IO:n uusin tietoturvaraportti maalaa kuvan terveydenhuoltoalasta jatkuvan paineen alla. Organisaatiot ovat vastuussa erittäin arkaluonteisten tietojen suojaamisesta, jatkuvasti toimivien palveluiden ylläpidosta ja koordinoinnista monimutkaisten kliinisten, operatiivisten ja toimittajien ekosysteemien välillä. Kun tietoturvakontrollit pettävät, seuraukset ulottuvat taloudellisten menetysten lisäksi potilasturvallisuuteen, palvelun jatkuvuuteen ja yleisön luottamukseen.

Tämän vuoden raportin tulokset osoittavat, että terveydenhuollon tietoturvajohtajat tasapainottelevat kasvavien sääntelyvaatimusten, jatkuvien henkilöstö- ja budjettirajoitusten sekä kasvavan riippuvuuden kolmansista osapuolista välillä. Vaikka tekoälyn mahdollistamat uhat ovat selvästi nousemassa esiin, tiedot viittaavat siihen, että alan määrittelevät haasteet ovat rakenteellisempia: sietokyky, hallinto, työvoiman kapasiteetti sekä tietoturvan ja vaatimustenmukaisuuden skaalaamisen vaikeus monimutkaisissa ympäristöissä.

Vastaajiimme kuului kyber- ja tietoturvajohtajia eri puolilta Iso-Britanniaa ja Yhdysvaltoja. Heidän vastauksensa paljastavat, mihin riskit keskittyvät, miten vaaratilanteet toteutuvat ja mitkä tekijät muokkaavat prioriteetteja tulevalle vuodelle.

Alla puramme tämän vuoden raportista 11 keskeistä tilastoa, jotka jokaisen terveydenhuollon johtajan tulisi ymmärtää.

 

Terveydenhuoltoalan keskeiset tietoturvatilastot

  1. 67 % sanoo, että terveydenhuoltoalan luonne tekee tehokkaiden tietoturvatoimenpiteiden toteuttamisesta erityisen haastavaa.
  2. 77 % sanoo, että sääntelymuutosten nopeus ja määrä tekevät tietoturvastandardien noudattamisesta yhä vaikeampaa.
  3. Budjettirajoitukset ovat yleisimmin mainittu haaste, joka vaikuttaa 51 prosenttiin organisaatioista. Lähes yhtä usein mainitaan tietoturvaosaamisen vaje (47 prosenttia).
  4. 32 % raportoi työuupumuksesta tietoturva- ja vaatimustenmukaisuustiimeissä, ja 32 %:lla on myös vaikeuksia henkilöstön vaihtuvuuden ja pysyvyyden kanssa.
  5. Vain 8 % sanoo, ettei heillä ole ollut kyberturvallisuuspoikkeamia viimeisen 12 kuukauden aikana.
  6. 55 %:iin on vaikuttanut kolmannen osapuolen tai toimitusketjun turvallisuuspoikkeama viimeisen vuoden aikana, ja 20 %:iin useita kertoja.
  7. Tietomurrot ovat edelleen yleisiä: 37 % ilmoittaa murroista yhteensä, ja useimmiten vaarantuvat työntekijöiden tiedot (30 %), kumppaneiden tiedot (28 %) ja taloustiedot (27 %).
  8. 45 % sanoo, että ylin johto pitää tietoturvan vaatimustenmukaisuutta edelleen toissijaisena asiana, vaikka 83 % raportoi selkeästä tietoturvastrategiasta ja 85 % kannattaa hallitustason vastuullisuutta.
  9. 40 % mainitsee työntekijöiden tietämättömyyden keskeisenä tietoturvahaasteena. Yleisiä virheitä ovat julkisten Wi-Fi-verkkojen käyttö (40 %) ja epäilyttävien linkkien napsauttaminen (35 %).
  10. Tehokkaampien tietoturvaprosessien tuottamat ajansäästöt ovat raportoitu vahvin ROI vaatimustenmukaisuudesta, ja 47 % organisaatioista mainitsi ne.
  11. 95 % luottaa kykyynsä reagoida merkittävään kyberturvallisuuspoikkeamaan, ja 68 % sanoo luottamuksen kasvaneen viimeisen vuoden aikana.

Kolmannen osapuolen riippuvuus ja toimitusketjun riski

Terveydenhuollon riippuvuus kolmansista osapuolista on rakenteellista. Kliiniset järjestelmät, hallinnoitu IT, pilvipalvelut, erikoisohjelmistot, lääkinnälliset laitteet ja ulkoistetut toiminnot laajentavat kaikki hyökkäyspinta-alaa. Siksi ei ole yllättävää, että puolet vastaajista (50 %) on samaa mieltä siitä, että toimitusketjun riskit ovat nyt "lukemattomia ja hallitsemattomia", ja tapahtumatiedot tukevat tätä huolta.

55 % terveydenhuollon organisaatioista on kokenut kolmannen osapuolen aiheuttaman ongelman viimeisten 12 kuukauden aikana, ja joka viidenteen (20 %) organisaatioon tämä ongelma on vaikuttanut useita kertoja. Merkittävää on seurausten luonne. Toimittajaongelmat eivät ainoastaan ​​aiheuta vaatimustenmukaisuuteen liittyvää työtä, vaan ne häiritsevät toimitusta. Vastaajat raportoivat yleisimmin viivästyksistä tai häiriöistä palvelujen toimittamisessa (36 %), keskeisten kumppanuuksien tai sopimusten menetyksestä (36 %) ja tilapäisistä toiminnan häiriöistä (33 %). Lähes kolmanneksessa tapauksista organisaatiot irtisanoivat toimittajan kokonaan (30 %), mikä osoittaa, että toimittajien luottamus on yhä ehdollisempaa.

Toimittajien odotukset tiukentuvat vastaavasti. Terveydenhuollon organisaatiot vaativat nyt kumppaneilta sekä toimialakohtaisia ​​että yleisiä viitekehyksiä, mukaan lukien HIPAA (35 %), Cyber ​​Essentials (37 %), NIST (29 %), sekä ISO-standardeja, kuten 27001, 27701 ja 42001 (20 % kumpikin). Myös erikoistuneet järjestelmät, kuten HITRUST (23 %) ja ISO 13485 (20 %), ovat yhä yleisempiä. Vain 3 % ilmoittaa, ettei vaadi standardeja lainkaan.

Kulkusuunta on selvä: kolmannen osapuolen varmennus siirtyy due diligence -tarkastuksesta toiminnan sietokyvyn hallintaan, jossa vaatimukset tiukennetaan, validointi tihenee ja toimittajan tilanteen ja jatkuvuussuunnittelun välillä on tiiviimpi yhteys.

Jatkuva tapahtumaympäristö

Raportista käy ilmi myös, että terveydenhuollon organisaatiot toimivat korkean tietoturvariskin omaavassa lähtötilanteessa yksittäisten tapahtumien sijaan. Vain 8 % raportoi välttäneensä kyberturvallisuusongelmia kokonaan viimeisten 12 kuukauden aikana. Tietomurrot vaikuttivat 37 prosenttiin organisaatioista, kun taas tietojenkalastelu tai verkkohuijaus (32 %), haittaohjelmatartunnat (27 %), pilvimurrot (25 %) ja verkkoon tunkeutuminen (22 %) ovat edelleen yleisiä.

Vaarantuneiden tietojen laajuus heijastaa terveydenhuollon monimutkaisia ​​tiedonkulkuja. Työntekijöiden tiedot vaarantuivat 30 %:ssa organisaatioista, seuraavaksi kumppanitiedot (28 %), taloustiedot (27 %), tutkimustiedot (27 %) ja tuotetiedot (23 %). Henkilötietoja vaarantui harvemmin (20 %), mutta sen vaikutus on suhteeton.

Henkilötietojen tietomurroista 75 % johti oikeudellisiin tai sääntelyyn liittyviin sakkoihin tai kustannuksiin, ja puolet (50 %) johti liiketoiminnan lopettamiseen tai strategiseen uudelleenjärjestelyyn. Tämä korostaa tietojen vaarantumisen ainutlaatuisen suurta panosta terveydenhuollossa, jossa sääntelyyn, maineeseen ja toimintaan liittyvät seuraukset yhtyvät.

Toisin sanoen, häiriöt eivät ole enää poikkeuksellisia vikoja. Ne ovat toistuva operatiivinen riski, joka on ennakoitava, siedettävä ja josta on toivuttava osana normaalia palveluntarjoamista.

Työvoimakapasiteetti ja operatiivinen rasitus

Tapahtumatietojen taustalla on kuva toimialasta, joka on jatkuvan operatiivisen paineen alla. Budjettirajoitukset vaikuttavat 51 prosenttiin terveydenhuollon organisaatioista, mikä tekee niistä yleisimmin mainitun haasteen. Samaan aikaan 47 % raportoi tietoturvaosaamisen vajeesta, kun taas 32 % mainitsee työuupumuksen tietoturva- ja vaatimustenmukaisuustiimeissä ja 32 % kamppailee henkilöstön vaihtuvuuden ja pysyvyyden kanssa.

Näitä paineita pahentaa rakenteellinen monimutkaisuus. 37 % mainitsee IT:n ja teknologian leviämisen haasteena, ja 33 %:lla on vaikeuksia määrittää, mitkä tietoturvaprosessit voidaan automatisoida turvallisesti. Työkalujen lisääntyessä ja vastuiden laajentuessa tiimien on yhä useammin hallittava pirstaloitunutta työnkulkua, päällekkäisiä koontinäyttöjä ja epäjohdonmukaista näyttöä.

Jatkuvan palvelupaineen alla toimiville terveydenhuollon organisaatioille tämä johdonmukaisuuden puute johtaa suoraan riskeihin: näkyvyyden puutteisiin, viivästyneisiin reagointeihin ja yksilöllisen asiantuntemuksen korostumiseen. Ajan myötä tämä ei ole kestävä toimintamalli.

Sääntelypaine ja vaatimustenmukaisuuden toteutus

Sääntelyn monimutkaisuus oli myös yksi terveydenhuollon turvallisuusmaiseman määrittelevistä piirteistä raportissamme. 77 % sanoo, että sääntelymuutosten nopeus ja määrä tekevät vaatimustenmukaisuuden ylläpitämisestä yhä vaikeampaa, kun taas 39 % mainitsee määräysten ja standardien noudattamisen suorana operatiivisena haasteena.

Kyvykkyydet ovat epätasaiset. Vain 27 % kokee olevansa täysin valmiita hallitsemaan päällekkäisiä säännöksiä ja puitteita, kuten GDPR, NIS 2 ja HIPAA-lainsäädäntöä, kun taas 33 % tarvitsee ulkopuolista apua satunnaisesti. Loput raportoivat ajanpuutteesta, erikoisosaamisesta tai hallitustason tuesta.

Tämä velvoitteiden ja niiden toteuttamisen välinen kuilu näkyy tuloksissa. 70 % organisaatioista on saanut viimeisen vuoden aikana ainakin yhden tietosuojasakon, ja merkittävä osa on saanut kuusinumeroisia sakkoja. Tiedot osoittavat kuitenkin myös, että rakenteella on merkitystä. Joka viides ei ilmoita merkittävistä haasteista tietosuojalainsäädännön noudattamisessa. ISO 27001, mikä viittaa siihen, että kun kontrollit, todisteet ja tarkastusprosessit on systematisoitu, vaatimustenmukaisuudesta tulee ennustettavampaa ja vähemmän rasittavaa.

Kun vaatimustenmukaisuus toteutetaan hyvin, siitä seuraa konkreettisia hyötyjä. 47 % mainitsee ajansäästöjä tehokkaampien tietoturvaprosessien ansiosta, 38 % parantuneen päätöksenteon ja 37 % alentuneet tapauksiin liittyvät kustannukset. Tämä vahvistaa väitettä, että kun organisaatiot siirtyvät vaatimustenmukaisuudesta velvoitteena vaatimustenmukaisuuteen operatiivisena kurina, hyöty on merkittävä.

Ihmisen käyttäytyminen ja sisäänrakennettu riski

Työntekijöiden käyttäytyminen altistaa terveydenhuolto-organisaatiot edelleen vältettävissä oleville riskeille. 40 % mainitsee työntekijöiden tietämättömyyden nykyisenä haasteena, ja raportoidut käyttäytymismallit heijastavat tätä kuilua. 40 % kertoo henkilöstön käyttävän julkista Wi-Fiä työasioissa, 35 % raportoi napsauttavansa epäilyttäviä linkkejä ja 32 % raportoi generatiivisten tekoälytyökalujen luvattomasta käytöstä. Heikot salasanakäytännöt ja suojaamattomat henkilökohtaiset laitteet vaikuttavat kukin 28 prosenttiin organisaatioista.

Nämä käyttäytymismallit ovat harvoin seurausta välinpitämättömyydestä. Ne heijastavat ympäristöjä, joissa turvalliset prosessit ovat pirstaloituneet, epäjohdonmukaisia ​​tai vaikeasti seurattavia. Kun turvatoimet lisäävät kitkaa tai hidastavat toimitusta, henkilöstö pyrkii olettamaan mukavuudenhalusta.

Terveydenhuollon ympäristöissä, joissa työntekijöillä on usein pääsy kliinisiin järjestelmiin ja arkaluonteisiin tietoihin, turvallisen käyttäytymisen sisällyttäminen jokapäiväisiin työnkulkuihin on yhtä tärkeää kuin virallinen tietoisuuskoulutus.

Tekoäly vahvistimena, ei ydinrajoitteena

Tekoälyllä on merkittävä rooli terveydenhuollon uusissa uhkakuvissa. 51 % mainitsee tekoälyn tuottaman väärän tiedon ja disinformaation suurimpana huolenaiheena, kun taas 47 % viittaa tekoälyn aiheuttamaan tietojenkalasteluun. Sisäisesti 33 % on huolissaan generatiivisten tekoälytyökalujen väärinkäytöstä, ja 52 % on samaa mieltä siitä, että he ottivat tekoälyn käyttöön liian nopeasti ja kamppailevat nyt sen vastuullisen hallinnan kanssa.

Samaan aikaan 45 % sanoo tekoälyn ja koneoppimisteknologiat haittaavan tällä hetkellä heidän tietoturvavalmiuksiaan, ja 63 % uskoo tekoälyn kehityksen hämärtävän perinteisiä turvallisuusrooleja.

Tiedot kuitenkin viittaavat siihen, että tekoäly vahvistaa olemassa olevia heikkouksia sen sijaan, että loisi kokonaan uusia. Hallintoaukkoja, työvoiman rajoitteita, riippuvuutta kolmansista osapuolista ja sääntelyn monimutkaisuutta pidetään edelleen vallitsevina paineina. Tekoäly lisää riskien nopeutta ja mittakaavaa, mutta se ei korvaa tarvetta jäsennellyille kontrolleille, selkeälle vastuuvelvollisuudelle ja integroidulle valvonnalle.

Luottamus, valmistautuminen ja tulevaisuus

Huolimatta suurista tietoturvaloukkausten määristä ja kasvavasta paineesta, luottamus terveydenhuoltoon on edelleen huomattavan korkea. 95 % sanoo olevansa luottavainen kykyynsä reagoida merkittävään kyberturvallisuusongelmaan, ja 68 % kertoo luottamuksensa kasvaneen viimeisen vuoden aikana.

Tämä luottamus perustuu konkreettiseen kyvykkyyteen. Lähes puolet (47 %) suorittaa säännöllisiä tietohäiriöihin reagointitestejä, 49 %:lla on selkeästi määritellyt roolit tietohäiriöiden aikana ja 42 % ylläpitää dokumentoituja toimintasuunnitelmia. Monet integroivat reagoinnin liiketoiminnan jatkuvuuteen ja katastrofien palautumiseen (33 %) ja luottavat ulkoiseen tukeen, kuten MSSP:hen tai lakimieheen (30 %).

Jäljelle jäävä haaste on johdonmukaisuus. Luottamus on vahvimmillaan silloin, kun tapaturmien reagointia harjoitellaan, toimittajien skenaariot otetaan huomioon ja johto on aktiivisesti mukana ennen tapauksia, niiden aikana ja niiden jälkeen.

Tämän vuoden havainnoissa on yksi johdonmukainen teema: manuaaliset, pirstaloituneet ja henkilöstä riippuvat lähestymistavat ovat saavuttamassa rajansa. Terveydenhuollon organisaatiot, jotka ottavat käyttöön integroituja ja toistettavia järjestelmiä turvallisuuden, riskien ja vaatimustenmukaisuuden hallintaan sekä sisäisissä tiimeissä että kolmansien osapuolten ekosysteemeissä, pystyvät parhaiten ylläpitämään selviytymiskykyä ylikuormittamatta jo ennestään kuormitettuja resursseja.

Lue koko tietoturvaraportti.