信息來源：安全內(nèi)參

IndustrialCyber報道，制藥行業(yè)的網(wǎng)絡(luò)安全問題日益嚴(yán)重，主要源于該行業(yè)對第三方供應(yīng)商的日益依賴、數(shù)字化和工業(yè)物聯(lián)網(wǎng) (IIoT) 技術(shù)的采用以及向混合/多云環(huán)境的轉(zhuǎn)變。正值COVID-19疫苗的推出和開發(fā)以及生命科學(xué)領(lǐng)域的其他突破之際，不斷惡化的網(wǎng)絡(luò)威脅形勢，從而進(jìn)一步提升了網(wǎng)絡(luò)犯罪分子對這一關(guān)鍵領(lǐng)域構(gòu)成的危險程度。  

關(guān)鍵制藥行業(yè)的網(wǎng)絡(luò)安全特點(diǎn)

Sophos研究顯示，網(wǎng)絡(luò)攻擊對制藥組織的影響包括缺乏關(guān)鍵系統(tǒng)的可用性和可能導(dǎo)致研發(fā) (R&D) 和藥物生產(chǎn)停止的業(yè)務(wù)中斷，以及包括知識產(chǎn)權(quán) (IP)、臨床試驗(yàn)數(shù)據(jù)和患者在內(nèi)的數(shù)據(jù)丟失。網(wǎng)絡(luò)攻擊還可能影響市場地位的喪失、因收入損失和訴訟的額外成本、監(jiān)管不合規(guī)和潛在的巨額罰款、消費(fèi)者信任的喪失以及股東價值的降低而導(dǎo)致的財(cái)務(wù)損失。

制藥行業(yè)的公司擁有價值數(shù)十億美元的數(shù)據(jù)，通常包括機(jī)密知識產(chǎn)權(quán)、藥物進(jìn)步和技術(shù)的研發(fā)數(shù)據(jù)、藥物和開發(fā)的專有信息以及患者和臨床試驗(yàn)數(shù)據(jù)。訪問此類關(guān)鍵和敏感信息使制藥行業(yè)成為網(wǎng)絡(luò)犯罪分子極具吸引力的目標(biāo)。

Sophos公司上個月公布的數(shù)據(jù)顯示，預(yù)計(jì)到2027年，制藥行業(yè)的復(fù)合年增長率預(yù)計(jì)為13.7%，因?yàn)閿?shù)十億人依賴該行業(yè)獲取日常用藥?！吧a(chǎn)救命藥物和發(fā)明新療法的中斷可能會產(chǎn)生致命的后果。然而，這個行業(yè)是全球受網(wǎng)絡(luò)犯罪威脅最大的行業(yè)之一。

在去年7月發(fā)布的“數(shù)據(jù)泄露成本報告”中， IBM Security確定2021年藥企數(shù)據(jù)泄露的平均成本為504萬美元。

Booz Allen Hamilton在最近的一份報告中表示，制藥公司未來的網(wǎng)絡(luò)安全狀態(tài)是擁有一個集成安全運(yùn)營中心 (SOC)，在該中心對公司數(shù)據(jù)進(jìn)行分類，通過物理訪問控制得到加強(qiáng)，再通過使用向公司發(fā)出異常行為警報的分析。這些公司還必須制定一個事件響應(yīng)計(jì)劃，通過改進(jìn)檢測工作來提高效率，同時采取強(qiáng)有力的前線防御態(tài)勢，并使用基線行為配置文件來檢測異常網(wǎng)絡(luò)行為。

關(guān)鍵制藥行業(yè)的網(wǎng)絡(luò)安全現(xiàn)狀

鑒于制藥行業(yè)面臨的威脅形勢加劇，Industrial Cyber聯(lián)系了行業(yè)專家，以評估實(shí)際情況，并努力確定可以加強(qiáng)該行業(yè)網(wǎng)絡(luò)安全態(tài)勢的各種最佳實(shí)踐和措施。

Ipsen Pharmaceutical運(yùn)營技術(shù) (OT) 安全全球總監(jiān)Brian Duffy告訴 Industrial Cyber，許多制藥行業(yè)面臨的挑戰(zhàn)是確保制造場所運(yùn)營的“可用性”?！霸S多扁平網(wǎng)絡(luò)與企業(yè)網(wǎng)絡(luò)互連，這導(dǎo)致單點(diǎn)進(jìn)入OT資產(chǎn)。為了與我們的 IT 同事建立氣隙隔離、網(wǎng)絡(luò)細(xì)分和靈活的“零信任”文化，正確設(shè)置IT/OT融合之間的共享服務(wù)非常重要，”他補(bǔ)充道。

“越來越多的要求提取能源、關(guān)鍵性能指標(biāo)、使用智能IIoT技術(shù)進(jìn)行預(yù)測性維護(hù)已成為從OT區(qū)域獲取關(guān)鍵數(shù)據(jù)的主要部分，”Duffy 說?！爱?dāng)通過OT DMZ內(nèi)的單向網(wǎng)關(guān)傳輸 0、1、2、3 級資產(chǎn)數(shù)據(jù)時，這可能會導(dǎo)致不良實(shí)踐?！跋到y(tǒng)設(shè)計(jì)”在為 IIoT設(shè)備構(gòu)建解決方案時起著關(guān)鍵作用。還要確保 IIoT 設(shè)備符合ISA 62443認(rèn)證計(jì)劃，從而為設(shè)備提供安全級別。

Duffy 說，當(dāng)需要圍繞工業(yè)工廠的供應(yīng)鏈和環(huán)境條件做出決策時，IIoT有許多改進(jìn)因素?！坝捎谠跊]有OT主題專家在其領(lǐng)域的聲音和治理會議的安全性的情況下選擇了不正確的產(chǎn)品或設(shè)計(jì)，”他補(bǔ)充說，“IIoT會妥協(xié)OT/ICS?！?

“正確的方法是在制藥工業(yè)現(xiàn)場實(shí)施與OT相關(guān)的安全框架，如 ISA 62443或 NIST 800-82等，”Duffy 說?！斑@些框架支柱不僅指導(dǎo)而且提供關(guān)于識別庫存態(tài)勢感知、檢測、安全 OT/ICS 培訓(xùn)、備份/恢復(fù)和風(fēng)險評估關(guān)鍵資產(chǎn)（如服務(wù)器、PLC、SCADA及其在制造現(xiàn)場的數(shù)據(jù)流）的說明。通過保護(hù)制造業(yè)務(wù)的可用性，這可以挽救生命并保持關(guān)鍵藥物的可用性。

Fortinet醫(yī)療保健領(lǐng)域首席信息安全官Troy Ament告訴Industrial Cyber，制藥行業(yè)面臨許多網(wǎng)絡(luò)安全挑戰(zhàn)，包括網(wǎng)絡(luò)復(fù)雜性、老化的OT環(huán)境與IT融合、不斷擴(kuò)大的攻擊面、不同IT戰(zhàn)略的并購、網(wǎng)絡(luò)安全技能短缺、內(nèi)部威脅以及合規(guī)義務(wù)，同時需要保持在全球大流行期間加快創(chuàng)新步伐。

Ament認(rèn)為，制藥行業(yè)對新技術(shù)的日益關(guān)注正在幫助組織更具創(chuàng)新性，但這也增加了他們的風(fēng)險并擴(kuò)大了他們的攻擊面?！拔锫?lián)網(wǎng)使制藥公司能夠改善對患者數(shù)據(jù)和文檔的訪問，監(jiān)控行業(yè)趨勢并管理設(shè)備。然而，連接設(shè)備的數(shù)量增加了攻擊面，并帶來了新的隱私挑戰(zhàn)，為黑客利用組織系統(tǒng)中的漏洞提供了更多機(jī)會。

Ament 表示，IIoT給制藥公司帶來了額外的機(jī)會和風(fēng)險，因?yàn)樗梢蕴岣呱a(chǎn)速度、優(yōu)化流程和能源效率，但會進(jìn)一步擴(kuò)大攻擊面并引入新的安全威脅。這種對云技術(shù)的日益依賴，從混合云環(huán)境到多云環(huán)境，進(jìn)一步擴(kuò)展了公司需要保護(hù)的接觸點(diǎn)，這增加了數(shù)據(jù)泄露的風(fēng)險。

“更令人擔(dān)憂的是，IIoT 的互連性意味著這些入口點(diǎn)中的任何一個都可以用作更關(guān)鍵系統(tǒng)的網(wǎng)關(guān)，”Amado說?！皳Q句話說，硬件攻擊工具可以插入計(jì)算機(jī)（更容易訪問），并通過橫向移動，瞄準(zhǔn)OT的一個組件。這些設(shè)備的隱蔽性意味著它們甚至可以繞過最嚴(yán)格的安全措施，包括氣隙隔離和零信任。

Ament 說，制藥公司面臨著多種且不斷發(fā)展的網(wǎng)絡(luò)威脅，包括合規(guī)需求、國家贊助的攻擊者以及日益增加的網(wǎng)絡(luò)復(fù)雜性。“與其嘗試單獨(dú)解決每個問題，更好的計(jì)劃是采用全面的架構(gòu)方法來解決網(wǎng)絡(luò)安全問題。這種方法提供了自動化、可見性和對威脅的快速響應(yīng)，可以輕松證明合規(guī)性并擊敗攻擊者，”他補(bǔ)充道。

Ament表示，制藥公司需要著眼于構(gòu)建一個框架，以幫助保護(hù)數(shù)據(jù)、限制數(shù)據(jù)訪問、改進(jìn)數(shù)據(jù)恢復(fù)、保護(hù)軟件、硬件和物理設(shè)備，并提高員工意識?！熬W(wǎng)絡(luò)安全平臺方法對于幫助啟用一些有助于保護(hù)當(dāng)今混合工作環(huán)境的重要技術(shù)至關(guān)重要，例如零信任網(wǎng)絡(luò)訪問和安全SD-WAN，”他補(bǔ)充說。

Sepio Systems網(wǎng)絡(luò)研究負(fù)責(zé)人 Jessica Amado告訴 Industrial Cyber，制藥行業(yè)處理需要高度特定條件（例如特定溫度和壓力）的極易揮發(fā)化學(xué)品?！皩@些條件的任何改變都會產(chǎn)生極其有害的后果，并蔓延到物質(zhì)世界。例如，想象一下COVID疫苗的制造過程略有改變。即使是最小的變化也可能導(dǎo)致災(zāi)難性的影響，如果只是非常輕微地操縱它，它可能會被忽視。

Amado認(rèn)為，現(xiàn)在，COVID疫苗可以被用作一種非常非常危險的武器，因?yàn)樗环职l(fā)給全世界數(shù)百萬人。當(dāng)然，這種情況可以應(yīng)用于任何藥物或藥品，但這是制藥行業(yè)面臨的極其獨(dú)特的挑戰(zhàn)，如果管理不當(dāng)，可能會導(dǎo)致致命的后果。

數(shù)字化的便利性及其以分析為主導(dǎo)的數(shù)據(jù)管理和技術(shù)突破已導(dǎo)致制藥行業(yè)的傳統(tǒng)OT設(shè)備和系統(tǒng)與IT網(wǎng)絡(luò)融合。重新調(diào)整將過時的OT系統(tǒng)暴露于更廣泛的威脅面，從而導(dǎo)致IT/OT融合，從而削弱此類設(shè)施的網(wǎng)絡(luò)安全態(tài)勢。

根據(jù) Amado 的說法，Stuxnet 是基于硬件的攻擊如何對ICS造成物理損害的最著名的例子之一，如果還沒有的話，同樣的技術(shù)很容易被應(yīng)用于制藥行業(yè)。

鑒于制藥行業(yè)的關(guān)鍵組成部分以研發(fā)投資、知識產(chǎn)權(quán)、臨床和專利數(shù)據(jù)的創(chuàng)新為中心，因此必須迅速采取適當(dāng)?shù)姆椒ê筒呗詠肀Ｗo(hù)數(shù)據(jù)、服務(wù)器和知識產(chǎn)權(quán)免受網(wǎng)絡(luò)攻擊。

Amado認(rèn)為，在制藥行業(yè)實(shí)施的正確方法和策略是訪問控制，大多數(shù)制藥實(shí)體都知道這一點(diǎn)?！暗?，關(guān)鍵是確保正確執(zhí)行訪問控制。正如我所提到的，硬件攻擊工具繞過了氣隙和零信任安全協(xié)議。換句話說，即使可能存在訪問控制，如果它們受到破壞，它們也是無效的，”她補(bǔ)充說。

不言而喻，隨著攻擊面擴(kuò)展到傳統(tǒng)邊界之外，資產(chǎn)可見性和訪問控制也必須這樣做?！捌髽I(yè)不能再在他們的直接邊界內(nèi)執(zhí)行他們的安全措施并假設(shè)他們受到保護(hù)。員工在遠(yuǎn)程工作時使用的設(shè)備怎么樣？當(dāng) BYOD在辦公室外使用時會怎樣？訪問控制必須適用于這些領(lǐng)域，這意味著資產(chǎn)可見性也必須這樣做，”她補(bǔ)充道。

如何監(jiān)管？

鑒于2021年在關(guān)鍵基礎(chǔ)設(shè)施領(lǐng)域觀察到的勒索軟件趨勢增加，社區(qū)內(nèi)部和全球政府行政部門對網(wǎng)絡(luò)安全威脅的認(rèn)識不斷提高。上個月，美國政府發(fā)布了其水部門行動計(jì)劃，以保護(hù)國家的水資源免受網(wǎng)絡(luò)安全攻擊。

Duffy 在評估制藥行業(yè)的法規(guī)是否會很快出臺時說，“OT網(wǎng)絡(luò)安全法規(guī)可以作為對安全框架的內(nèi)部或外部審計(jì)的一部分，許多外部公司都提供這項(xiàng)服務(wù)?！?

“我認(rèn)為這將在不久的將來成為生命科學(xué)制藥行業(yè)的常態(tài)，OT/ICS安全態(tài)勢將與網(wǎng)絡(luò)安全工廠驗(yàn)收測試 (CFAT) 和網(wǎng)絡(luò)安全現(xiàn)場驗(yàn)收 (CSAT) 測試的質(zhì)量一起進(jìn)行測試，”Duffy說?！昂喜①|(zhì)量驗(yàn)證測試和安全測試，為OT資產(chǎn)在一天結(jié)束時運(yùn)行和執(zhí)行監(jiān)管任務(wù)奠定堅(jiān)實(shí)的基礎(chǔ)，”他補(bǔ)充說。

“我們這樣做，尤其是在合規(guī)方面，”Ament說?！半S著醫(yī)療保健監(jiān)管要求的演變和變得更加復(fù)雜，手動實(shí)現(xiàn)網(wǎng)絡(luò)范圍的可見性和執(zhí)行所需的安全控制的難度只會增加。此外，證明合規(guī)性可能很耗時，尤其是當(dāng)網(wǎng)絡(luò)由不共享報告功能的不同點(diǎn)產(chǎn)品組成時，”他補(bǔ)充道。

據(jù)Ament稱，傳統(tǒng)上，制藥公司將其安全工作重點(diǎn)放在滿足合規(guī)性要求上?！暗F(xiàn)實(shí)情況是，大多數(shù)組織都在努力證明全面的合規(guī)性——隨著數(shù)字化的發(fā)展，數(shù)據(jù)完整性是一項(xiàng)重要的新要求，”他補(bǔ)充道。

Amado說，現(xiàn)有的法規(guī)適用于制藥行業(yè)，但它們通常已經(jīng)過時、范圍有限，或者旨在適用于整體醫(yī)療保健。“因此，制藥公司絕對是時候收到關(guān)注當(dāng)前和未來威脅形勢的更新、全面的法規(guī)了。我們已經(jīng)看到美國和英國等多個國家增加了對網(wǎng)絡(luò)安全的關(guān)注，特別是在關(guān)鍵基礎(chǔ)設(shè)施領(lǐng)域，”她補(bǔ)充說。

“由于制藥行業(yè)屬于關(guān)鍵基礎(chǔ)設(shè)施，我希望針對這一特定行業(yè)的法規(guī)能夠得到出臺，Amado表示。“然而，監(jiān)管通常是在一系列重大事件之后出臺的，因此很難預(yù)測這些監(jiān)管何時會實(shí)現(xiàn)。但在網(wǎng)絡(luò)安全方面，主動出擊應(yīng)對總是會好于被動應(yīng)對，”她總結(jié)道。

原文鏈接：https://industrialcyber.co/threats-attacks/bolstering-cybersecurity-posture-of-critical-pharmaceutical-industry/