Si los sistemas están codificados y las copias de seguridad no funcionan, las organizaciones deberán pensar en pagar un rescate. Los proveedores de seguros cibernéticos pueden ayudar con esta decisión, afirma Weiss.
«Desafortunadamente, creo que en ese momento todo se reduce a una decisión comercial, si no te queda otra opción, y todo se reduce al hecho de que necesitamos que estos sistemas vuelvan a funcionar porque tenemos vidas de pacientes». en juego”, afirma. «En última instancia, puede haber una razón para pagar un rescate y volver a poner todo en funcionamiento».
Si las organizaciones pueden restaurar copias de seguridad completas por sí mismas, entonces no es necesario pagar un rescate, afirma Weiss.
Cuando las copias de seguridad no se realizan o están incompletas, las organizaciones de atención médica enfrentan una decisión comercial sobre si pagar el rescate para restaurar los sistemas. Las organizaciones deben considerar el costo comercial, como cuánto tiempo llevará una copia de seguridad y cuándo se realizó la última copia de seguridad, afirma.
El objetivo clave durante un ciberataque es «detener la hemorragia», afirma Morris. Sin embargo, desconectar los servicios esenciales suele ser una reacción exagerada durante este tiempo, añade.
«Si eres una organización madura de operaciones de TI y ciberseguridad, rara vez llegas a ese nivel en el que desconectas todo», afirma Morris. «No se corta un brazo entero sólo porque se rompió la uña».
Stone también advierte contra desconectar los sistemas para tener recursos para investigar después de un ataque.
«Lo que nunca deberíamos recomendar es apagar un sistema, porque una vez que lo haces, pierdes casi toda, si no toda, la capacidad forense», explica. “Entonces, deje que un sistema se ejecute, aíslelos en la medida de lo posible. Utilice reglas de redes virtuales, tire físicamente de los cables, pero trate de no apagarlos”.
Cuando la gente entra en pánico y apaga todos los sistemas durante un ataque, «eso no es resiliencia», dice Morris, «porque no estás operando en absoluto en ese momento».
LEER MÁS: La confianza cero ofrece una base para la autenticación y el acceso en el sector sanitario.
Resiliencia cibernética después de un ciberataque
Stone advierte que la copia de seguridad es demasiado lenta para recuperarse después de un ataque. Recomienda una estrategia de “resiliencia escalonada”. Los dos primeros niveles constan de instantáneas, que se recuperan rápidamente. Según Stone, el segundo nivel de instantáneas se utiliza para la revisión forense y el tercer nivel implica copias de seguridad. «Ese nivel de respaldo es para la retención de datos a largo plazo y el cumplimiento de los datos y posiblemente la recuperación de una aplicación de la que puede estar sin durante un período de tiempo muy largo».
“Recomendaría de tres a siete días de nuestro Instantáneas en modo seguro en las matrices primarias”, dice. “A partir de ahí, se establece un nivel medio de almacenamiento de menor costo. Copias esas instantáneas del nivel primario y las conservas todo el tiempo que puedas permitírtelo, preferiblemente de seis a 12 meses, porque las utilizarás con fines forenses en el futuro”.
Dice que las organizaciones deberían echar un vistazo a la gestión de parches, escaneo de vulnerabilidades y gestión de identidad. Muchas infracciones se producen debido al robo de credenciales y vulnerabilidades sin parches, señala Morris.
En cuanto a la gestión de identidades, Stone recomienda que las organizaciones guarden las credenciales. «Tienes que revisar las credenciales de administrador, usarlas por un período de tiempo y luego volver a registrarlas y rotar esas credenciales», dice Stone.
El tiempo posterior a un ataque es útil para saber qué pasó. Sin embargo, evite señalar con el dedo durante este tiempo, aconseja Morris.
«Después de un ciberataque es cuando más aprenderás sobre tus herramientas, personas y procesos», dice Morris. «Hay que aprovechar ese tiempo, porque no hay un momento así en cuanto a oportunidades».