首页 > 资讯 > 科技 > 正文
2022-10-28 14:40

永远不要支付赎金——一位网络安全CEO解释了原因

2022年网络安全周的一部分


本期解码器的额外节目是The Verge网络安全周的一部分,请查看。

史蒂夫·卡格尔是Clearwater Compliance的首席执行官,该公司是一家专注于医疗保健行业的网络安全公司。基本上,勒索软件锁定了医院的计算机系统,其中包含大量的个人数据,而且是非常关键的任务,因此勒索软件攻击者知道,医院更有可能直接付钱。

史蒂夫告诉我,在医院系统中有太多的个人信息,一个病人的记录可以比其他类型公司的整个数据集卖得更高。而且,如果说加密货币的爆炸式增长取得了什么成就的话,那就是它让勒索软件攻击变得更容易,对坏人来说也更有利可图。

史蒂夫和清水合规公司试图阻止坏人访问病人的数据。他的公司有一个巨大的市场需要解决,就像每个行业一样,这里有竞争和整合。史蒂夫告诉了我们这些。

为清晰起见,本文经过了轻微编辑。

史蒂夫·卡格尔是Clearwater Compliance的首席执行官。欢迎来到解码器。

谢谢你们今天邀请我。

我们的公司nversation是The Verge网络安全周的一部分,实际上是两周——这是对一周的一个非常宽松的定义。我们和很多人谈过关于网络安全,探索这个巨大产业的不同部分。让我们快速开始:Clearwater Compliance是做什么的?

Clearwater是一家为医疗保健和其他受监管行业提供网络安全、隐私和合规解决方案的供应商。我们特别关注医疗保健,我们认为这是一个生态系统。Clearwater有不同的实践,专门从事医院系统、医生实践管理组、数字卫生和卫生IT。我们帮助客户实现他们的使命,将他们转移到一个更安全、更合规和更有弹性的状态。

让我来解释一下。有医院系统,这是合作的不团结,成为更大的公司。还有医生小组。所有这些人都有电脑和电子设备尼克的医疗记录系统你进来说,“我们要让他们更安全。我们将为您运行所有的IT。”你为这些公司具体做了什么?

收听Decoder,这是一个由The Verge网站的尼雷·帕特尔主持的节目,讨论一些伟大的想法和其他问题。在这里订阅!

为了帮助我们的客户应对保护其关键的、受保护的数据和组织的挑战,我们首先要帮助他们更好地了解风险。这是一个非常复杂的过程,特别是在医院、卫生系统、大型提供者组织,甚至在正在实施新技术的数字卫生公司。要真正保护组织的敏感信息和操作是非常困难的。

要做到这一点,你必须了解你的风险在哪里。我们首先要做的是帮助组织确定那些关键的信息系统是什么,并了解他们目前可能采取的控制类型。然后,我们研究这些系统的具体漏洞,以及适用于这些系统的威胁,我们帮助他们了解攻击或破坏发生的可能性有多大,以及这将如何影响他们的组织。

从那里,我们帮助组织做出更好的决定,关于他们应该做什么来解决这些挑战或解决那些特定的风险。我们也在执行模式中帮助他们通过建立程序来运行和管理在持续的基础上通过做一些其他更多的战术活动参与其中。特别是在医疗保健领域,遵从性是等式的重要组成部分。我们不仅帮助企业应对网络安全风险,还帮助他们做必要的事情,以遵守适用于他们的各种法规。

我们会有一整段时间“你给我解释一下什么是HIPAA(健康保险携带与责任法案)。这会很棒的。我很期待这个问题的到来。

当你谈到这一系列的事情时,每次我听到一个安全人员说,“我们评估风险”,我就会想到电影《运动鞋》的开头,罗伯特·雷德福的公司想出了如何闯入银行,然后他们去告诉银行如何保护自己。你在做笔试吗?你是否发现,“好吧,这些是你系统中的漏洞。我们已经利用了它们,我们可以修复它们。”还是更稳重一点?

这绝对是其中的一部分。当我们想到风险管理时,它是一个持续的项目。这一点非常重要。任何类型的组织,如果有需要保护的东西处于危险之中,就会考虑到风险。我们在很多领域都考虑到了这一点,不仅仅是在网络安全方面。我们考虑如何保护我们的组织免受诉讼或环境风险,等等。

当谈到网络安全风险时,你必须从考虑信息资产开始。这些不一定是实物资产;这是非常敏感和非常有价值的数据,人们想要得到它。你也会考虑到你的运营的风险和你继续运营的能力如果你没有这些信息系统的话。

我们需要考虑的第一件事是,“这些系统是什么?对我们的业务真正重要的皇冠上的宝石是什么?”然后我们需要思考,“我们如何评估对他们的风险?”笔测试,就像你提到的,是你可能会做的一件事来测试你的控制有多强或多有效以及组织在关闭漏洞方面有多好。你可以进行不同级别的笔试。

还有其他类型的事情你要做作为你的风险管理项目的一部分,通过观察已经到位的控制本身和非常具体的漏洞。这不仅仅是来自外部的攻击者,也可能是来自内部的人。我们今天在医疗保健中看到的一个真正的大问题是内部威胁——人们认识到信息的价值,窃取信息,并出售它。

你在考虑风险管理。你要考虑的是从治理结构中定义你将如何做,以及你的风险阈值实际在哪里。然后你就真正建立了一个过程,在持续的基础上做到这一点。您正在识别资产、评估控制、评估威胁和漏洞以及这些控制的有效性,并最终确定您的风险,然后通过风险管理计划在持续的基础上管理它。

所以,是的,笔测试是其中的一部分。风险分析,我刚刚说过,是其中的一部分。还有其他类型的安全活动,我们希望在持续的基础上进行,比如漏洞管理等等。

当你说话的时候关于有价值的数据,是病人的数据吗?是账单数据吗?是数据吗?关于上个月接种疫苗的人数?在医疗保健系统中,您试图保护的具体数据是什么?

它实际上是任何类型的敏感数据,但特别是在医疗保健领域,我们想到了所谓的epou,它是电子保护的健康信息。这是HIPAA的条款之一。其实就是你刚刚描述的所有不同类型的信息。这在HIPAA中有很好的定义,并且有特定的标准来定义epi。

这些数据非常有价值,因为就所包含的信息类型而言,它极为丰富。你显然有你的个人信息,通常是社会保险号,医疗记录,保险信息。犯罪分子在暗网上购买这些信息,以便获得处方药,这可能是毒品交易的一部分。还有医疗保险欺诈。信用卡信息显然也是其中的一部分。这是非常丰富和可靠的信息可以用来为罪犯创造经济利益。这才是真正的动力。

网络罪犯的另一个动机是他们想通过勒索软件敲诈钱财。如果他们正在攻击医疗保健组织并破坏其操作,那么这将成为医疗保健组织的患者安全问题。如果他们攻击的是向供应商提供技术的数字健康或健康IT公司,那么他们仍然在中断服务。这种类型的组织可能有几十或几百个客户,所以你只是增加了他们拥有的数据量,这使他们成为一个非常有趣的目标。

这是非常有价值的数据。只是给你一个参考框架,在暗网上,一个受保护的电子健康记录可能高达每条记录1000美元,而相比之下,一个社会安全号码或信用卡记录只要几美元。我是说,你可以更改你的信用卡信息。显然,你不能用你的社会安全号码做到这一点,但医疗信息有很多不同的组成部分。你把这些信息放在一起,它就变得非常非常有价值。

我们说的是HIPAA涉及的具体数据。您运行一个符合HIPAA的供应商。给我30秒的时间来定义HIPAA是什么以及它是如何运作的。

当然。顺便说一句,Clearwater公司是在合规的基础上成立的。HIPAA在2009年是一个很大的推动因素,当时许多监管出台了HITECH法案(卫生信息技术促进经济和临床健康)。我们不需要深入讨论这个问题,但这需要HIPAA的两大组成部分——这仍然没有太大的改变。

首先,我们要确保信息是可移植的,并且可以共享。医院和卫生系统使用电子健康记录(EHR),使我们的数据更加数字化,这是一个很大的推动。我们还想确保患者能够访问这些数据——这是HIPAA非常重要的一部分——我们也要保护这些信息。我们确保了它的隐私和安全。简言之,这就是HIPAA的内容。

就Clearwater而言,虽然HIPAA一直是我们工作的一大推动力,但在这一点上,网络安全已成为最大的推动力。在过去十年左右的时间里,还有其他类型的法规也发挥了作用,比如关于隐私和安全的州法规。我们也有合同义务,在某些情况下,甚至比规章本身更加严格。我只是想区分一下,虽然HIPAA仍然非常重要,是一个很大的驱动力,但它只是医疗保健组织在合规和管理其安全项目方面必须处理的许多事情之一。

我只是认为HIPAA是那些实现了健康记录电脑化目标的项目之一,让人们可以在手机上查看这些记录,并使使用电子设备更容易尼克记录给你的其他医生或者完全换医生。这些都是好的。“我们做了一个数据库se。我们将创建那个数据库在某种程度上是安全的。我们会给你,客户,访问数据库的权限se.” 

在解码器上,我们总是说关于o既然你把电脑加到东西里,你就继承了电脑的所有问题。我的医疗记录还在医院的纸质档案里在医院里,我很难到达,但其他人也很难到达。我们在这条链上添加了电脑,这样我就可以更容易地接触到它们。现在你会说:“天哪,我们从遵守HIPAA转向了网络安全。”好像这只是个公司计算机化健康记录的顺序。

我认为这是对的。如果你看看大流行期间的一些趋势,我们在过去几年里大幅加速了数字化的采用。这是对危机的迅速反应。在这种情况下,作为一个行业,我们不必经历所有的典型步骤。即使在最好的情况下,我们在医疗保健方面可能也做得不够多。但在这个案例中,人们对这些新技术的应用非常迅速。

现在在家工作的人可以使用这些数据。现在,除了HIPAA,我们还需要促进互操作性。我们需要更公开、更安全地与其他医疗保健和技术提供商共享信息。

医疗保健领域技术格局的巨大变化导致了更多的漏洞和更多的数据。我们保护的信息比以往任何时候都要多。你有了这种双重效果,现在又引入了威胁行为者。2021年,勒索软件攻击增加了123%,去年的网络攻击翻了一番。管理环境变得越来越复杂。有更多的风险,更多的人更快更协调地向你走来。这是一个不断发展的领域,需要随着时间的推移不断进行管理。

让我们谈谈关于勒索软件的事。这是勒索软件攻击的漫长一年,加密病毒特别是Sed勒索软件攻击。这仍然是一个问题吗?它和以前一样糟糕吗?这个行业开始搞清楚了吗?

当然,这仍然是一个大问题。2020-2021年期间,医疗机构遭受了160次勒索软件攻击。今年,我们继续看到勒索软件攻击。目前还没有宣布这是一起网络安全事件,但美国第二大非营利性连锁医院CommonSpirit现在正在经历一些事情。他们关闭了IT系统。另一起勒索软件攻击发生在德克萨斯州一家名为奥克本德医疗中心的组织。所以现在,有医疗保健提供者在处理勒索软件攻击。

这是个大问题。医疗保健提供者是最有可能真正支付赎金的组织。勒索软件攻击者非常清楚这有巨大的影响。你拿不到医疗记录,拿不到检测结果,你不得不推迟程序,你不得不让救护车从急诊室转走。这对医疗质量造成了严重影响,而袭击者还会继续作案,因为他们知道自己更有可能很快拿到钱。

即使你拒绝支付,你仍然有他们将暴露或出售你的数据的威胁。

然后再加上双重敲诈。现在你不仅受到了勒索软件的攻击,他们还窃取了数据。即使你拒绝付钱,你说,“我只是要从备份中恢复所有的东西,或者做任何我需要做的事情来恢复我的系统联机”,你仍然有他们将暴露或出售你的数据的威胁。有时候,即使你付了钱,他们还是会暴露你的数据。这是一个非常非常困难的问题,特别是在医疗保健领域,当你考虑到数据的敏感性,当然,还有医疗服务的提供时。

数据不是在医疗系统内部加密了吗?如果你把数据拿出来,他们怎么解密?

它并不总是加密的。这是挑战的一部分。即使是这样,你在很多勒索软件攻击中看到的是,它们从获取员工证书开始。这是这些攻击最常见的开始方式。一旦他们通过某种社会工程或网络钓鱼获得访问权限,其中有人被欺骗提供了他们的证书,如果组织没有适当的安全控制在适当的地方,如多因素认证或其他控制,那么他们就可以进入组织。然后,当然,他们可以开始横向移动。

并非所有东西都是加密的。不过现在,大多数笔记本电脑都是加密的。你不太可能像5到10年前那样,看到通过偷来的笔记本电脑造成的数据泄露。但可以肯定的是,一旦你进入了组织内部,你有了这些证书,就有很多机会利用漏洞,继续横向移动,然后窃取数据或在勒索软件攻击中束缚组织。

你和供应商的关系是什么?假设一个攻击者攻击了一个医院系统,他们锁定了系统,加密了数据,然后说,“如果你想要回这些数据,如果你想继续经营你的医院,就把钱给我们。”医院大多使用Windows操作系统,然后他们在Windows上运行EMR软件,可能来自Epic或其他公司。发生袭击时,是清水镇去找小贩吗?微软曾经参与过吗?这是怎么做到的?

Clearwater并没有处理攻击本身,尽管我们有合作伙伴可以帮助我们的客户度过这个过程。大多数医疗保健组织应该有适当的政策、程序和计划来处理这些类型的情况。今天在网络安全方面有很多共同的责任,因为许多组织现在都在云计算中,使用第三方软件,他们依赖于供应商在适当的地方进行安全控制。医院,付款人,甚至有自己的供应商的供应商本身,都应该对他们的供应商安全计划进行评估。他们应该了解如何保护数据。

如果出现第三方泄露——这在医疗保健和其他行业是一个巨大的问题,因为我们现在信任第三方的信息太多了——不幸的是,您要依靠该供应商来处理这种情况。仍然是被覆盖的实体、提供者或付款人必须处理向公民权利办公室(OCR)的报告,并有责任处理向患者的通知。

所以,假设发生了一起袭击事件,观看袭击的人会说,“哦,该死,我们被袭击了。”接下来会发生什么?

这是个好问题。首先也是最重要的是,你要试图遏制攻击,并试图关闭它。实际上有一份很好的白皮书我们讨论了Tech Lock是如何将攻击者赶走的。假设你遭遇了勒索软件攻击,现在组织正在经历必须处理这个问题的过程。这一点非常重要。我们发现,那些做过事件反应练习的组织,那些用剧本来处理这些情况的组织,以及那些做过桌面练习的组织,将会为攻击做好更好的准备。

我们建议通过这个过程。你通常会让你的主管们在房间里,你需要回答一些问题,比如,“我们要给谁打电话?”如果你是一个较大的组织,你将遵循你的计划和程序。如果你是一个较小的组织,你可能会打电话给你的保险供应商,他们会带来一个法医团队来支持和帮助你。你还会问其他问题,比如,“我们要怎么向病人报告?”我们是否有合同义务报告的第三方信息?”我们现在可能还不知道是否有数据被泄露。

我们还需要决定是支付赎金还是试图恢复原状。“那要花多长时间?”其次是业务连续性。“在这段时间里,我们将如何管理和运营?”有来自媒体的问题,你的员工的问题,等等等等。这些决定必须迅速做出。如果你和很多人围坐在一张桌子旁,而你们之前从未进行过这些讨论,这可能会非常困难,也会非常有压力。这就是环境。在医院方面,当然有很多情况下,我们看到一些组织没有做好准备的影响。

我们已经谈过了要交几次赎金。你可以啊只有支付赎金,因为加密货币的存在。如果攻击者要求的是美元,那么攻击者就更容易被捕。

我还没见过有人拿手提箱去换东西什么的。

但这是真的,对吧?加密货币使勒索软件大规模攻击成为可能。密码已经坠毁;它不像以前那么有价值了,尽管它可能会回来。你认为勒索软件攻击的速度会随着加密货币的价格波动吗?

说实话,这并不是我特别关注的趋势。这是一个很好的观点。我不认为加密市场的波动一定会对我们所看到的攻击产生很大影响,特别是在医疗保健领域,仅看过去几个月我们所看到的情况。

这很有趣,因为要求赎金的网络攻击者会花时间思考这个组织愿意支付多少钱。他们向小组织要更少的钱,向大组织要更多的钱。他们很擅长发现,“好吧,让我们选一个他们可能会同意的金额。”他们在这方面非常聪明。我认为,随着市场的波动,他们可能也会考虑到这一点。

既然这种情况经常发生在医院,他们最终支付赎金,医院就只有比特币储备吗?他们现在都很擅长吗?这是怎么做到的?

我不认为是最近,但我确实听到有人说,“哦,是的,我们将有足够的比特币支付赎金。”我不认为这是一个好的策略,也不认为这是一个常见的策略。还有网络安全保险,这也是一个非常有趣的趋势。网络保险承保人在我们所看到的所有入侵和勒索软件攻击中获得了创纪录的赔付,因此,保费大幅上涨。在过去几年里翻了一番。

最重要的是,他们的要求非常高——真的没有别的词可以形容。他们要求你在签保单之前就有一定的安全控制措施,这给保险公司带来了更大的压力。这很好,因为它们变得更安全了,但基本上是一种千篇一律的方法。“你必须拥有这些东西,不管它们是不是对公司最好的东西。”留存率在上升,所以如果你有索赔,你就需要自掏腰包支付更多费用。限制在减少,而成本在上升。根据波耐蒙研究所(Ponemon Institute)的数据,在过去两年里,医疗系统漏洞的平均成本从700万美元上升到1,000万美元。

“如果你支付了赎金,他们几乎百分之百会再来。”

违约成本更高,你的保险更难获得,更贵,承保范围更小。这是一个非常具有挑战性的环境。解决方案回到风险分析和风险管理。您必须对组织中的风险进行非常严格、深思熟虑的评估和分析。然后你必须在你想把钱花在哪里的商业决策。如果你只是说,“它会发生的,所以我这里会有一些比特币”,那么如果你支付了赎金,它们几乎百分之百会再次出现。

真的吗?

FBI说过这句话;我听他们说了一遍又一遍。如果你向勒索软件支付赎金,他们知道你会支付赎金,所以他们会在某个时候回来再次尝试。这是一个非常艰难的决定,有时,没有其他选择。你必须协商一些事情,因为你没有一个好的选择,但你想让这些情况发生时尽可能地困难。

您希望有一个良好的业务影响分析,以了解如果发生这种情况,将对不同的业务流程产生什么影响。然后,您需要设计灾难恢复和业务连续性计划,测试该计划,然后测试事件响应。如果你做了所有这些事情,你就会减少入侵或勒索软件攻击的影响。

你mentioned联邦调查局。我想起来了,我们谈的大多是这是一种无法无天的无政府状态。攻击者出现了,所以现在你、高管和保险公司都参与进来了。警察也参与了吗?联邦调查局介入了吗?联邦调查局有没有说过,“嘿,现在付钱,下次他们再来的时候我们就能抓住他们了”?

除非联邦调查局改变立场,否则我相信他们会让你不要付钱。联邦调查局介入了,或者应该介入,所以我们建议我们的客户与当地的联邦调查局办公室建立关系。联邦调查局确实参与其中,特别是在医院和医疗保健提供者的案件中。这是一个关键的基础设施行业。首先应该打给联邦调查局。他们肯定会协助调查的。

他们正试图做一些事情来阻止这一切。那里有执法部门,这是非常困难的,因为很多攻击来自俄罗斯和世界其他地区,我们的执法部门无法真正运作。

最后的结局是什么?让我问你一个超级恶棍的问题。

确定。

你做你的事正是因为这些威胁,保险公司才赚了钱因为这些威胁。你看起来是个不错的人。我不认为你是超级恶棍。但如果你是超级反派,你就会资助袭击者,对吧?对于你,保险公司和其他服务提供者来说,这是一个激励循环,以确保威胁环境nment仍然很高。你怎么跳出那个圈子?你会如何结束它?

我认为我们的动机是帮助我们的客户获得安全。对我来说,让攻击者更难成功是我们的最终目标。我们希望让第三方成功攻击的难度越来越大,因为归根结底,这是经济问题。已经建立了一个完整的产业。有勒索软件即服务,附属机构,几乎像勒索软件的特许经营地点。这是有原因的。每个人都在赚钱。

这有点像你在金融行业看到的,这是一个非常成熟的行业,当谈到网络安全,你不会听说很多勒索软件攻击的金融机构,因为在控制和持续的风险管理方面有投资。这是否意味着银行没有受到攻击?当然不是。我相信攻击者仍在试图攻击他们看到弱点的行业,但他们真正将大量时间和精力集中在医疗保健、教育等领域——这些行业投资不足。

这里的终局是到达一个点,在经济上无法继续攻击你的公司或组织。去攻击别人,或者最终,如果他们都倒闭了那就太好了。我不认为这将会发生,但我们正试图让我们的客户达到一个成熟的程度,使他们很难发生这些事件。

我觉得我可以去找一家银行的CEO说,“嘿,我们需要在安全方面投资。”他们至少会明白没有什么把钱存在银行和投资于安全可以让坏人远离钱。你去找一家医院的首席执行官说,“嘿,你需要为任何云服务投资安全sed系统在整个医院的联想笔记本电脑上运行。”他们会问:“为什么?”这是问题所在吗?他们没看见狱警吗他们可能最终会付出很多钱内伊赎金?还是随着时间的推移而改变?

我认为在这个时代,每一位CEO当然都明白网络安全的重要性。我只是无法想象身处那种境地却浑然不觉。

嗯,有一个延迟。你描述的是银行在哪里医院是。

当然,这种情况正在改变。医疗保健行业面临着许多挑战。它采用技术的速度非常快,但在网络安全方面投资不足。不是很好,但事实就是这样。对许多医院和卫生系统来说,报销正变得越来越具有挑战性,他们在人员配备方面面临重大挑战,成本随着通货膨胀而上升,在许多不同地方花钱的压力也很大。当他们从整体上考虑整个组织的风险时,网络安全和被入侵或勒索软件攻击的风险是他们要处理的众多风险之一。

风险已经变得更大,对组织的影响也更大。不同的医疗保健提供者、其他组织和其他公司都经历过这种情况。他们目睹了这一切。他们已经看到了损失和破坏。它从“可能会发生这种事,我知道,但我现在有很多其他的事情要处理,”变成“哦,哇,正在发生这种事。”波耐蒙研究所(Ponemon Institute)的调查显示,89%的组织去年遭受过针对它们的网络攻击。几乎每个组织都受到了攻击。这正在发生,这就是为什么我们看到更多的投资在网络安全。

还有很长的路要走,这不会在一夜之间发生。这需要大量的时间、精力和资源。再说一次,我们认为我们在这方面帮助了我们的客户,为他们提供了他们没有的功能,并通过管理服务让他们的钱花得更多。这正是我们正在努力做的。

公司里发生的一件事很多谈话都是一个主题整合和医疗保健行业的压力。有很多co医疗保健行业的整合。大的医院集团在聚集,医生集团在聚集,你的公司也在聚集。这是帮助还是伤害?如果没有美国只有三家大型连锁医院,他们有能力击退攻击者吗?或者它们会不会有点臃肿和缓慢,所以攻击者会去追它们,因为它们是富有的目标?

从长远来看,这是有帮助的。我认为在短期内,会有一点破坏。不同的组织在不同的系统上聚集在一起,通过一个过程来集成这些技术。当你这样做的时候,你将组织暴露在更多的漏洞中。你如何解决这个问题?同样,在我们实施技术之前,你应该做风险分析。你应该经常做风险分析。

“你应该买我的产品。”

不管是我还是别人,他们都应该这么做。关键是,较小的组织将会有越来越难的时间来处理这个问题。他们的数据仍然很有价值。无论你是一家关键准入医院——只有25张病床或更少的医院——还是一个拥有数十家医院、诊所、门诊的大型综合配送网络,你都有非常有价值的数据,而且你愿意为此支付一定的费用。

现在,大多数小医院,小供应商,都没有安保人员。他们可能有一个IT人员负责一些安全责任。他们花了多少钱?医疗保健行业在安全方面的支出占IT预算的5%到7%,而金融行业在安全方面的支出占10%甚至更多。IT预算一开始就大得多,所以它是一个更大的数字的更大的百分比。对于小医院来说,这笔钱并不多。在努力应对这一挑战的过程中,共同努力无疑会创造出一定的效率或规模。

我们试图建议我们的客户,当他们做这些集成时,他们需要考虑很多关于管理的问题。他们应该建立自己的政策和程序,以确保组织在他们已经建立的框架和风险承受能力内运行,同时在单个医院层面给予他们一些灵活性,以在实地做正确的事情。我们将其称为基于原则的治理策略和过程框架,它在这些情况下非常有帮助。

我有mentioned说了好几次,感觉Windows就是这一切的幕后黑手。所有这些公司都使用Windows操作系统。我知道微软做得很好,但如果有更多的操作系统或更多的EMR软件供应商会有帮助吗?就好像在大公司里有这些巨大的攻击面,所以运行相同软件的大公司的数量在减少。如果你是一个俄罗斯勒索软件运营商,你可以集中精力,而不是说,“好吧,我们现在必须去弄清楚iOS 2或Linux。”

我认为市场上有竞争总是好的。这也有另一面。当你拥有多种技术时,你必须学会如何保护这些不同的技术。从攻击表面的角度来看,这是一个很好的观点——攻击者只需要学习一种技术。我认为你可以用两种方式来争辩。

你也是这样吗?你的团队我必须真的去想布特窗户吗?

不。当然,Windows将是一种常见的操作系统,但mac和移动设备也是我们必须考虑的操作系统。我们现在正在处理云技术,所以我们必须善于理解AWS、Azure、谷歌等等。所有这些都需要大量的专业知识。而是要跟上每天发生的事情。

这就是为什么有一个合作伙伴或顾问来做这件事很重要。您希望根据什么对业务最有利来做出决策,而不是“如果我在这里有多种技术,我必须学习如何单独保护所有技术。”这是一个重要的考虑因素,但理想情况下,您将拥有这种能力,无论是在内部还是外部。

你认为会一直上升到国家行为者的级别吗?比如,“天哪,帕伽索斯的NSO集团可以用iphone针对医生进行零点击攻击。我们必须将这一因素考虑到医院的风险状况中。”

我们必须考虑到这一切。当然可以。我们必须考虑所有我们认为与医疗保健市场尤其相关的威胁和漏洞。是的,当然。威胁情报和将其纳入到你对风险的思考中是另一个很好的点。

此外,从监控的角度来看,您将看到可能发生的不同技术和不同的妥协指标。你需要对这些有很好的理解。从监控我们使用的技术的角度来看,拥有好的技术有助于识别这些事情,编排它们,并将它们自动化,以便由分析师进行调查。

随着整个网络安全行业的发展,人们应该寻找的下一个东西是什么?

我们之前提到过。对于Clearwater来说,在整合方面还有很多工作要做,我们要为客户看到真正的价值。我认为我们已经看到了这一点,但我们有一个非常明确的愿景,要成为医疗保健网络安全的领导者。我们现在有了所有的部分,下一步是把它们放到我们的客户的项目中,为他们创造很多价值,让他们付出很多。我们非常关注这一点。

管理安全和检测,威胁检测和响应,是我们公司现在发展的重要部分。我们将这些技术、这些评估和我们为客户做的其他事情结合在一块玻璃上。这是我们最终想要的,这样客户就能对组织中发生的事情有一个单一的看法。

我们没有过多地讨论医疗设备安全,但对于医疗保健领域的安全专业人员和临床专业人员来说,这确实是一个令人担忧的话题。联邦调查局上个月刚刚发布了一份公告,指出运行过时软件的未打补丁的医疗设备造成的漏洞越来越多。

医院中超过50%的联网医疗设备或物联网存在严重的漏洞。

他们发现,截至2022年1月,医院中超过50%的联网医疗设备或其他物联网存在严重漏洞。这是一个惊人的数字。这是一个真正的安全风险。

从行业的角度来看,我们正处于确保解决这些漏洞并监控这些设备的早期阶段。我们说的是胰岛素泵、移动心脏起搏器和疼痛泵。如果网络攻击者能够访问并控制这些设备,这将是一个非常严重的问题。

我认为,对于这个行业来说,这是一个巨大的挑战,我们必须找到更好的方法来应对。在过去的几年里出现了很多技术,但医疗保健组织在使用这些技术、理解数据并利用它们做一些事情上真的很困难,因为他们没有这样的人。

再一次,我们把计算机加入到事物中,继承了计算机的所有问题。如果我是一个公司一个消费者或病人,我看到这些设备中的一个漂浮在周围,这些胰岛素泵nnconnected -我如何确定这个东西是安全的或者它已经打过补丁了?

哦,这是个好问题。我还没有听说过医院里的病人询问医院的安全程序。我认为你应该与那些证明他们在很好地保护你的数据的供应商合作。如果你是一名消费者,你甚至不需要问问题就能找到专业人士与他们拥有的数据进行交互的方式。

我记得有一次我去检查眼睛。肯定有人替我做了检查,而她没有机器的密码。她在走廊里大喊着要密码,他们又喊了回去。关心我。那不是很好。如果发生了这样的事情,那么您可能会想要质疑他们的安全程序。

我认为你真的想要确保你去的组织证明他们保护信息。你可以四处看看,看看屏幕有没有打开。可能很难确定一个医疗设备是否打过补丁。我敢肯定,如果你问你的护士,她可能不知道这个问题的答案,或者只会说,“当然。”

我们必须让它正常化。解码器听众everywher当他们去看医生时,我们必须开始问这个问题。

是的,当然。我认为这正是事情的发展方向。患者和员工,我们都需要控制或负责我们如何保护数据。对于Decoder的听众来说,考虑你在家里的个人数据的安全性是我们都需要非常注意的事情。安全意识是真正避免网络钓鱼攻击的首要因素,这是恶意分子成功进行勒索软件攻击的最常见方式。

在我们结束这一切之前,让我们做一下,我认为是解码器的问题。克利尔沃特有多大?

今年夏天我们刚刚进行了几笔收购,使公司发展了不少。我们现在有200多名员工。有了这两家公司,我们收购了一家名为Tech Lock的托管服务安全提供商,它提供托管检测响应服务、安全操作,并正在做端点检测和日志管理等工作。

我们还收购了一家名为CynergisTek的公司,或者说真正地合并了这家公司。CynergisTek是另一家专注于医疗保健的网络安全和合规提供商,我们很长时间以来都很尊重它。我们曾与他们竞争,现在正联合起来,成为客户更强大的合作伙伴。它发展很快,但肯定还不是一个非常大的组织。随着我们的发展,我们肯定会对新功能感到非常兴奋。

我在看那些收购的新闻稿。他们都说:“我们将把这些作为公司的独立部门来运营。”你是如何组织的?你如何看待公司的结构?

目前,我们正在花大量时间学习并真正了解这些组织在做什么。我们当然计划把所有人聚集在一起作为一个组织,但以一种不破坏对我们客户的任何价值的方式。我们知道这些公司有很多好的解决方案,好的体验,优秀的员工。我们正在努力使我们的服务组合和现有的技术保持一致。那里有很多东西,真的很令人兴奋。

最终,它将成为一个为我们的客户服务的组织。Tech Lock已经很快地很好地融入到组织中,我们现在正在非常努力地与CynergisTek进行同样的工作。

更抽象地说,在完成所有这些集成之后,你开始审视你的公司,它的结构将是什么?大部分都是安全工程师吗?大部分都是会计师吗?大部分都是ceo吗?

从进入市场的角度可能是一个很好的开始。所有这些公司的组织结构都相当相似,都有一个提供解决方案的咨询服务部门。Clearwater和Tech Lock都有软件开发团队,我们有软件开发和咨询服务的领导者。我们有一个非常具体的进入市场战略,我们如何处理我们的销售和交付。

我们非常关注不同的细分市场,特别是在医疗保健领域。医院系统不同于数字健康公司。医院在组织、技术、结构和整体成熟度方面要复杂得多。这只是一个例子。

我们将销售部门和配送部门结合起来的方式是让那些真正善于理解数字健康公司业务的人,而不是门诊机构和医院。我们发现,这使我们对客户更有价值,在市场上更有竞争力。即使在我们的服务组织中,这是我们团队中最大的部分,我们也有不同的实践领域针对不同的垂直领域。

我们也有不同类型的实践,它们不是真正垂直特定的。比如技术测试服务,HIPAA的隐私保护。当你从一个行业转到另一个行业时,你仍然会有一些细微差别,但不一定有那么多。我们的服务和销售组织是这样组织的,因为这有助于我们成为更好的解决方案提供者。然后我们有一个整合的营销部门,然后是典型的后台部门。

你说你有营销职能。你是那个在机场和周四足球之夜买广告的人吗?这些都是为首席信息官量身定制的。是你吗?这工作吗?

我们的营销预算还不允许在超级碗上打广告,但我们正在努力实现这一目标。我们的营销方法很大程度上是基于思想领导力的。如果你回顾Clearwater和CynergisTek的历史,你会发现这两个组织的创始人最初都是通过大量学习他们正在帮助客户的主题来建立公司的,然后走出去,谈论它,并教授人们。

我们的行业需要大量的教育,因为事情发生和变化太快了。我们的客户很难跟上所有这些。我们所做的营销计划的核心是生产大量的思想领导力——网络研讨会、白皮书和教育计划——然后我们与市场自由分享。当我们出去做广告时,当我们购买那些数字广告时,这一切都是为了引导人们回到思想领导的状态。

这和你走出去然后说:“嘿,Clearwater是这个领域的领导者。”我们正试图通过提供有价值的内容来建立我们的领导地位,而人们会通过自己所看到的和所阅读的内容来建立这种联系。

我走过机场,看到网络安全的广告,这些广告设计得很吓人。有个戴着兜帽拿着键盘的家伙。

是的。

然后是一家大公司的名字。在那些大公司工作的各种市场营销人员总是告诉我,这个想法基本上就是决策者在机场的大厅里走动。如果我们的品牌足够多地出现在他们面前,当需要开支票的时候,他们更有可能开支票给他们熟悉的品牌。这就是他们玩的整个游戏。

Clearwater是一家200人的公司,而你显然是某一行业的领导者。你会反抗吗?你是否觉得你必须与埃森哲或其他公司可以为你做这些的观念作斗争?

是的,当然。这个领域的竞争非常激烈。这是一个巨大的市场。它在医疗保健领域增长,我认为每年复合增长率为16%。因此,即使在医疗保健领域,这也是一个非常有吸引力的市场,这一领域非常微妙。大多数在医疗保健行业工作的人对此会有强烈的感受。

长期以来,我们凭借对医疗保健行业的理解,在市场中脱颖而出。我们有在医疗保健技术环境中工作过的人,他们了解HIPAA等法规。我们已经与我们的客户进行了调查或纠正行动计划的民权办公室合作,这是HHS(卫生与公众服务部)的执法部门,负责执行HIPAA。我们帮助客户解决了40多个案例,我们的风险分析被OCR接受的成功率是100%。

我们可以为我们的客户提供一些非常重要的好处,在这个行业工作的人都很欣赏这一点。我们说的是他们的语言,我们可以提供一些更有区别和独特的东西。我们仍在努力推广我们的品牌,虽然不像在机场那样广泛,但我们会通过高管们旅行的其他地方推广。

一个例子是CHIME组织,即医疗保健信息管理高管学院,他们基本上都是医院的首席信息官。我们是CHIME的赞助商,并与该组织密切合作。这是一种更有针对性的方法,但我们仍在努力让做出决定的正确的人知道。

你怎么赚钱?什么是典型的合同?是按小时收费还是服务费?它是如何构成的?

上述所有。我们的大多数客户正在转向托管服务。这可能是一种更特定于医疗保健的东西,但我认为对他们获得的东西有可预测的成本是非常有吸引力的。今天我们将提供几个与托管服务领域的细分市场相一致的程序。

在医院和卫生系统领域,我们提供了一个名为ClearConfidence的项目,它实际上植根于我之前描述的风险管理项目。它将医院和卫生系统从对其风险和应对的即时评估转变为持续的风险管理项目。他们将这项工作外包给Clearwater,这帮助他们解决了在人员、资源和专业知识方面的一些挑战。

他们只是忙于处理日常事务,在安全方面发生了如此多的转变,特别是在医疗保健领域,因此很难保持持续的项目运行。我们把这个项目外包出去,每月收取固定的费用,然后他们就可以加入额外的服务,我们可以添加和合并这些服务。

我们拥有的另一种类型的管理服务计划是ClearAdvantage计划,它更多地针对医生实践管理、数字健康公司和其他需要更成熟、更健壮的网络安全和合规计划的中端市场组织。他们只是没有人来做这件事,也没有真正了解他们需要做什么,更不用说资源了。所以我们将其外包。

我们将担任该组织的首席信息安全官,这是一名经验丰富的行政人员,拥有技术和业务经验。然后我们会为他们持续实施和执行他们的项目,并与他们需要达到的目标相匹配——客户要求,HIPAA,其他法规,当然还有他们自己的风险承受能力。

这是我们业务的重要组成部分。我们还有一个叫做IRM Pro的软件程序,这是一个风险管理工具和合规性管理工具,非常适合医疗保健组织。这是我们收取订阅费出售的东西——典型的SaaS模式。最后,我们确实有更多基于项目的咨询服务。他们也倾向于收取固定费用,我想说,这是十分之九的首选。

假设我经营一个小型的医生小组,我想,“天哪,我不想雇一个安全主管。我安装了所有这些电脑,那是个错误。我应该把这些都写在纸上,但无所谓了。”所以现在我雇你来做。我只是像平常一样付钱给你吗清洁服务在n区?价格有涨有跌吗?这对你来说是可以预测的吗?

这是非常相似的。这取决于与客户的合同。大多数与我们合作的医生实践管理团体都不是你的单一医生实践。从趋势的角度来看,私募股权投资确实在MSO(管理服务组织模式)下进行了大量的投资。

私人股本公司正在扩大医疗业务,并引入专业管理团队。

他们引进了专业的管理团队,走出去收购不同的实践地点。他们通常有某种策略,无论是技术平台、报销模式,还是对如何提供医疗服务的特别关注。

它非常以商业为中心,发展非常迅速。他们关心的是,“嘿,我的生意发展得很快。我要如何在继续成长的同时保护它?因为我真正想做的是扩大业务。”与大多数私人股本公司一样,在某个时候,它们希望出售业务。如果我遭遇勒索软件攻击或漏洞,我就很难做到这一点。那我想自己做吗?还是我想出去找一个真正擅长这个的人?

这就是私人股本公司和专业管理团队所做的;他们走出去,想办法,“我怎样才能做最好的手术?”它是操作效率和质量。这一信息得到了很好的共鸣。

这些类型的组织很多时候会使用我们的ClearAdvantage项目,它有所有这些组件。根据他们想要达到的目标和达到目标的速度,这个项目有不同的层次。然后我们会给他们定一笔固定的费用。随着他们的成长,如果他们变得更大,那么费用就会增加。这不是线性增长,但非常合理。这是一个可预测的模型。他们知道他们是在和一个能够持续为他们管理的人合作。

您还经营着一家PE投资公司。你在不断发展——你在这个不断发展的市场上与其他公司合并或收购。你如何做决定?

这是个好问题。有几种方法。首先,我们有Clearwater明确定义的战略原则。我们已经在一项战略上达成一致,并就该战略和我们正在努力实现的目标发表了一些非常强硬的声明。当我们决定在哪里打球以及如何打球时,我们希望确保它符合我们的战略原则。

例如,我们非常关注医疗保健,对吧?那么,我们所做的事情对医疗保健有价值吗?它是否会帮助我们在一个我们已经确定为增长市场的市场中增长?如果我们要进入一个新市场,它是否在增长?那么非常重要的是,我们是否有竞争力?

这是一个非常重要的战略原则。我们不只是想要能够做一些事情,我们想要能够在一个将继续增长的市场中做得更好。我们对客户的价值考虑得很多。它如何创造价值?它能解决痛点吗?它会让我们的客户变得更好吗?话说回来,区别有多大?

文化是我们战略原则的重要组成部分——我们所做的事情如何使Clearwater的同事受益。这是我们做决定的一个非常重要的部分。当然,和其他公司一样,我们也有财务目标。

我们更多地从组织的角度开始讲这些战略原则以及我们如何在组织中做决定。我们向整个组织传达我们的战略优先事项。我们最优先考虑的永远是质量和客户的成功。这就是我每天传达给整个组织的信息。除此之外,我们在业务计划和增长方面也有优先考虑的事项。

这样做的目的是确保组织中的每个人都知道什么是最重要的。当他们在考虑决策时——因为我们确实希望我们的同事能够做出决策——我们希望他们考虑的是我们的战略优先事项。它在优先方案中处于什么位置?我们如何做出选择?

正如我们刚才讨论的,我们不是一个庞大的组织,我们的资源有限。我们需要确保我们做事情的方式与我们的战略相一致,根据我们在组织中的优先级。

你mentioned体育公司。他们往往行动迅速,然后试图颠覆公司。你有一个私募股权投资者,你刚刚收购了两家公司。这就像私人股本公司对医生所做的一样。你是否有上市、退出或推销自己的时间表?

没有时间表。我认为这里真正重要的一点是,我们的投资者对市场增长和Clearwater非常有信心。我们对此感到非常兴奋和感激。

就收购而言,它们非常具有战略意义。我们的一个驱动力——对我们的战略和公司的发展方向来说是一个重要的驱动力——是把自己定位在MSSP(托管安全服务提供商)领域,特别是在24/7全天候监视的安全业务方面,这是我们在Clearwater所没有的。我们认为这是一个非常重要的市场。这符合我们的战略原则,这是一个不断增长的市场,对我们的客户有价值,我们认为我们可以在这个领域具有竞争力,但独立发展将是真正的挑战。这是围绕Tech Lock的投资主题,它还带来了一些我们没有的重要的额外合规功能。这对我们来说是一次非常有战略意义的收购。

对于CynergisTek,很多动机都是为了扩大规模,增加我们的客户群,并为我们的客户提供互补的解决方案,理想情况下,我们将其打包为管理服务,我们认为这将为他们提供更多的价值,使我们成为更强大的合作伙伴,并通过我们获得的咨询团队的资源,为我们提供更强大的管理团队。如今要在网络安全领域招到人才并不容易。我认为我们在留住人才方面做得很好,但我们需要人才。我们是一家以人为本的企业,因此我们得到了优秀的员工。

我们还很早。既然已经发生了这种情况,我们还有很多工作要做,以充分实现这些交易的价值和协同作用。就像任何其他私人股本公司一样,我们都知道,在某个时候,他们会做一些事情退出该业务。我不知道现在那是什么意思。我们甚至都没想过这个。就增长机会而言,我们现在还有很多机会,所以我们现在的全部注意力都放在了这方面。

很神奇的。史蒂夫,非常感谢你来到Decoder。这是一次很棒的谈话。我们必须尽快让你回来。

太好了。非常感谢。我很喜欢它。

解码器与Nilay Patel /

这是来自The Verge的关于大想法和其他问题的播客。

现在就订阅!