At få sundhedssikkerhed rigtigt starter med det grundlæggende
Indholdsfortegnelse:
Ingen organisation ønsker at lide et større sikkerhedsbrud. Men når det sker for sundhedsorganisationer (HCO'er) som NHS-truster, kan der være en overordnet indvirkning på lokalsamfundet. WannaCry-angrebene i 2017 og Conti ransomware-razzia på Irlands Health Service Executive (HSE) afslørede mangler på begge sider af Det Irske Hav. Mens der er foretaget forbedringer, fortsætter mange underliggende udfordringer med at udsætte sektoren for alvorlig cyberrisiko. Med indsatsen så høj, er en omfattende samlet tilgang til håndtering af disse risici længe påkrævet.
Indstilling af scenen
Hvorfor er HCO'er så udsat for cyberrisiko? Som regeringen erkender i sin egen sikkerhedsstrategi for sektoren frem til 2030 stammer meget af den fra en række unikke faktorer, herunder:
- Dens størrelse og mangfoldighed gør det vanskeligt at standardisere tilgange på tværs af alle bestanddele, fra primær til voksenpleje. Det betyder også, at data bliver delt af et potentielt stort antal forskellige enheder, hvilket kan øge risikoen.
- Begrænsede ressourcer og cybersikkerhedsspecialister at bruge på problemet
- Uklare rapporterings- og ansvarlighedslinjer
- Ekstremt højt driftspres, som kun er steget med COVID-19-efterslæb
- En stor ejendom af forskellige teknologiaktiver – fra diagnosemaskiner til patientbookingssystemer og recepttjenester. Mange operationelle teknologisystemer (OT) kan være vanskelige eller næsten umulige at lappe
Hvad er de vigtigste cybertrusler mod sundhedsvæsenet?
Når det er sagt, ligner mange af de trusler, som HCO'er står over for, dem i andre sektorer. De omfatter:
Softwaresårbarheder: ofte forværret af brugen af ikke-understøttede operativsystemer. OT-udstyr med en lang (> 10-årig) levetid understøtter muligvis ikke moderne software og OS, hvilket gør patching dobbelt udfordrende. Ifølge William Smarts Lessons Learned-gennemgang af NHS England blev over 1200 stykker diagnostisk udstyr identificeret som inficeret med WannaCry, efter at den berygtede trussel dukkede op i 2017.
Social teknik: Phishing er fortsat en af de største trusselsvektorer på tværs af alle sektorer og udnytter det menneskelige svage led i sikkerhedskæden. Under pres kan sundhedspersonale være mere tilbøjelige til at klikke, før de tænker.
Fjernarbejde: Healthcare har taget hybridarbejde til sig, hvor det er muligt for at forbedre produktiviteten og balancen mellem arbejde og privatliv. Men risici forbundet med distraheret personale og usikre hjemmeenheder/netværk fortsætter.
Ondsindede insidere: Interessant nok blev over en tredjedel (35%) af overtrædelserne analyseret af Verizon i år i sektoren kom fra insidere. Den advarer mod truslen fra utilfredse medarbejdere og samordning mellem flere parter.
Utilsigtede utætheder: En anden tendens, som Verizon har opdaget, er sundhedspersonalets fejllevering af følsomme oplysninger. Sammen med grundlæggende webapplikationsangreb repræsenterer diverse fejl 68 % af overtrædelserne.
Forsyningskæde: Med en stor og kompleks forsyningskæde er sundhedsudbydere udsat for yderligere risici. EN ransomware angreb på den britiske softwareleverandør Advanced har haft en udbredt indflydelse på NHS i ugevis, inklusive dets kritiske 111-hjælpelinje. For nylig, Irlands HSE indrømmet MOVEit datatyverikampagnen påvirkede det.
Hvad er der ved Stake?
WannaCry fremhævede for første gang graden af afhængighed, som moderne sundhedssystemer har til digital teknologi. I alt, det forstyrrede 81 ud af 236 truster i England (34%), hvilket førte til anslået 19,000 aflyste aftaler og operationer, med mange patienter henvist til akutmodtagelsesafdelinger længere væk.
"Med anslået daglige 950,000 samtaler i almen praksis, 45,000 tilstedeværelser i større akutafdelinger og 137,000 registrerede billedbegivenheder, er omfanget af påvirkning - både direkte og indirekte - fra et cyberangreb på sundheds- og socialsektoren potentielt enorm," indrømmer regeringen. .
Der er selvfølgelig en økonomisk omkostning ved dette. Irland HSE har allerede brugt titusindvis af millioner euro håndtering af nedfaldet fra dets massive 2021 ransomware brud. En undersøgelse fra ThreatConnect hævder at HCO'er på op til $500 mio. i omsætning i gennemsnit mister estimeret 30% af driftsindtægterne, hvis de bliver ramt af et alvorligt ransomware-angreb. Der er bestemt også en regulatorisk risiko, især hvis medarbejder og patient personlige oplysninger bliver stjålet. Selvom der ikke har været nogen væsentlige GDPR-bøder til dato, har tilsynsmyndigheder det lejlighedsvis pålagt økonomiske bøder, og forordningen klassificerer faktisk de fleste medicinske data som en "særlig kategori", hvilket betyder, at de er underlagt strengere regler.
Men ud over den økonomiske, omdømmemæssige og compliance-påvirkning, som alvorligt kan forringe patienttilliden, er der en mere åbenlys risiko: patientsikkerhed. Undersøgelser har vist, en voksende sammenhæng mellem dødelighed og cyberangreb. En rapport fandt endda en sammenhæng mellem data brud og dødsfald ved hjerteanfald. Det er bortset fra det tilsyneladende risiko for patientens sundhed fra ransomware-angreb, der bringer kritiske digitale systemer offline.
Hvordan har HCO'er det?
I betragtning af disse høje indsatser er det noget betryggende at se fremskridt med hensyn til reduktion af cyberrisiko i den britiske sundhedssektor. Ifølge regeringens Cyber Security Breaches Survey 2023, organisationer i sundheds-, social- og socialsektoren er "betydeligt" mere tilbøjelige end den gennemsnitlige organisation til at tage best practice-handlinger som implementering af sikkerhedsovervågning, risikovurderinger, personaletest, sårbarhedsrevision, penetrationstest og trusselsintelligens. Tallet er 74 % for HCO'er mod 51 % på tværs af alle sektorer. De er også mere tilbøjelige (35 % mod 18 %) til at have gennemført personalesikkerhedsbevidsthedstræning i løbet af de sidste 12 måneder. Og flere organisationer inden for sundhed, social pleje og socialt arbejde har forretningskontinuitetsplaner, der dækker cybersikkerhed (46 % mod 27 %) og formelle sikkerhedspolitikker (57 % mod 29 %) på plads.
Der er dog stadig mere at gøre, og der er ingen garanti for, at disse bestræbelser ikke blot er afkrydsningsøvelser fra organisationer, der opererer i en stærkt reguleret sektor.
Richard Staynings, Chief Security Strategist for den britiske sundhedssikkerhedsspecialist Cylera, hævder, at certificering af sundhedsapplikationer, leverandører og tredjepartstjenesteudbydere ville hjælpe en hel del.
"ISO27001-certificering giver meget mening for nogle tjenester, der kan certificeres, mens en SOC2 Type II-attest baseret på gældende ISO 27001-domæner og kontroller kan give bedre mening for andre," siger han til ISMS.online. “Udbydere bør i hvert fald ikke være nødt til at risikere at vurdere deres leverandører hvert eneste år, som det er tilfældet i øjeblikket. I det mindste skal tredjeparter holdes på samme eller højere sikkerhedsniveauer end de udbydere, de betjener. Fælles standarder ville helt sikkert hjælpe.”
Mohammad Waqas, CTO for Healthcare hos Armis, hævder, at NHS Data Security and Protection Toolkit, sammen med ISO 27001 og EU's NIS-direktiv, giver Storbritannien "en mere moden sikkerhedsbaseline" end mange andre lande. Han advarer dog om, at især medicinsk udstyrssikkerhed udgør en betydelig risiko.
"At være i stand til at overvåge disse enheder og forstå deres adfærd og risiko i realtid er nøglen til at sikre patientsikkerhed og problemfri drift. Det muliggør også proaktiv identifikation af risici og sårbarheder, hvilket giver tillid til at træffe rettidig handling,” siger han til ISMS.online. "Ved at bruge en centraliseret risikostyringsløsning kan HCO'er vedtage en samlet tilgang til risikoreduktion på tværs af alle enhedstyper, hvilket vil sikre en holistisk sikkerhedsposition og forbedre den overordnede sikkerhed."
Håndtering af overholdelsesrisiko i sundhedssektoren
Der er meget at anbefale i regeringens 2030-strategi, som pålægger alle offentlige sundhedsorganisationer at blive revideret regelmæssigt under National Cyber Security Centers Cybersecurity Assessment Framework (CAF). Strategien opstiller fem nøglesøjler for succes:
- Fokuser på de største risici og skader
- Forsvar som én
- Mennesker og kultur
- Byg sikkert for fremtiden
- Eksemplarisk respons og bedring
En stor del af det, strategien forsøger at opnå, er at sikre, at HCO'er først får de grundlæggende cyberhygiejne i orden, for at eliminere de risici, der stammer fra relativt basale fejl som let-at-gætte adgangskoder, ikke-patchede aktiver og phishing. Hvor forebyggelse ikke er mulig, er ideen at sikre, at organisationer har de rigtige sikkerhedsovervågningsværktøjer og hændelsesresponsprocesser for at sikre, at de kan opdage og indeholde trusler, før de kan gøre en alvorlig indvirkning.
ISO 27001 kan hjælpe disse bestræbelser ved at:
- Identificering af sikkerhedshuller
- Minimering af forsyningskæderisici
- Støtte til bestræbelser på at overholde lovgivning/lovgivning
- Sikre, at personalet er passende uddannet og sikkerhedsbevidste
- Reduktion af brudrisici gennem korrekt dokumenterede politikker og processer
- Håndtering af risiko på tværs af hele cyberangrebsoverfladen
Det handler om at forbedre kritiske it-systemers cyberresiliens, i sidste ende at opbygge tillid til patienterne og reducere den økonomiske og operationelle effekt af cyberangreb fra sundhedsvæsenet.
Hvis du ønsker at starte din rejse mod bedre informationssikkerhed og databeskyttelse, kan ISMS.online hjælpe.
Vores ISMS-løsning muliggør en enkel, sikker og bæredygtig tilgang til databeskyttelse og informationshåndtering med ISO 27001 og overlader andre rammer såsom SOC 2, GDPR og mere. Lås op for din overholdelse af sundhedspleje i dag.
