NIS-säännökset: Englannin terveydenhuoltosektorin kyberturvallisuuden uusi aikakausi
Sisällysluettelo:
Kun ajattelee Terveydenhuollon haasteita, mieleen saattaa tulla rahoituksen ja henkilökunnan puute, pitkät jonot, kasvava väestö ja jatkuvasti muuttuvat potilaiden tarpeet.
Silti yksi kyberhyökkäys voi kaataa kaikki NHS:n tärkeät tietoliikennejärjestelmät offline-tilaan, mikä vaikeuttaa etulinjan lääkäreiden ja sairaanhoitajien työnsä tekemistä ja lopulta ihmishenkien pelastamista. Pohjois-Korean hakkereiden suorittama pahamaineinen WannaCry-verkkohyökkäys, tartunnan tietokoneita 595 lääkärin vastaanotolla Englannissa ja häiritsi kolmanneksen Englannin NHS:n sairaalarahastoista.
Sen lisäksi, että NHS:ää vastaan tehdyt kyberhyökkäykset vaikuttavat lääkärin vastaanottojen ja sairaaloiden päivittäiseen toimintaan eri puolilla maata, ne voivat myös johtaa arkaluonteisten terveystietojen vuotamiseen. Kesäkuussa The Independent raportoitu että kyberrikolliset varastivat 1.1 miljoonan NHS-potilaan henkilötiedot 200 sairaalassa käynnistettyään kiristysohjelmahyökkäyksen Manchesterin yliopistoon. Uskotaan, että nämä vuotaneet tiedot sisälsivät potilaiden NHS-numerot ja osan heidän kotinumeroistaan.
Yhteinen kyberyksikkö on julkaissut pyrkiessään estämään tulevat kyberhyökkäykset ja tietovuodot, jotka vaikuttavat NHS:ään. uudet ohjeet koskien verkko- ja tietojärjestelmien (NIS) säännösten käyttöönottoa terveydenhuoltoorganisaatioissa Englannissa. Tämä päätös ehdottaa, että sääntelyviranomaiset pitävät terveydenhuollon tietoja nyt kriittisenä kansallisena infrastruktuurina (CNI). Joten miksi näin on, ja mitä uudet ohjeet tarkoittavat terveydenhuollon tarjoajille Englannissa?
Mitä ovat NIS-säännökset?
Toukokuussa 2018 lakikirjoihin tulleiden NIS-säännösten tavoitteena on vahvistaa keskeisten palvelujen operaattoreiden kyberturvallisuusasentoa. Nämä organisaatiot tarjoavat toimivalle yhteiskunnalle ja taloudelle kriittisiä palveluja, mukaan lukien liikenne, vesi, sähkö ja nyt terveydenhuolto.
Uusissa ohjeissa valtion virkamiehet kuvailevat terveydenhuoltoa "tärkeäksi palveluksi NIS-asetusten mukaisesti". Se luokittelee NHS-säätiöt, säätiörahastot, integroidut hoitolautakunnat (ICB) ja tietyt riippumattomat palveluntarjoajat "terveydenhuoltopalvelujen OES:iksi", mikä tarkoittaa, että niiden on ryhdyttävä asianmukaisiin toimiin NIS-asetusten noudattamiseksi.
Näiden sääntöjen mukaan terveydenhuollon organisaatioiden on kyettävä hallitsemaan kaikkia kyberturvallisuusuhkia, jotka vaikuttavat niiden verkkoon ja tietojärjestelmiin, joita ne käyttävät tärkeiden palvelujen tuottamiseen. Tämä tarkoittaa terveydenhuollon verkkoihin ja tietojärjestelmiin kohdistuvien kyberhyökkäysten ehkäisemistä ja vaikutusten minimoimista samalla kun "varmistetaan näiden palvelujen jatkuvuus".
NIS-säännökset tarkoittavat, että terveydenhuollon tarjoajien on omaksuttava "kattavat riskinhallintakäytännöt", Logpointin julkisen sektorin asiantuntijan Jack Porterin mukaan. Näihin toimenpiteisiin kuuluu "mahdollisten riskien arviointi, turvatoimien toteuttaminen ja niiden säännöllinen tarkistaminen potilastietojen suojaamiseksi".
Terveydenhuollon tarjoajien on myös otettava käyttöön "enemmän toimitusketjun turvallisuuteen liittyviä käytäntöjä" noudattaakseen NIS-sääntöjä. Porter sanoo: "Tämä tarkoittaa sen varmistamista, että kumppanit ja toimittajat noudattavat terveydenhuollon tarjoajille asetettuja tiukkoja turvallisuusstandardeja, erityisesti käsitellessään potilastietoja tai tarjotessaan tärkeitä palveluita."
Kyberturvallisuusriskien vähentämisessä ja viime kädessä NIS-määräysten noudattamisessa Porter suosittelee terveydenhuollon tarjoajia ottamaan käyttöön tietoturvan hallintajärjestelmän (ISMS). Hän lisää, että tietoturva- ja tapahtumatapahtumien hallintajärjestelmän (SIEM) käyttöönotto mahdollistaisi terveydenhuollon organisaatioiden "havaitsemisen ja reagoinnin" sekä alan standardien, kuten ISO 27001:n, noudattamisen.
Kehittyvät tekniikat, kuten lohkoketju, voivat myös auttaa terveydenhuollon tarjoajia suojaamaan tärkeitä järjestelmiä kyberhyökkäyksiltä ja tietovuodoilta. Simon Bain, tekoälyasiantuntija ja OmniIndexin toimitusjohtaja, selittää, että hajautettu tekniikka "tarjoaa parannettua turvallisuutta, yksityisyyttä ja läpinäkyvyyttä vanhaan infrastruktuuriin".
Hän jatkaa: "Tämä johtuu siitä, että se on salattu päästä päähän, siinä ei ole keskitettyä sijaintia rikollisten hyökätä varten ja se käyttää tekoälyä jatkuvaan todentamiseen ja käyttöoikeuksien valtuutukseen varmistaakseen, että vain ne, joilla on lupa tarkastella tiettyjä tietoja, voivat tarkastella sitä. Lisäksi tallennetut tiedot ovat muuttumattomia. Tämä tarkoittaa, että vaikka hyökkäys olisi onnistunut, hyökkääjä ei voi salata tietoja ja pitää lunnaita."
Kybertapahtumien ilmoittaminen
Jos terveydenhuollon tarjoajan verkkoon ja tietojärjestelmiin vaikuttaa kyberturvallisuushäiriö, joka vaikuttaa hänen olennaisten palveluidensa jatkuvuuteen, hänen on tehtävä ilmoitus käyttäen Data Security and Protection Toolkit (DSPT).
Heidän on raportoitava tapauksesta vähintään 72 tunnin kuluttua sen havaitsemisesta ja annettava tiedot siitä, kuinka moneen käyttäjään rikkomus on vaikuttanut, sen pituudesta ja maantieteellisestä sijainnista, johon se vaikuttaa.
Porter sanoo, että NIS-säännöt ovat samanlaisia GDPR sikäli, että ne pyrkivät "laajentamaan vaaratilanteiden raportointivaatimuksia palvelun jatkuvuuteen vaikuttavia vaatimuksia pidemmälle. Hän selittää: "Terveydenhuollon tarjoajien on raportoitava merkittävistä verkkoon ja tietojärjestelmiinsä vaikuttavista tapauksista tietoturvatarkastuksen suosituksilla."
Hän sanoo, että SIEM-alustan käyttöönotto mahdollistaa terveydenhuollon kyberturvallisuustapausten tapausten hoitajien "nopeuttaa tutkintaa ja reagointia". Nämä järjestelmät tarjoavat lokiuhkatiedon, joka antaa tutkijoille "täydellisen kuvan siitä, mitä tapahtuu" ja antaa heille mahdollisuuden "luoda raportteja suoraan kustakin tapauksesta".
Miksi NIS on tärkeä terveydenhuollolle?
Yhdistyneen kuningaskunnan hallituksen päätökseen soveltaa NIS-määräyksiä Englannin terveydenhuoltoalalle on useita mahdollisia syitä. Ehkä suurin motivaattori on se, että monimutkaisilla toisiinsa yhdistetyillä järjestelmillä on ratkaiseva rooli nykyaikaisen terveydenhuollon päivittäisessä toiminnassa.
Terveysteknologiat lyövät NHS:n sydäntä vuonna 2023 sähköisistä terveystietueista Internetiin liitettäviin diagnostisiin laitteisiin. Ne ovat myös tuottoisa kohde verkkorikollisille, ja niitä on suojeltava, jotta vältetään katastrofaaliset tietoturvaloukkaukset, jotka voivat vaikuttaa Englannin terveydenhuoltojärjestelmään.
Matt JD Aldridge, OpenText Cybersecurityn tärkein ratkaisukonsultti, sanoo terveydenhuoltotietojen "erittäin arkaluontoinen" luonne ja sen arvo kyberrikollisille ovat todennäköisesti merkittäviä tekijöitä hallituksen päätöksessä soveltaa NIS-määräyksiä Englannin terveydenhuoltojärjestelmään.
"Jos hyökkäys häiritsi lääketieteellistä laitosta, se tuo vakavan riskin potilaille. Tästä syystä ala on erittäin paljon valokeilassa, ja siksi turvallisuuteen on puututtava monin tavoin”, hän sanoo.
"Lisäksi NHS:ää on viime vuosina tapahtunut lukuisia, hyvin julkistettuja hyökkäyksiä tai rikkomuksia, mikä on saattanut vauhdittaa tätä uudelleenjärjestelyä varmistaakseen paremman suojan ja ohjauksen terveydenhuoltoorganisaatioille kokonaisuudessaan."
Koronaviruspandemia korosti NHS:n merkitystä kansanterveyshätätilanteessa, joten voidaan väittää, että häiriintynyt terveydenhuoltojärjestelmä olisi huono Britannian kansalliselle turvallisuudelle. NHS:n kybersietokykyä parantamalla kansallisvaltiot eivät pysty häiritsemään Britannian kykyä tarjota tehohoitoa tulevien pandemioiden ja muiden kansanterveyskriisien aikana.
Terveydenhuollon tarjoajien alistaminen NIS-määräyksiin antaa heille mahdollisuuden ottaa käyttöön kyberturvallisuuden parhaita käytäntöjä lieventääkseen tulevia kyberhyökkäyksiä ja tietomurtoja, jotka muuten vaarantaisivat potilaat, johtaisivat valtaviin sakkoihin ja vahingoittaisivat maineensa. Englannin päätös vahvistaa terveydenhuoltosektorinsa kyberturvallisuutta tällä tavalla innostaa todennäköisesti muitakin maita samanlaisiin toimiin, mikä lisää Britannian vaikutusvaltaa maailmannäyttämöllä.
NIS-säännösten saaminen toimimaan
Hyödyistään huolimatta NIS-säännökset voivat asettaa erilaisia haasteita terveydenhuoltoorganisaatioille Englannissa. Erityisesti pienemmät palveluntarjoajat kärsivät kyberturvallisuusjärjestelmien hankinnan ja vanhojen IT-järjestelmien päivittämisen taloudellisesta taakasta. Näiden asioiden tekeminen vaatii myös erityisosaamista, jota pienillä terveydenhuollon tarjoajilla ei välttämättä ole talon sisällä. Henkilökunnan kouluttaminen kyberhyökkäysten tunnistamiseen ja niihin reagoimiseen vie jonkin aikaa.
Kaiken kaikkiaan NIS-säännösten käyttöönotto Englannin terveydenhuoltoalalla suojaa sitä olemassa olevilta ja uusilta kyberturvallisuusuhkilta. Mutta jotta tämä siirtymä onnistuisi, hallitusten, sääntelyviranomaisten, terveydenhuollon tarjoajien ja kyberturvallisuusasiantuntijoiden välinen tiivis yhteistyö on välttämätöntä.
