Wat is een geïsoleerde herstelomgeving?
Naarmate ransomware evolueert, zijn traditionele back-up en noodherstel alleen niet voldoende. We weten dat ransomware in opkomst is, waarbij het aantal aanvallen jaar na jaar toeneemt, en we zien dat niet snel veranderen. Wat kunnen organisaties nog meer doen om zichzelf te beschermen? Dat is waar het verbonden concept van opslagruimte, cleanroom en IRE in het spel komt.
Bij Vaulting worden back-ups naar een externe locatie met een luchtopening gestuurd, zodat deze niet worden beïnvloed door cyberaanvallen of rampen. Wanneer een organisatie klaar is om de activiteiten te herstellen, kan zij gebruik maken van een cleanroom: een veilige omgeving waarin meerdere partijen gezamenlijk gegevens en systemen kunnen analyseren zonder het risico van herinfectie. In de cleanroom kan het team herstel en analyse uitvoeren om te zoeken naar markeringen die aangeven dat de ransomware geen invloed heeft gehad op de back-up. Ten slotte kan het IT-team in IRE alles daadwerkelijk herstellen, zodat sommige gebruikers weer toegang krijgen, zodat de organisatie haar activiteiten kan voortzetten. Dit is niet bedoeld als een volledige productie; die later komt nadat de gebeurtenis voorbij is.
De implementatie van Epic IRE is echter uniek en functioneert iets anders dan typische IRE’s. Epic heeft zijn eigen database-mirroring-architectuur voor noodherstel. In wezen doet Epic geen opslag en gebruikt het IRIS-mirroringtechnologie om IRE in te stellen en gegevens gesynchroniseerd te houden met de productie.
Houd er rekening mee dat hoewel Epic doorgaans tientallen apps van derden heeft geïntegreerd, deze niet beschikbaar zullen zijn op IRE. Het elimineert deze toepassingen en levert alleen gegevens om de bedrijfsvoering draaiende te houden, de patiëntenzorg voort te zetten en de inkomsten binnen te laten komen tijdens een incident. Het is eigenlijk gewoon webtoegang of mobiele internettoegang. Dit kan worden beschouwd als het minimaal haalbare Epic.
VERWANT: Zorgorganisaties moeten prioriteit geven aan de veerkracht van klinische diensten.
Wat moeten gezondheidssystemen weten over het opzetten van Epic IRE?
Het eerste dat moet worden overwogen, is of de organisatie de gehoste IRE-omgeving van Epic gebruikt of zelfhosting in de cloud. Cloudopties zijn zinvol voor veel gezondheidszorgsystemen vanwege hun vermogen om naar behoefte te schalen en te betalen met operationele middelen in plaats van met grote kapitaalinvesteringen.
Voor andere toepassingen kan opslagruimte en schone ruimte nodig zijn als onderdeel van het herstelproces. Veel organisaties kopen producten om hun omgeving aan te passen en opslag, cleanroom en IRE-organisatie te vergemakkelijken.
Een andere factor waarmee rekening moet worden gehouden, is dat de meeste Epic-systemen voor authenticatie aan Active Directory zijn gekoppeld. Tijdens een cyberaanval is het waarschijnlijk dat Active Directory uitvalt; organisaties krijgen een exemplaar van Epic van derden, zonder dat ze hoeven in te loggen. Voor organisaties kan dit een grote uitdaging zijn, maar er zijn verschillende mogelijkheden.
De eerste is het terugvallen op de originele authenticatie van Epic. Dit kan echter betekenen dat wachtwoordresets op grotere schaal moeten worden uitgevoerd, en dat de organisatie geen multifactor-authenticatie zal hebben, tenzij dit is ingeschakeld in de native multifactor-oplossing van Epic. Dit betekent dat de organisatie waarschijnlijk snel duizenden mensen zal moeten aanmelden voor MFA.
De andere opties zijn vrij nieuw. Epic is onlangs begonnen met het aanbieden van OpenID Connect, waarmee organisaties Epic kunnen koppelen aan Okta of Microsoft EntraID voor eenvoudigere MFA. Dit jaar hebben we niet veel organisaties in deze richting zien evolueren, maar we verwachten dat de verschuiving de komende twee jaar zal plaatsvinden, omdat het de toetredingsdrempels verlaagt en aansluit bij de meeste identiteitsvolwassenheidsmodellen.
