Las vacunas COVID-19 no fueron pirateadas; este grupo de trabajo es una de las razones por las que


El otoño pasado, una pequeña empresa de la que nadie había oído hablar mantenía a Josh Corman despierto por la noche. Fue uno de los únicos grupos en el mundo que fabricó un ingrediente que las compañías farmacéuticas como Moderna y Pfizer / BioNTech necesitaban para fabricar las vacunas de ARNm COVID-19. Y no empleó a un solo experto en ciberseguridad.

Corman es un asesor principal de la Agencia de Seguridad de Infraestructura y Ciberseguridad de los Estados Unidos (CISA), y durante el año pasado, ha estado trabajando en un grupo de trabajo dentro de la agencia enfocado en proteger la cadena de suministro de la vacuna COVID-19 de las amenazas cibernéticas. Las organizaciones sanitarias han sido algunas de las más grande víctimas de oleadas crecientes de ciberataques en los últimos años, y durante la pandemia, fueron un objetivo aún mayor.

Lo que preocupaba a Corman no eran lugares como Pfizer y Moderna. Todas esas grandes empresas de renombre emplean expertos en ciberseguridad internos. Estaba preocupado por empresas como la que fabricaba un ingrediente de ARNm: grupos pequeños y anónimos que hacían piezas y piezas fundamentales para las vacunas, pero que tal vez nunca pensaron que necesitarían protegerse contra una campaña de piratería.

“Podrías estornudar en esa empresa y se interrumpirían. Y si se interrumpieran, estaríamos viviendo en un mundo muy diferente en este momento porque eran muy importantes para esos candidatos de ARNm ”, dice Corman.

Durante el año pasado, el grupo de trabajo rastreó a cientos de empresas similares críticas para el desarrollo, producción y distribución de vacunas COVID-19 en los EE. UU. Se ofreció a ayudarlos a verificar cualquier brecha en sus redes digitales, brindarles recursos para mejorar su preparación y ayudarlos a responder a cualquier incidente. Un ciberataque a cualquiera de ellos podría haber ralentizado los esfuerzos de la vacuna, manteniendo las inyecciones fuera del alcance durante más tiempo, a un gran costo para la salud del país, dice Corman. «Queríamos asegurarnos de que no tuviéramos retrasos debido a la ciberseguridad».

Recreando la cadena de suministro

El enfoque de EE. UU. Para el desarrollo de la vacuna COVID-19 se ejecutó a través de Operation Warp Speed, un proyecto de $ 10 mil millones que involucró asociaciones entre compañías biomédicas y varias agencias dentro del gobierno federal, incluida la Administración de Alimentos y Medicamentos, el Departamento de Defensa y el Departamento de Salud. y Servicios Humanos. Financiaba el desarrollo de candidatos a vacunas en empresas como Moderna y Johnson & Johnson y estaba en estrecho contacto con otras personas involucradas en la fabricación y distribución.

«Operation Warp Speed ​​se describe generalmente como una de las 30 empresas más grandes relacionadas con las vacunas: investigación, entrega y todo el camino hasta el envío a los estados», dice Beau Woods, asesor principal de CISA que trabaja en el grupo de trabajo COVID-19. .

CISA fue una de las otras agencias federales incluidas en la Operación Warp Speed. Es parte del Departamento de Seguridad Nacional y es responsable de ayudar tanto al gobierno como al sector privado en cuestiones de seguridad cibernética. Junto con la respuesta COVID-19, pasó 2020 trabajando en seguridad para la elección presidencial.

Durante la Operación Warp Speed, se le pidió a CISA que ayudara con la seguridad de los 30 jugadores principales. “CISA tiene la capacidad de brindar servicios de protección, prevención y respuesta a la infraestructura crítica designada. Cualquiera en esa lista obviamente tenía prioridad ”, dice Corman.

Pero había más empresas involucradas en el proceso de desarrollo, producción y distribución de vacunas que solo las que estaban en esa lista. Cada una de esas 30 empresas tiene sus propias cadenas de suministro, dice Woods. Los grupos que componían esas cadenas de suministro también necesitarían protección.

Cuando Corman comenzó a trabajar en los esfuerzos de respuesta al COVID-19 como parte del grupo de trabajo dentro de CISA, esas empresas aún no habían sido identificadas. Nadie sabía quiénes eran. “Pregunté, ¿cuáles son esos jugadores más pequeños y menos obvios que, si son interrumpidos, significa que no hay vacuna? Y nadie tenía una respuesta ”, dice Corman.

Corman trabajó con colegas como Michelle Holko, becaria de innovación presidencial que trabajó con el grupo de trabajo, y Reuven Pasternak, otro asesor senior de CISA que también es médico, para desarrollar una rúbrica que los ayudaría a identificar a esos jugadores. Buscaron empresas que fabricaran productos que escaseaban o que no podían reemplazarse fácilmente y empresas que fabricaban productos de los que dependían en gran medida los grupos que fabricaban vacunas. El grupo pidió a los socios internacionales que les enviaran los nombres de cualquier grupo que también pudiera ser importante para el proceso de desarrollo de la vacuna.

“Identificamos a personas que nunca fueron nominadas, pero que llegaron a la cima. Esos fueron algunos de los eslabones débiles más importantes de la cadena ”, dice Corman.

La lista fue dinámica: al comienzo del proceso, se centró en los grupos involucrados en la investigación y el desarrollo de vacunas. Luego pasó a las empresas que trabajaban en la fabricación y distribución de las tomas. En general, el grupo identificó cientos de empresas involucradas en el proceso que podrían haber sido riesgos.

“Muchos de ellos son más pequeños. En algunos casos, tendrían menos de 100 personas y es posible que no hayan considerado tradicionalmente las amenazas de ciberseguridad ”, dice Woods. Debido a que estaban involucrados en el proceso de la vacuna, eran el objetivo de los piratas informáticos, pero no tenían los conocimientos necesarios para protegerse contra las amenazas. «Ahí es donde nos enfocamos», dice.

Esfuerzos de divulgación

Después de hacer esa lista de empresas que podrían ser objetivos potenciales de ataques cibernéticos, el grupo de trabajo comenzó a acercarse a cada una para ofrecer sus servicios. Una gran parte de esas primeras conversaciones implicó asegurarse de que las empresas entendieran que el grupo no era un organismo regulador, sino que solo estaba llegando para ofrecer un servicio, dice Steve Luczynski, líder del grupo de trabajo CISA COVID-19. «Todo el mundo está preocupado cuando el gobierno llama», dice.

Pero después de escuchar lo que ofrecía el grupo (ayuda para comprender las vulnerabilidades, alertas sobre posibles amenazas y otras orientaciones), muchas empresas estaban ansiosas por utilizar sus recursos, dice Woods. “En algunos casos, las organizaciones volvieron y dijeron: ‘Oye, vimos algo, creemos que llegamos a tiempo, pero nos encantaría que ustedes lo verificaran’”, dice.

La empresa de informática sanitaria y registros sanitarios electrónicos Cerner fue uno de los grupos que trabajó con el CISA y el grupo de trabajo. Cerner asistió con programación, inventario y seguimiento de dosis para las organizaciones que administran vacunas, y sus registros de salud electrónicos tenían datos sobre las personas que recibían las vacunas. Kevin Hutchinson, gerente de operaciones de ciberseguridad de Cerner, inicialmente había inscrito a la empresa para recibir alertas de seguridad con CISA. Luego, el grupo de trabajo de CISA se puso en contacto para participar en sus otros programas. «Dada la huella de Cerner, estaban realmente emocionados de tenernos a bordo», dijo Hutchinson. El borde.

El equipo de CISA echó un vistazo a los protocolos de seguridad existentes de Cerner, que ya eran sólidos. “Fue una buena palmada en la espalda que estábamos haciendo las cosas que deberíamos hacer”, dice Hutchinson.

Cerner también se reúne regularmente con alrededor de una docena de los sistemas hospitalarios más grandes que usan sus servicios para hablar sobre seguridad, y algunos de esos grupos también estaban usando los servicios de CISA. Muchos hospitales no cuentan con la financiación necesaria para un equipo de seguridad dedicado. “Habían mencionado lo valioso que había sido para ellos”, dice Hutchinson.

El grupo de trabajo pudo ofrecer servicios como escanear los sistemas de la empresa en busca de vulnerabilidades de seguridad cibernética y herramientas personalizadas de ciberinteligencia, dice Woods. Pero una de las partes más importantes del alcance fue simplemente crear una relación con la empresa para que CISA pudiera transmitir rápidamente cualquier información importante. “Parte de esto es simplemente trabajar esa confianza, para que cuando contesten el teléfono, sepan quién es usted”, dice.

A través de esas relaciones, el grupo de trabajo y CISA ayudaron a las empresas a responder a las amenazas cibernéticas durante el transcurso del año pasado. Las amenazas incluyeron un campaña de phishing dirigido al sistema de transporte de vacunas en cadena de frío y al Hack de SolarWinds, que apuntó a agencias gubernamentales de EE. Ninguno tuvo impactos importantes en el proceso de desarrollo y distribución de vacunas. “Teníamos estas buenas conexiones. Sabíamos que esta es la persona a la que llamar, y aquí está el correo electrónico a quien enviar cuando ocurran estos eventos ”, dice Luczynski.

Esas conexiones podrían continuar en el futuro y ayudar a las organizaciones de atención médica a gestionar las amenazas de ciberseguridad. “Estoy feliz de ver un mayor compromiso entre CISA y la atención médica, y definitivamente espero que continúe”, dice Woods.

El trabajo que hizo el grupo de trabajo en la cadena de suministro de vacunas también podría ser un modelo para otros proyectos en el futuro, dice. “Muchas veces, cuando el gobierno trabaja con el sector privado, están más comprometidos con organizaciones más grandes porque no tienen conexiones con las más pequeñas”, dice Woods. Este trabajo mostró que, muchas veces, las áreas de mayor riesgo son en realidad las organizaciones más pequeñas.

Hasta ahora, el proceso de desarrollo y distribución de la vacuna COVID-19 no se ha retrasado por ningún ciberataque. Luczynski dice que el grupo de trabajo no puede llevarse todo el mérito; es difícil decir definitivamente si su trabajo fue la razón por la que no hubo problemas importantes. Pero cree que marcó la diferencia. «Estoy seguro de que contribuimos a mejorar las cosas».



Fuente: The Verge

Compartir:

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Esta web utiliza cookies propias y de terceros para su correcto funcionamiento y para fines analíticos y para fines de afiliación y para mostrarte publicidad relacionada con tus preferencias en base a un perfil elaborado a partir de tus hábitos de navegación. Al hacer clic en el botón Aceptar, aceptas el uso de estas tecnologías y el procesamiento de tus datos para estos propósitos. Ver Política de cookies
Privacidad