NHS agrega auditorías de seguridad de proveedores a la plataforma de compras


NHS Shared Business Services (SBS) y su socio de plataforma en la nube Virtualstock ha contratado a la inteligencia de amenazas cibernéticas y al especialista en evaluación de riesgos Orpheus Cyber ​​para agregar auditorías de seguridad integradas Edge4Health plataforma de adquisición y mejorar la seguridad de la cadena de suministro para el servicio de salud.

Lanzado en enero de 2020 con un despliegue por etapas para algunos fideicomisos del NHS, Edge4Health se presenta como un centro de compras digitales al estilo del consumidor diseñado para reducir costos, mejorar la visibilidad y la gestión de datos, y garantizar un mayor cumplimiento en el NHS. Se puede utilizar para comprar más de un millón de productos y servicios, sin limitarse a TI, y se entiende que ha realizado más de £ 8 millones de gasto hasta la fecha.

La función permite a los proveedores del NHS verificar y mejorar su seguridad mediante un dial que indica si su calificación es buena, promedio o mala. Al hacer clic en él, los proveedores podrán descargar un informe que proporcione información sobre las diversas amenazas y vulnerabilidades a las que están sujetos y cómo mitigarlos, con la esperanza de mejorar su propia seguridad y la de sus clientes.

Deberías leer:   La empresa que compra la aplicación de redes sociales de Trump enfrenta citaciones

“Con un gasto anual de £ 9 mil millones, el NHS tiene algunas de las cadenas de suministro más largas y complejas del mundo. Garantizar la seguridad e integridad de estas cadenas de suministro es una prioridad para las organizaciones del NHS, el gobierno y los proveedores ”, dijo el director de adquisiciones del NHS SBS, Phil Davies.


“Permitir que los proveedores verifiquen rápidamente su estado actual de seguridad cibernética es un paso importante para mitigar la amenaza planteada”.

La información también se pondrá a disposición de las organizaciones del NHS que compren a través de la plataforma, a través de una calificación de riesgo cibernético de la comunidad compradora, para ayudar a los tomadores de decisiones a tener mejor en cuenta las consideraciones de seguridad al comprar servicios.

Oliver Church, CEO de Orpheus Cyber – otros clientes que incluyen el Departamento de Trabajo y Pensiones (DWP), el operador móvil O2 y la firma de contabilidad Smith & Williamson – dijeron que los ciberdelincuentes apuntaban cada vez más a las cadenas de suministro como un eslabón débil para comprometer sus objetivos finales, en este caso las organizaciones del NHS con acceso a datos confidenciales.

“Frecuentemente vemos un daño significativo a los clientes cuando los proveedores, discapacitados por ataques cibernéticos, ya no pueden proporcionar bienes y servicios vitales, lo que es potencialmente muy grave cuando se trata de la salud del paciente”

Oliver Church, Orpheus Cyber

“Los ataques se vuelven cada vez más complejos y tienden a centrarse no solo en robar datos, sino también en eliminarlos o encriptarlos permanentemente. Además, con frecuencia vemos daños significativos a los clientes cuando los proveedores, discapacitados por ataques cibernéticos, ya no pueden proporcionar bienes y servicios vitales, lo que es potencialmente muy grave cuando se trata de la salud del paciente “, dijo Church.

“Debido a que los datos privados a menudo se distribuyen a través de las cadenas de suministro, una violación de un proveedor puede filtrar fácilmente información confidencial, una preocupación importante cuando se trata de la privacidad de los datos personales del paciente. Legislación como el GDPR [General Data Protection Regulation] prevé fuertes multas si se violan los datos privados debido a la mala seguridad cibernética “.

En noviembre de 2019, Orpheus Cyber publicó un documento técnico mirando específicamente los arreglos de seguridad de los proveedores del NHS. Sugirió que los fideicomisos del NHS corrían cada vez más riesgo de ataques a la cadena de suministro porque muchos de ellos han gastado generosamente en su propia seguridad desde el desastre de WannaCry de 2017, lo que significa que los malos actores ahora tienen que buscar otra forma de entrar.

Basado en un estudio de 622 proveedores pre-listados para la plataforma Edge4Health, el informe dijo que al 88% de los proveedores se les habían filtrado correos electrónicos y contraseñas de la compañía debido a ataques en bases de datos de terceros, el 37% tenía vulnerabilidades que parecen atractivas para los ciberdelincuentes, El 17% parecía ejecutar bases de datos fácilmente orientadas y el 95% carecía de protección avanzada de correo electrónico.

Ataques a la cadena de suministro, relacionados con los llamados visitas a islas Los ataques son una amenaza particularmente potente para múltiples industrias, como se vio en 2019 cuando los atacantes con supuestos vínculos con el gobierno chino ingresaron a la red de Airbus para robar información técnica relacionada con el avión A350.

Tales ataques tienen lugar cuando los atacantes obtienen acceso a un tercero con acceso confiable a la red de su objetivo, como lo tendrán muchos proveedores del NHS. Los ataques posteriores contra el objetivo se verán como un ataque interno y pueden ser más difíciles de detectar por los sistemas de seguridad cibernética centrados en el perímetro.

Pilar Benegas

Pilar Benegas es una reconocida periodista con amplia experiencia en importantes medios de USA, como LaOpinion, Miami News, The Washington Post, entre otros. Es editora en jefe de Es de Latino desde 2019.