terveydenhuollon perusteet blogi

Terveydenhuollon turvallisuuden saaminen alkaa perusteista

Mikään organisaatio ei halua kärsiä suuresta tietoturvaloukkauksesta. Mutta kun se tapahtuu terveydenhuollon organisaatioille (HCO), kuten NHS-rahastoille, sillä voi olla suuri vaikutus paikalliseen yhteisöön. Vuoden 2017 WannaCry-hyökkäykset ja Conti ransomware -hyökkäys Irlannin terveyspalveluviranomaiseen (HSE) paljasti puutteita Irlanninmeren molemmin puolin. Vaikka parannuksia on tehty, monet taustalla olevat haasteet altistavat alan edelleen vakavalle kyberriskille. Kun panokset ovat niin korkeat, kokonaisvaltainen yhdistetty lähestymistapa näiden riskien hallintaan on jo kauan odotettu.

Kohtauksen asettaminen

Miksi HCO:t ovat niin alttiina kyberriskille? Kuten hallitus tunnustaa alan omassa turvallisuusstrategiassaan vuoteen 2030 asti, suurin osa siitä johtuu useista ainutlaatuisista tekijöistä, kuten:

  • Sen koko ja monimuotoisuus vaikeuttavat lähestymistapojen standardoimista kaikissa osissa perussosiaalista aikuisten sosiaalihuoltoon. Se tarkoittaa myös sitä, että dataa jakaa mahdollisesti suuri määrä eri tahoja, mikä voi lisätä riskiä.
  • Rajalliset resurssit ja kyberturvallisuusasiantuntijat voivat käyttää ongelmaan
  • Epäselvät raportointi- ja vastuulinjat
  • Erittäin korkea toimintapaine, joka on vain lisääntynyt COVID-19-ruuhkan myötä
  • Laaja valikoima erilaisia ​​teknologiaomaisuuksia diagnostiikkalaitteista potilasvarausjärjestelmiin ja reseptipalveluihin. Monia OT-järjestelmiä voi olla vaikea tai lähes mahdoton korjata

Mitkä ovat tärkeimmät terveydenhuoltoon kohdistuvat kyberuhat?

Monet terveydenhuoltoyhtiöiden kohtaamista uhista ovat kuitenkin samanlaisia ​​kuin muilla aloilla. Ne sisältävät:

Ohjelmiston haavoittuvuudet: usein pahentaa käyttöjärjestelmien käyttöä, joita ei tueta. Pitkän (> 10 vuoden) käyttöiän omaavat OT-laitteet eivät välttämättä tue nykyaikaisia ​​ohjelmistoja ja käyttöjärjestelmää, mikä tekee paikasta kaksinkertaisen haastavan. William Smartin NHS Englandin Lessons Learned -katsauksen mukaan yli 1200 2017 diagnostiikkalaitetta tunnistettiin WannaCry-tartunnan saaneiksi sen jälkeen, kun pahamaineinen uhka tuli esiin vuonna XNUMX.

Sosiaalinen suunnittelu: Tietojenkalastelu on edelleen yksi suurimmista uhista kaikilla aloilla, ja se hyödyntää ihmisen heikkoa lenkkiä tietoturvaketjussa. Paineen alla terveydenhuollon henkilöstö saattaa olla taipuvaisempia napsauttamaan ennen kuin ajattelee.

Etätyöskentely: Terveydenhuolto on omaksunut hybridityöskentelyn mahdollisuuksien mukaan parantaakseen tuottavuutta ja työn ja yksityiselämän tasapainoa. Mutta hajamieliseen henkilöstöön ja turvattomiin kodin laitteisiin/verkkoihin liittyvät riskit jatkuvat.

Haitalliset sisäpiiriläiset: Mielenkiintoista on, että yli kolmannes (35 %) analysoiduista rikkomuksista Verizonilta tänä vuonna alalla tuli sisäpiiriläisiltä. Se varoittaa tyytymättömien työntekijöiden aiheuttamasta uhasta ja useiden osapuolten välisestä salaisesta yhteistyöstä.

Vahingot vuodot: Toinen Verizonin havaitsema trendi on terveydenhuollon henkilöstön arkaluonteisten tietojen väärin toimittaminen. Perusverkkosovellushyökkäysten ohella sekalaiset virheet muodostavat 68 % rikkomuksista.

Toimitusketju: Laajan ja monimutkaisen toimitusketjun vuoksi terveydenhuollon tarjoajat ovat alttiina lisäriskeille. A ransomware-hyökkäys Yhdistyneen kuningaskunnan ohjelmistotoimittaja Advanced on vaikuttanut laajasti NHS:ään viikkojen ajan, mukaan lukien sen kriittinen 111-apupuhelin. Viime aikoina Irlannin HSE myönsi MOVEit-datavarkauskampanja vaikutti siihen.

Mikä on vaakalaudalla?

WannaCry korosti ensimmäistä kertaa nykyaikaisten terveydenhuoltojärjestelmien luotettavuutta digitaaliseen teknologiaan. Yhteensä, se häiritsi 81 Englannin 236 trustista (34 %), mikä johti arviolta 19,000 XNUMX peruutettuun tapaamiseen ja leikkaukseen, ja monet potilaat ohjattiin kauempana oleville A&E-osastoille.

"Kun arviolta päivittäin 950,000 45,000 yleislääkärikäyntiä, 137,000 XNUMX suurta A&E-osaston läsnäoloa ja XNUMX XNUMX kuvantamistapahtumaa kirjataan, terveys- ja sosiaalisektoriin kohdistuvan kyberhyökkäyksen vaikutusten mittakaava – sekä suora että epäsuora - voi olla valtava", hallitus myöntää. .

Tästä aiheutuu tietysti taloudellisia kustannuksia. Irlanti HSE on jo käyttänyt kymmeniä miljoonia euroja hallita laskeuma sen massiivisesta 2021 ransomware-rikkomus. Tutkimus osoitteesta ThreatConnect väittää että keskimäärin jopa 500 miljoonan dollarin tulot HCO:t menettävät arviolta 30 % liiketuloistaan ​​vakavan kiristysohjelmahyökkäyksen seurauksena. Siihen liittyy varmasti myös sääntelyriski, varsinkin jos työntekijän ja potilaan henkilötietoja varastetaan. Vaikka merkittäviä GDPR-sakkoja ei ole tähän mennessä määrätty, sääntelyviranomaiset ovat määrätty ajoittain taloudellisia sakkoja, ja asetuksessa todellakin luokitellaan useimmat lääketieteelliset tiedot "erityisluokkaan", mikä tarkoittaa, että siihen sovelletaan tiukempia sääntöjä.

Potilaiden luottamusta vakavasti heikentävien taloudellisten, maineeseen ja vaatimustenmukaisuuteen kohdistuvien vaikutusten lisäksi on kuitenkin olemassa ilmeisempi riski: potilasturvallisuus. Tutkimukset ovat osoittaneet, kasvava korrelaatio kuolleisuuden ja kyberhyökkäysten välillä. Yhdessä raportissa jopa löydettiin yhteys tietojen välillä rikkomukset ja sydänkohtauskuolemat. Se on paitsi näennäinen riski potilaan terveydelle ransomware-hyökkäyksiltä, ​​jotka vievät tärkeät digitaaliset järjestelmät offline-tilaan.

Miten HCO:t voivat?

Kun otetaan huomioon nämä suuret panokset, kyberriskien vähentäminen Yhdistyneen kuningaskunnan terveydenhuoltoalalla on jokseenkin rohkaisevaa. Hallituksen mukaan Cyber ​​Security Breaches Survey 2023Terveydenhuollon, sosiaalihuollon ja sosiaalialan organisaatiot ovat "merkittävästi" keskimääräistä organisaatiota todennäköisemmin toteuttamassa parhaiden käytäntöjen toimenpiteitä, kuten turvallisuusseurannan, riskinarvioinnin, henkilöstön testauksen, haavoittuvuustarkastuksen, tunkeutumistestauksen ja uhkatiedon toteuttamista. Luku on 74 % terveydenhuoltoyhtiöiden kohdalla verrattuna 51 %:iin kaikilla aloilla. He ovat myös todennäköisemmin (35 % vs. 18 %) järjestäneet henkilöstön tietoturvakoulutusta viimeisten 12 kuukauden aikana. Ja yhä useammalla terveydenhuolto-, sosiaali- ja sosiaalityöorganisaatiolla on käytössä liiketoiminnan jatkuvuussuunnitelmia, jotka kattavat kyberturvallisuuden (46 % vs. 27 %) ja muodolliset turvallisuuspolitiikat (57 % vs. 29 %).

Tehtävää on kuitenkin vielä paljon, eikä ole takeita siitä, että nämä ponnistelut eivät ole pelkkää ruutuun tikittelyä erittäin säännellyllä alalla toimivilta organisaatioilta.

Richard Staynings, Iso-Britannian terveydenhuollon turvallisuusasiantuntijan Cyleran turvallisuusstrategi, väittää, että terveydenhuollon sovellusten, myyjien ja kolmannen osapuolen palveluntarjoajien sertifiointi auttaisi paljon. 

"ISO27001-sertifiointi on erittäin järkevä joillekin palveluille, jotka voidaan sertifioida, kun taas soveltuviin ISO 2 -alueisiin ja -hallintajärjestelmiin perustuva SOC27001 Type II -todistus voi olla järkevämpi muille", hän kertoo ISMS.online-sivustolle. "Joka tapauksessa palveluntarjoajien ei pitäisi joutua arvioimaan toimittajiaan joka vuosi, kuten nyt on. Ainakin kolmansia osapuolia on pidettävä yhtä suurella tai korkeammalla turvatasolla kuin heidän palvelemillaan palveluntarjoajilla. Yhteiset standardit auttaisivat ehdottomasti.”

Armisin terveydenhuollon teknologiajohtaja Mohammad Waqas väittää, että NHS Data Security and Protection Toolkit, ISO 27001:n ja EU:n verkko- ja tietoturvadirektiivin ohella antaa Yhdistyneelle kuningaskunnalle "kypsemmän turvallisuuden perustan" kuin monille muille maille. Hän kuitenkin varoittaa, että erityisesti lääkinnällisten laitteiden turvallisuus on merkittävä riski.

”Pystymys valvoa näitä laitteita ja ymmärtää niiden käyttäytymistä ja riskejä reaaliajassa on avainasemassa potilasturvallisuuden ja sujuvan toiminnan varmistamiseksi. Se mahdollistaa myös riskien ja haavoittuvuuksien ennakoivan tunnistamisen ja antaa luottamusyhtiöille mahdollisuuden ryhtyä oikea-aikaisiin toimiin”, hän kertoo ISMS.online-sivustolle. "Keskitettyä riskinhallintaratkaisua käyttämällä HCO:t voivat omaksua yhtenäisen lähestymistavan riskien vähentämiseen kaikissa laitetyypeissä, mikä varmistaa kokonaisvaltaisen turvallisuusasennon ja parantaa yleistä turvallisuutta."

Terveydenhuollon vaatimustenmukaisuusriskin hallinta

Hallituksen 2030-strategiassa on paljon suositeltavaa, mikä velvoittaa kaikki julkiset terveydenhuollon organisaatiot tarkastamaan säännöllisesti National Cyber ​​Security Centerin kyberturvallisuuden arviointikehyksen (CAF) mukaisesti. Strategia asettaa viisi menestyspilaria:

  1. Keskity suurimpiin riskeihin ja haitoihin
  2. Puolusta yhtenä
  3. Ihmiset ja kulttuuri
  4. Rakenna turvallisesti tulevaisuutta varten
  5. Esimerkillistä reagointia ja toipumista

 

Suuri osa siitä, mitä strategialla pyritään saavuttamaan, on varmistaa, että terveysviranomaiset saavat ensin kyberhygienian perusteet oikein, ja eliminoida suhteellisen perusvirheistä, kuten helposti arvattavista salasanoista, korjaamattomista resursseista ja tietojenkalastelusta, johtuvat riskit. Kun ennaltaehkäisy ei ole mahdollista, ideana on varmistaa, että organisaatioilla on oikeat turvallisuusseurantatyökalut ja häiriötilanteiden reagointiprosessit, jotta ne pystyvät havaitsemaan ja hillitsemään uhkia ennen kuin ne voivat vaikuttaa vakavasti.

ISO 27001 voi auttaa näitä pyrkimyksiä:

  • Tietoturva-aukkojen tunnistaminen
  • Minimoi toimitusketjun riskit
  • Sääntely-/lainsäädäntöön liittyvien pyrkimysten tukeminen
  • Varmista, että henkilökunta on asianmukaisesti koulutettu ja tietoinen turvallisuudesta
  • Rikkomisriskien vähentäminen asianmukaisesti dokumentoiduilla toimintatavoilla ja prosesseilla
  • Riskien hallinta koko kyberhyökkäyspinnalla

 

Kyse on kriittisten IT-järjestelmien kybersietokyvyn parantamisesta, viime kädessä potilaiden luottamuksen rakentamisesta ja terveydenhuollon kyberhyökkäysten taloudellisten ja toiminnallisten vaikutusten vähentämisestä. 

Jos haluat aloittaa matkasi kohti parempaa tietoturvaa ja tietosuojaa, ISMS.online voi auttaa.

ISMS-ratkaisumme mahdollistaa yksinkertaisen, turvallisen ja kestävän lähestymistavan tietosuojaan ja tiedonhallintaan ISO 27001 -standardin avulla ja ylittää muita puitteita, kuten SOC 2:n, GDPR:n ja paljon muuta. Avaa terveydenhuollon vaatimustenmukaisuus jo tänään.

Puhu asiantuntijalle

Viimeksi muokattu: 31. tammikuuta 2024
kirjailija

Phil Muncaster

Phil Muncaster on ollut IT-toimittaja 20 vuotta. Hän aloitti IT-viikon toimittajana vuonna 2005 ja eteni uutistoimittajaksi ennen kuin hän lähti jatkamaan freelance-uraa. Siitä lähtien Phil on kirjoittanut nimikkeisiin, mukaan lukien The Register, jossa hän työskenteli Aasian kirjeenvaihtajana työskennellessään Hongkongissa yli kaksi vuotta, MIT Technology Review, SC Magazine, Infosecurity Magazine ja muut.

Näytä kaikki Phil Muncasterin viestit

Aiheeseen liittyvät julkaisut

DORA on täällä! Paranna digitaalista kestävyyttäsi tänään tehokkaalla uudella ratkaisullamme!