LAS VEGAS – El FBI y el Departamento de Seguridad Nacional siempre han recomendado no pagar cuando los ciberdelincuentes exigen depósitos de bitcoins exorbitantes para descifrar archivos incautados por ransomware.
Pero en un entorno de atención médica, donde la continuidad es fundamental y, a menudo, una cuestión de vida o muerte, ese consejo no es tan sencillo.
Durante un discurso de apertura de HIMSS21 el martes por la mañana, un grupo de expertos en seguridad debatió una pregunta crucial que cada vez más organizaciones de atención médica se han estado preguntando recientemente: ¿pagar o no pagar?
El panel: el almirante retirado Michael S. Rogers, ex director de la Agencia de Seguridad Nacional y ex comandante del Comando Cibernético de Estados Unidos; Alex Stamos, socio fundador de Krebs Stamos Group y ex jefe de seguridad de Facebook y Yahoo; Michael Coates, cofundador y CEO de Altitude Networks y ex CISO de Twitter; La analista israelí de ciberseguridad, autora e investigadora Keren Elazari; y Jigar Kadakia, director de seguridad de la información y privacidad de Mass General Brigham, todos tenían opiniones diferentes sobre el tema.
“No existe una prohibición legal amplia en los Estados Unidos de que una empresa pague un rescate, con una excepción notable”, señaló el almirante Rogers. “Es ilegal pagar un rescate a un grupo, individuo, estado nacional o entidad que ha sido sancionada, ya sea por Estados Unidos, las Naciones Unidas o cualquier otro organismo internacional”.
Pero si paga “debería ser una conversación diferente a la que debería hablar con estas personas”, agregó Rogers.
“Siempre digo que debería hablar con los delincuentes, por dos razones: una, puede darle tiempo, tiempo para ayudar a sus defensas y ayudar a su organización a responder, y dos, a veces puede ser una fuente de información sobre lo que este actor ha hecho.”
Si bien el exjefe del Comando Cibernético señaló que su “preferencia personal y profesional siempre ha sido no pagar”, reconoció que hay “algunas circunstancias en las que algunas organizaciones piensan que es lo apropiado. Creo que es apropiado cuando estamos hablar de vida o muerte, y eso es ciertamente un desafío dentro del campo de la salud “.
¿Su consejo? “En lugar de tener un ‘siempre’ o un ‘nunca’ concreto, piense en los criterios que utilizará para tomar esa decisión, en caso de que se encuentre en una crisis de ransomware”.
Stamos adoptó una opinión diferente, argumentando que los pagos de ransomware deberían ser ilegales en la mayoría de los casos.
“El gran genio maligno del ransomware es que, en la micro imagen, si eres una víctima y has venido el lunes por la mañana, tus servidores de intercambio están bloqueados y ninguno de tus sistemas funciona, y la gente ha no tengo idea de qué demonios están haciendo ese día, y tienes una alerta de rescate que dice: ‘Tenemos todos tus datos’. Casi siempre tiene sentido pagar “, explicó.
“Para todas sus partes interesadas, sus empleados, sus accionistas, en este caso sus pacientes, probablemente tenga sentido pagar”, dijo.
“Y esa es la genialidad: todos los incentivos están alineados en que probablemente sea más barato pagar un par de millones de dólares. Porque en el momento en que llama a un DFIR [digital forensics and incident response] empresa y asesores externos, ya tiene siete cifras de facturación. Así que es más barato pagar “.
Por eso “tenemos que prohibir los pagos de rescate”, dijo.
“En general, hoy en día, las empresas no enfrentan sanciones legales por esto. El FBI dice que por favor no pague. Pero no tienen forma de hacer cumplir eso”. Y en el momento no vas a seguir ese consejo “.
Ahí es donde debería entrar la Oficina de Control de Activos Extranjeros, dijo Stamos, refiriéndose al brazo de inteligencia financiera y cumplimiento del Departamento del Tesoro de Estados Unidos, que aplica sanciones comerciales para respaldar la seguridad nacional de Estados Unidos.
“Lo que me gustaría ver es que me gustaría ver a los 10 mejores, los 20 mejores equipos de ransomware, todos designados como actores de la OFAC”, dijo. “Si bien eso técnicamente no prohibiría todos los pagos de rescate, prácticamente lo haría porque no tendría idea si está operando con uno de esos en esa capacidad.
“Esa es la única forma en que podemos alterar el equilibrio económico aquí, porque la economía está funcionando demasiado bien en el lado de los atacantes”.
Elazari estuvo de acuerdo en que “es el crimen perfecto, el ransomware. Robamos su acceso a su información y, si no nos paga, le daremos su información a todos los demás”. Y no creo que eso vaya a desaparecer pronto. Es muy exitoso y recién están comenzando. Están evolucionando, son sofisticados, cambian sus métodos todo el tiempo “.
Su consejo para las organizaciones de atención médica que se encuentran en la mira de los piratas informáticos: “Si está considerando pagar, definitivamente negocie. Por lo que he visto, hay muchas ocasiones en las que negociar puede reducir el precio a la mitad o reducirlo a una cantidad manejable .
Al mismo tiempo, Stamos bromeó, “es sorprendente lo mal que negocia la gente del ransomware. Tirarán un número de Dr. Evil como $ 50 millones de dólares”.
“Le daremos $ 2 millones. ‘Está bien'”, dijo Elazari riendo.
“En el proceso de negociación, aprende más. Aprende sobre sus motivaciones, aprende quizás detalles que podrían ayudar en la investigación y ejecución”.
“Ciertamente, creo que tenemos que estar más preparados”, agregó. “No lo hagas solo. Ese es mi mensaje. Descubre quién eres y confía para asociarte. Necesitas saber quiénes son tus Cazafantasmas, para saber a quién llamarás cuando suceda algo”.
“Uno de los desafíos aquí es que algunas de las habilidades que se necesitan están fuera del ámbito de lo que la mayoría de las organizaciones tienen dentro de ellas”, dijo Rogers. “La mayoría de las organizaciones no tienen personas que conozcan las carteras de bitcoins o que estén familiarizadas con el tema de la negociación.
“Una de las cosas en las que debe pensar de antemano es cuáles son las habilidades, cuáles son las capacidades para hacer con el ransomware que tienen que obtener del exterior”, dijo.
Los hospitales y los sistemas de salud se encuentran en una posición única y desafiante cuando se trata de ransomware, reconoció Coates.
“El objetivo de su organización es proteger vidas y seres humanos. Y debemos reducirlo a esa pregunta. Es la continuidad. Es necesario que los sistemas estén en funcionamiento. Es necesario salvar vidas. Cuando se encuentra en esa situación, sí, puede tener sentido pagar el rescate “.
Su consejo: “Si no estás en esa situación ahora, usa ese espacio para respirar para idear un plan de ataque de antemano”.
.: @MikeMiliardHITN
Envíe un correo electrónico al escritor: [email protected]
Healthcare IT News es una publicación de HIMSS.