NIS Regulations: A New Era of Cybersecurity for Englands Healthcare Sector
Indholdsfortegnelse:
Når du tænker på de udfordringer, som det nationale sundhedsvæsen står over for, kan ting som mangel på midler og personale, lange ventelister, en voksende befolkning og konstant skiftende patientbehov dukke op.
Alligevel har et enkelt cyberangreb magten til at slå alle NHS' kritiske informationskommunikationssystemer offline, hvilket gør det sværere for frontlinjelæger og sygeplejersker at udføre deres arbejde og i sidste ende redde liv. Det berygtede WannaCry-cyberangreb, udført af nordkoreanske hackere, inficeret computere på tværs af 595 lægeoperationer i England og forstyrrede driften af en tredjedel af engelske NHS-hospitalfonde.
Ud over at påvirke den daglige drift af lægeoperationer og hospitaler over hele landet, kan cyberangreb mod NHS også resultere i lækage af følsomme sundhedsdata. I juni, The Independent rapporteret at cyberkriminelle stjal personlige data fra 1.1 millioner NHS-patienter på 200 hospitaler efter at have lanceret et ransomware-angreb på University of Manchester. Det menes, at disse lækkede data inkluderede patienters NHS-numre og en del af deres hjempostnumre.
For at forhindre fremtidige cyberangreb og datalækager, der påvirker NHS, har Joint Cyber Unit udgivet ny vejledning vedrørende udrulningen af reglerne om netværk og informationssystemer (NIS) på tværs af sundhedsorganisationer i England. Denne beslutning foreslår, at regulatorer nu ser sundhedsdata som en kritisk national infrastruktur (CNI). Så hvorfor er dette tilfældet, og hvad betyder den nye vejledning for sundhedsudbydere i England?
Hvad er NIS-regler?
NIS-reglerne, som kom i lovbøgerne i maj 2018, har til formål at styrke cybersikkerhedspositionen for operatører af væsentlige tjenester (OES'er). Disse organisationer leverer tjenester, der er afgørende for et fungerende samfund og økonomi, herunder transport, vand, elektricitet og nu sundhedspleje.
I ny vejledning beskriver embedsmænd sundhedspleje som "en væsentlig service under NIS-forordningerne". Det klassificerer NHS-trusts, foundation-trusts, integrerede plejeråd (ICB'er) og specifikke uafhængige udbydere som "OES'er for sundhedsydelser", hvilket betyder, at de skal tage passende skridt for at overholde NIS-reglerne.
I henhold til disse regler skal sundhedsorganisationer være i stand til at håndtere alle cybersikkerhedstrusler, der påvirker netværket og informationssystemer, de bruger til at levere væsentlige tjenester. Dette indebærer at forebygge og minimere effekten af cyberangreb på sundhedsnetværk og informationssystemer, samtidig med at "kontinuiteten af disse tjenester sikres".
NIS-reglerne betyder, at sundhedsudbydere skal vedtage "omfattende risikostyringspraksis", ifølge Jack Porter, Offentlig Sektor Specialist, Logpoint. Disse foranstaltninger omfatter "vurdering af potentielle risici, implementering af sikkerhedsforanstaltninger og regelmæssig gennemgang af disse for at beskytte patientdata".
Sundhedsudbydere skal også implementere "flere forsyningskædesikkerhedsrelaterede politikker" for at overholde NIS-reglerne. Porter siger: "Dette betyder at sikre, at partnere og leverandører overholder strenge sikkerhedsstandarder for sundhedsudbydere, især når de håndterer patientdata eller leverer kritiske tjenester."
Når det kommer til at mindske cybersikkerhedsrisici og i sidste ende overholde NIS-reglerne, anbefaler Porter, at sundhedsudbydere vedtager et informationssikkerhedsstyringssystem (ISMS). Han tilføjer, at implementering af et sikkerheds- og hændelseshåndteringssystem (SIEM) vil gøre det muligt for sundhedsorganisationer at "detektere og reagere på hændelser" og overholde industristandarder som ISO 27001.
Nye teknologier som blockchain kan også hjælpe sundhedsudbydere med at beskytte vigtige systemer mod cyberangreb og datalæk. Simon Bain, AI-ekspert og administrerende direktør for OmniIndex, forklarer, at den decentraliserede teknologi "tilbyder forbedret sikkerhed, privatliv og gennemsigtighed i forhold til ældre infrastruktur".
Han fortsætter: "Dette skyldes, at det er krypteret ende-til-ende, ikke har nogen central placering for en kriminel at angribe, og bruger AI til konstant at autentificere og autorisere adgang for at sikre, at kun dem, der har tilladelse til at se visse data, kan se dem. Desuden er lagrede data uforanderlige. Det betyder, at selvom et angreb lykkedes, kan dataene ikke krypteres af en angriber og holdes til løsesum."
Indberetning af cyberhændelser
Hvis en sundhedsudbyders netværk og informationssystemer påvirkes af en cybersikkerhedshændelse, der påvirker kontinuiteten af deres væsentlige tjenester, skal de indgive en rapport ved hjælp af Data Security and Protection Toolkit (DSPT).
De skal rapportere hændelsen mindst 72 timer efter at have bemærket det og inkludere oplysninger om, hvor mange brugere der blev påvirket af et brud, dets længde og den berørte geografiske placering.
Porter siger, at NIS-reglerne ligner GDPR i, at de sigter mod at "udvide krav til hændelsesrapportering ud over dem, der påvirker kontinuiteten i tjenesten. Han forklarer: "Sundhedsudbydere skal rapportere væsentlige hændelser, der påvirker deres netværk og informationssystemer med anbefalinger om en sikkerhedsrevision."
Han siger, at vedtagelsen af en SIEM-platform gør det muligt for sagsbehandlere af cybersikkerhedshændelser i sundhedsvæsenet at "fremskynde undersøgelse og reaktion". Disse systemer leverer log-trusselsintelligens, hvilket giver efterforskerne et "fuldstændigt billede af, hvad der foregår" og giver dem mulighed for at "oprette rapporter direkte fra hver sag".
Hvorfor er NIS vigtigt for sundhedsvæsenet?
Der er flere mulige årsager bag den britiske regerings beslutning om at gøre NIS-reglerne gældende for den engelske sundhedssektor. Den måske største motivator er, at en kompleks række af indbyrdes forbundne systemer spiller en afgørende rolle i den daglige levering af moderne sundhedspleje.
Fra elektroniske sundhedsjournaler til internetforbundet diagnostisk udstyr, sundhedsteknologier slår hjertet af NHS i 2023. Men de er også et lukrativt mål for cyberkriminelle og skal beskyttes for at undgå katastrofale cyberbrud, der kan påvirke det engelske sundhedssystem.
Matt JD Aldridge, hovedløsningskonsulent hos OpenText Cybersecurity, siger, at sundhedsdatas "ekstremt følsomme" karakter og deres værdi for cyberkriminelle sandsynligvis er væsentlige faktorer i regeringens beslutning om at anvende NIS-reglerne på det engelske sundhedssystem.
"Hvis et angreb skulle forstyrre en medicinsk facilitet, så bringer det alvorlig risiko for patienterne. Det er grunden til, at branchen er meget i søgelyset og derfor skal adressere sikkerhed på flere måder,” siger han.
"Der har også været adskillige, godt publicerede angreb eller brud på NHS i løbet af de sidste par år, hvilket kan have ansporet denne omlægning for at sikre bedre beskyttelse og vejledning til sundhedsorganisationer som helhed."
Corona-pandemien fremhævede vigtigheden af NHS under en nødsituation for folkesundheden, så det kunne argumenteres for, at et forstyrret sundhedssystem ville være dårligt for den britiske nationale sikkerhed. Ved at forbedre NHS's cyberresiliens vil nationalstater ikke være i stand til at forstyrre Storbritanniens evne til at yde kritisk pleje under fremtidige pandemier og andre offentlige sundhedskriser.
At underkaste sundhedsudbydere NIS-reglerne vil sætte dem i stand til at implementere bedste praksis for cybersikkerhed for at afbøde fremtidige cyberangreb og databrud, som ellers ville sætte patienter i fare, resultere i store bøder og forårsage skade på omdømmet. Englands beslutning om at styrke cybersikkerheden i sin sundhedssektor på denne måde vil sandsynligvis inspirere andre nationer til at tage lignende skridt, hvilket øger Storbritanniens indflydelse på verdensscenen.
Få NIS-bestemmelserne til at fungere
På trods af deres fordele kan NIS-reglerne give forskellige udfordringer for sundhedsorganisationer i England. Især mindre udbydere vil blive ramt af den økonomiske byrde ved at købe cybersikkerhedssystemer og opdatere ældre it-systemer. At gøre disse ting kræver også specifik ekspertise, som små sundhedsudbydere måske ikke har internt. Det vil tage noget tid at træne personalet i at identificere og reagere på cyberangreb.
Samlet set vil udbredelsen af NIS-regler på tværs af den engelske sundhedssektor beskytte den mod eksisterende og nye cybersikkerhedstrusler. Men for at denne overgang skal lykkes, er tæt samarbejde mellem regeringer, regulatorer, sundhedsudbydere og cybersikkerhedseksperter fundamentalt.
