Sidste efterår holdt et lille firma, som ingen nogensinde havde hørt om, Josh Corman om natten. Det var en af de eneste grupper i verden, der lavede en ingrediens, som farmaceutiske virksomheder som Moderna og Pfizer/BioNTech havde brug for for at fremstille mRNA COVID-19-vaccinerne. Og den beskæftigede ikke en eneste cybersikkerhedsekspert.
Corman er seniorrådgiver for USA's Cybersecurity and Infrastructure Security Agency (CISA), og i det sidste år har han arbejdet på en taskforce inden for agenturet med fokus på at beskytte COVID-19-vaccineforsyningskæden mod cybertrusler. Sundhedsorganisationer har været nogle af de største ofre for voksende bølger af cyberangreb i løbet af de sidste par år, og under pandemien var de et endnu større mål.
Det, der bekymrede Corman, var ikke steder som Pfizer og Moderna. Disse store firmaer med navnemærker ansætter alle interne cybersikkerhedseksperter. Han var bekymret for virksomheder som den, der fremstiller en mRNA-ingrediens: små, anonyme grupper, der gjorde bits og stykker afgørende for vacciner, men det troede måske ikke nogensinde, at de ville have brug for at beskytte mod en hackingkampagne.
“Du kunne nys på det ene firma, og de ville blive forstyrret.”
“Du kunne nys på det ene firma, og de ville blive forstyrret. Og hvis de blev afbrudt, ville vi leve i en helt anden verden lige nu, fordi de var så kritiske over for disse mRNA-kandidater, ”siger Corman.
I løbet af det forløbne år spurgte taskforce hundreder af lignende virksomheder, der var kritiske for udvikling, produktion og distribution af COVID-19-vacciner i USA. Det tilbød at hjælpe dem med at kontrollere eventuelle huller i deres digitale netværk, give dem ressourcer til at øge deres beredskab og hjælpe dem med at reagere på eventuelle hændelser. En cyberangreb på nogen af dem kunne have bremset vaccineindsatsen og holdt skud uden for rækkevidde i længere tid – med store omkostninger for landets sundhed, siger Corman. “Vi ønskede at sikre, at vi ikke havde forsinkelser på grund af cybersikkerhed.”
Gendannelse af forsyningskæden
Den amerikanske tilgang til COVID-19-vaccineudvikling løb gennem Operation Warp Speed - et projekt på 10 milliarder dollars, der involverede partnerskaber mellem biomedicinske virksomheder og forskellige agenturer inden for den føderale regering, herunder Food and Drug Administration, Department of Defense og Department of Health og menneskelige tjenester. Det finansierede udviklingen af vaccinkandidater hos virksomheder som Moderna og Johnson & amp; Johnson og var i tæt kontakt med andre involveret i fremstilling og distribution.
“Operation Warp Speed beskrives generelt som omkring de 30 største virksomheder relateret til vacciner – forskning, levering og hele vejen til forsendelse til stater,” siger Beau Woods, seniorrådgiver ved CISA, der arbejder på COVID-19 taskforce. .
CISA var en af de andre føderale agenturer trukket ind i Operation Warp Speed. Det er en del af Department of Homeland Security og er ansvarlig for at hjælpe både regeringen og den private sektor i cybersikkerhedsspørgsmål. Sammen med COVID-19-svaret brugte det 2020 på at arbejde på sikkerhed til præsidentvalget.
Under Operation Warp Speed blev CISA bedt om at hjælpe med sikkerhed for de 30 største spillere. ”CISA har evnen til at levere beskyttende, forebyggende tjenester og reaktionstjenester til udpeget kritisk infrastruktur. Enhver på denne liste blev tydeligvis prioriteret, ”siger Corman.
Der var flere virksomheder, der var involveret i vaccineudvikling, produktion og distributionsproces end bare dem på listen
Men der var flere virksomheder involveret i vaccineudvikling, produktion og distributionsproces end bare dem på denne liste. Hver af de omkring 30 virksomheder har deres egne forsyningskæder, siger Woods. De grupper, der udgjorde disse forsyningskæder, ville også have brug for beskyttelse.
Da Corman begyndte at arbejde på COVID-19-indsats som en del af taskforce inden for CISA, var disse virksomheder endnu ikke blevet identificeret. Ingen vidste, hvem de var. ”Jeg spurgte, hvad er de mindre, mindre åbenlyse spillere, der, hvis de forstyrres, betyder, at der ikke er nogen vaccine? Og ingen havde svar, ”siger Corman.
Corman arbejdede sammen med kolleger som Michelle Holko, en innovationsmedlem fra præsidenten, der arbejdede med task force, og Reuven Pasternak, en anden CISA seniorrådgiver, der også er læge, for at udvikle en rubrik, der ville hjælpe dem med at identificere disse spillere. De ledte efter virksomheder, der fremstiller produkter, der mangler eller ikke let kan udskiftes, og virksomheder, der fremstiller produkter, som de grupper, der fremstiller vacciner, var meget afhængige af. Gruppen bad internationale partnere om at sende dem navnene på de grupper, der også kunne være vigtige for vaccineudviklingsprocessen.
“Vi identificerede mennesker, der overhovedet aldrig blev nomineret, men boblede op til toppen. Det var nogle af de mest kritiske svage led i kæden, ”siger Corman.
Listen var dynamisk – i starten af processen fokuserede den på grupper involveret i vaccineforskning og -udvikling. Derefter skiftede det til virksomheder, der arbejder med fremstilling og distribution af skuddene. Samlet set identificerede gruppen hundreder af virksomheder, der var involveret i processen, der kunne have været risici.
”Mange af dem er mindre. I nogle tilfælde ville de have færre end 100 mennesker og måske ikke traditionelt set på cybersikkerhedstrusler, ”siger Woods. Fordi de var involveret i vaccinationsprocessen, var de mål for hackere, men de havde ikke knowhow til at beskytte mod trusler. ”Det var her, vi fokuserede,” siger han.
Opsøgende indsats
Efter at have lavet den liste over virksomheder, der kunne være potentielle mål for cyberangreb, begyndte taskforce at nå ud til hver enkelt for at tilbyde sine tjenester. En stor del af disse tidlige samtaler involverede at sikre, at virksomhederne forstod, at gruppen ikke var et regulerende organ, men bare kom ind for at tilbyde en service, siger Steve Luczynski, lederen af CISA COVID-19 taskforce. “Alle er bekymrede, når regeringen ringer,” siger han.
“Alle er bekymrede, når regeringen kalder.”
Men efter at de hørte, hvad gruppen tilbød – hjælp til at forstå eventuelle sårbarheder, advarsler om mulige trusler og anden vejledning – var mange virksomheder ivrige efter at bruge deres ressourcer, siger Woods. ”I nogle få tilfælde har vi fået organisationerne til at vende tilbage og sige: 'Hej, vi så noget, vi tror, vi kom til det i tide – men vi vil meget gerne have, at jer bare dobbelttjekker,'” siger han.
Health IT og elektronisk sundhedsjournalfirma Cerner var en af de grupper, der arbejdede med CISA og taskforce. Cerner assisterede med planlægning, opgørelse og dosissporing for organisationer, der administrerer vacciner, og dets elektroniske sundhedsjournaler havde data om personer, der modtog skuddene. Kevin Hutchinson, Cerners cybersecurity operations manager, havde oprindeligt tilmeldt virksomheden til sikkerhedsadvarsler med CISA. CISA task force kom derefter i kontakt med at deltage i deres andre programmer. ”I betragtning af Cerners fodaftryk var de virkelig glade for at have os om bord,” sagde Hutchinson til The Verge.
CISA-teamet kiggede på Berners eksisterende sikkerhedsprotokoller, som allerede var stærke. ”Det var en god klapp på ryggen, at vi gjorde ting, som vi skulle være,” siger Hutchinson.
Cerner mødes også regelmæssigt med et dusin af de største hospitalssystemer, der bruger sine tjenester til at tale om sikkerhed, og en håndfuld af disse grupper brugte også CISAs tjenester. Mange hospitaler har ikke finansiering til et dedikeret sikkerhedsteam. ”De havde nævnt, hvor værdifuldt det havde været for dem,” siger Hutchinson.
Taskforce var i stand til at tilbyde tjenester som scanning af firmasystemer for cybersikkerhedssårbarheder og tilpassede cyberintelligensværktøjer, siger Woods. Men en af de vigtigste dele af opsøgende var bare at skabe et forhold til virksomheden, så CISA hurtigt kunne videreformidle vigtig information. ”En del af det er bare at udarbejde den tillid, så når de løfter telefonen, ved de, hvem du er,” siger han.
“En del af det er bare at udarbejde den tillid, så når de løfter telefonen, ved de, hvem du er.”
Gennem disse forhold hjalp taskforce og CISA virksomheder med at reagere på cybertrusler i løbet af det sidste år. Trusler omfattede en phishing-kampagne rettet mod koldkædevaccinetransportsystemet og SolarWinds-hacket, der var målrettet mod amerikanske regeringsorganer. Ingen havde større indflydelse på vaccineudviklings- og distributionsprocessen. ”Vi havde disse gode forbindelser. Vi vidste, at dette er den person, vi skal ringe til, og her er e-mailen, der skal sendes til, når disse begivenheder sker, ”siger Luczynski.
Disse forbindelser kan gennemføres i fremtiden og hjælpe sundhedsorganisationer med at håndtere cybersikkerhedstrusler. ”Jeg er glad for at se større engagement mellem CISA og sundhedspleje, og jeg håber bestemt, at det fortsætter,” siger Woods.
Det arbejde, taskforce udførte i vaccineforsyningskæden, kunne også være en model for andre projekter i fremtiden, siger han. “Mange gange, når regeringen arbejder med den private sektor, er de mest engagerede med større organisationer, fordi de ikke har forbindelse til de mindre,” siger Woods. Dette arbejde viste, at de risikofyldte områder mange gange faktisk er de mindre organisationer.
Indtil videre er COVID-19 vaccineudviklings- og distributionsprocessen ikke forsinket af cyberangreb. Luczynski siger, at taskforce ikke kan tage al æren – det er svært at sige endeligt, om dets arbejde var årsagen til, at der ikke var store problemer. Men han synes, det gjorde en forskel. “Jeg er overbevist om, at vi har bidraget til at gøre tingene bedre.”