絡研究負責人 Jessica Amado告訴 Industrial Cyber，制藥行業(yè)處理需要高度特定條件（例如特定溫度和壓力）的極易揮發(fā)化學品。“對這些條件的任何改變都會產(chǎn)生極其有害的后果，并蔓延到物質(zhì)世界。例如，想象一下COVID疫苗的制造過程略有改變。即使是最小的變化也可能導致災難性的影響，如果只是非常輕微地操縱它，它可能會被忽視。

Amado認為，現(xiàn)在，COVID疫苗可以被用作一種非常非常危險的武器，因為它被分發(fā)給全世界數(shù)百萬人。當然，這種情況可以應用于任何藥物或藥品，但這是制藥行業(yè)面臨的極其獨特的挑戰(zhàn)，如果管理不當，可能會導致致命的后果。

數(shù)字化的便利性及其以分析為主導的數(shù)據(jù)管理和技術突破已導致制藥行業(yè)的傳統(tǒng)OT設備和系統(tǒng)與IT網(wǎng)絡融合。重新調(diào)整將過時的OT系統(tǒng)暴露于更廣泛的威脅面，從而導致IT/OT融合，從而削弱此類設施的網(wǎng)絡安全態(tài)勢。

根據(jù) Amado 的說法，Stuxnet 是基于硬件的攻擊如何對ICS造成物理損害的最著名的例子之一，如果還沒有的話，同樣的技術很容易被應用于制藥行業(yè)。

鑒于制藥行業(yè)的關鍵組成部分以研發(fā)投資、知識產(chǎn)權、臨床和專利數(shù)據(jù)的創(chuàng)新為中心，因此必須迅速采取適當?shù)姆椒ê筒呗詠肀Ｗo數(shù)據(jù)、服務器和知識產(chǎn)權免受網(wǎng)絡攻擊。

Amado認為，在制藥行業(yè)實施的正確方法和策略是訪問控制，大多數(shù)制藥實體都知道這一點?！暗?，關鍵是確保正確執(zhí)行訪問控制。正如我所提到的，硬件攻擊工具繞過了氣隙和零信任安全協(xié)議。換句話說，即使可能存在訪問控制，如果它們受到破壞，它們也是無效的，”她補充說。

不言而喻，隨著攻擊面擴展到傳統(tǒng)邊界之外，資產(chǎn)可見性和訪問控制也必須這樣做?！捌髽I(yè)不能再在他們的直接邊界內(nèi)執(zhí)行他們的安全措施并假設他們受到保護。員工在遠程工作時使用的設備怎么樣？當 BYOD在辦公室外使用時會怎樣？訪問控制必須適用于這些領域，這意味著資產(chǎn)可見性也必須這樣做，”她補充道。

如何監(jiān)管？

鑒于2021年在關鍵基礎設施領域觀察到的勒索軟件趨勢增加，社區(qū)內(nèi)部和全球政府行政部門對網(wǎng)絡安全威脅的認識不斷提高。上個月，美國政府發(fā)布了其水部門行動計劃，以保護國家的水資源免受網(wǎng)絡安全攻擊。

Duffy 在評估制藥行業(yè)的法規(guī)是否會很快出臺時說，“OT網(wǎng)絡安全法規(guī)可以作為對安全框架的內(nèi)部或外部審計的一部分，許多外部公司都提供這項服務?！?

“我認為這將在不久的將來成為生命科學制藥行業(yè)的常態(tài)，OT/ICS安全態(tài)勢將與網(wǎng)絡安全工廠驗收測試 (CFAT) 和網(wǎng)絡安全現(xiàn)場驗收 (CSAT) 測試的質(zhì)量一起進行測試，”Duffy說?！昂喜①|(zhì)量驗證測試和安全測試，為OT資產(chǎn)在一天結(jié)束時運行和執(zhí)行監(jiān)管任務奠定堅實的基礎，”他補充說。

“我們這樣做，尤其是在合規(guī)方面，”Ament說?！半S著醫(yī)療保健監(jiān)管要求的演變和變得更加復雜，手動實現(xiàn)網(wǎng)絡范圍的可見性和執(zhí)行所需的安全控制的難度只會增加。此外，證明合規(guī)性可能很耗時，尤其是當網(wǎng)絡由不共享報告功能的不同點產(chǎn)品組成時，”他補充道。

據(jù)Ament稱，傳統(tǒng)上，制藥公司將其安全工作重點放在滿足合規(guī)性要求上?！暗F(xiàn)實情況是，大多數(shù)組織都在努力證明全面的合規(guī)性——隨著數(shù)字化的發(fā)展，數(shù)據(jù)完整性是一項重要的新要求，”他補充道。

Amado說，現(xiàn)有的法規(guī)適用于制藥行業(yè)，但它們通常已經(jīng)過時、范圍有限，或者旨在適用于整體醫(yī)療保健?！耙虼?，制藥公司絕對是時候收到關注當前和未來威脅形勢的更新、全面的法規(guī)了。我們已經(jīng)看到美國和英國等多個國家增加了對網(wǎng)絡安全的關注，特別是在關鍵基礎設施領域，”她補充說。

“由于制藥行業(yè)屬于關鍵基礎設施，我希望針對這一特定行業(yè)的法規(guī)能夠得到出臺，Amado表示?！叭欢?，監(jiān)管通常是在一系列重大事件之后出臺的，因此很難預測這些監(jiān)管何時會實現(xiàn)。但在網(wǎng)絡安全方面，主動出擊應對總是會好于被動應對，”她總結(jié)道。

原文鏈接：https://industrialcyber.co/threats-attacks/bolstering-cybersecurity-posture-of-critical-pharmaceutical-industry/