blog overskrift sundhedspleje

Spotlight On Healthcare: Informationssikkerhed og databeskyttelse

Informationssikkerhed og databeskyttelse er kritiske bekymringer for sundhedsorganisationer verden over i dagens digitale tidsalder. I 2022 globale cyberangreb fra sundhedsvæsenet steg med 74 %, og sundhedsvæsenet var nummer to i den mest angrebne sektor i USA, en stigning på 57 % år-til-år. Og der er ingen store overraskelser, hvorfor sundhedsvæsenet får den opmærksomhed, det får fra cyberkriminelle – det er en guldmine af værdifulde data og beskyttede sundhedsoplysninger (PHI) kombineret med ældre teknologi, dårligt administrerede netværkssystemer og budget- og personaleudfordringer. Alle disse gør sundhedsudbydere til et let mål med potentielt høje belønninger. 

De kritiske udfordringer for sundhedsudbydere er to-delte; 

  1. Patientdata: Da sektoren i højere grad er afhængig af teknologi til at levere tjenester, lagres og udveksles mere følsomme patientoplysninger online. Sundhedsudbydere skal prioritere informationssikkerhed og databeskyttelse for at beskytte patienternes personlige oplysninger.
  2. Operationel levering: Cyberangreb på sundhedsorganisationer kan forstyrre kritiske sundhedstjenester, såsom patientpleje, medicinsk forskning og medicinsk udstyrs funktionalitet. Cybersikkerhedstrusler kan også kompromittere sikkerheden og nøjagtigheden af ​​lægejournaler og kliniske data, hvilket fører til alvorlige diagnose-, behandlings- og medicineringsfejl.

Dette blogindlæg vil fremhæve vigtigheden af informationssikkerhed og databeskyttelse i sundhedssektoren og risiciene ved at negligere dem. Vi vil udforske de seneste trusler, som sundhedsudbydere står over for, såsom ransomware-angreb, phishing-svindel og insidertrusler, og dykke ned i lovmæssige overholdelseskrav, som f.eks. HIPAA2 NISGDPR og privatlivsloven. Til sidst vil vi diskutere bedste praksis for sundhedsorganisationer for at styrke deres holdning til infosec og databeskyttelse.

Slut dig til os, mens vi navigerer i det komplekse landskab af sundheds-cybersikkerhed, og lær, hvordan sundhedsudbydere kan beskytte deres patienters data og bevare integriteten af ​​deres kritiske tjenester.

De cybertrusler, som sundhedssektoren står over for 

ransomware

Ransomware-angreb er en af ​​de vigtigste trusler mod sundhedsudbydere. Ifølge en nylig Ponemon sundhedsrapport, 60 % af de adspurgte angav ransomware som deres største bekymring, og 40 % sagde, at de havde oplevet mere end tre ransomware-angreb i de sidste to år.

Disse angreb involverer hackere, der krypterer en sundhedsudbyders data, hvilket gør dem ubrugelige, indtil en løsesum er betalt. Hvis løsesummen ikke betales, kan hackeren true med at slette dataene, hvilket forårsager betydelig skade på udbyderens drift og patientbehandling eller i tilfælde af Medibank i Australien, offentliggør disse data online, hvilket ikke kun forårsager nød og skade på de berørte patienter, men også betydelig økonomisk og omdømmeskade for organisationens manglende evne til at holde patientdata sikre og overholde obligatoriske regler.

DDoS-angreb

DDoS-angreb involverer at overvælde en sundhedsudbyders netværk med trafik for at få det til at gå ned, hvilket gør det ubrugeligt. Dette kan påvirke udbyderens mulighed for at få adgang til og bruge patientdata, hvilket kan føre til forsinkelser i patientbehandlingen og potentielt kompromittere patientsikkerheden. Ofte tjener DDoS-angreb som en distraktion, mens dårlige aktører implementerer mere uhyggelig malware på deres ofres netværk.

 KillNets igangværende cyberangrebstaktik demonstrer perfekt, hvilken effekt et DDoS-angreb kan have. Denne hacktivist-gruppe har aktivt rettet sig mod den amerikanske sundhedssektor, hvilket har forårsaget serviceafbrydelser på mange timer, hvilket har resulteret i forsinkelser i aftaler, manglende adgang til elektroniske sundhedsjournaler og ambulanceomledninger.

Tredjepartsudbydere + Supply Chain-angreb

Sundhedsudbydere er kun lige så sikre som deres tredjepartsudbydere og forsyningskæde. Enhver, der får adgang til en sundhedsorganisations systemer, kan ondsindet eller ved et uheld kompromittere beskyttede data og levering af tjenester, hvilket forårsager alt fra kortvarige til langsigtede serviceafbrydelser, der påvirker patientpleje, levering af tjenester og den økonomiske bundlinje.

Ifølge Ponemon Healthcare Report mener 71 % af sundhedsorganisationerne, at de er modtagelige for kompromis i forsyningskæden. I gennemsnit har 50 % af sundhedsorganisationerne lidt mere end fire forsyningskædeangreb som forhindrede dem i at levere tjenester i de sidste to år. 

Tingenes Internet (IoT)

Den stigende anvendelse af tingenes internet (IoT) i sundhedsvæsenet er en anden teknologitrend med bekymrende sikkerhedsmæssige konsekvenser. Efterhånden som sundhedsudbyderes systemer i stigende grad er forbundet med andre medicinske og operationelle systemer, er der også sket et betydeligt skridt hen imod internetforbundet medicinsk udstyr såsom insulinpumper og pacemakere.

IoT's stigende tilslutningsmuligheder kan bringe medicinske udbyderes evne til at levere tjenester, deres patienters sikkerhed og driften af ​​deres virksomhed i fare. Disse enheder bidrager til it-udbredelse, mangler tilstrækkelige indbyggede sikkerhedsforanstaltninger og øger sundhedsudbyderes angrebsflader og sundhed og velvære for de patienter, der bruger tilsluttet medicinsk udstyr. Alarmerende nok hævder 63 % af sundhedsorganisationerne at have oplevet en sikkerhedshændelse på grund af ikke-administrerede IoT-enheder inden for de sidste 12 måneder.

Virkningen af ​​dårlig Infosec og databeskyttelsespraksis i sundhedsvæsenet 

Hvis man ikke tager informationssikkerhed og databeskyttelse alvorligt, kan det have en dyb indvirkning på patienter, sundhedsudbydere og sundhedsorganisationer. 

Konsekvenser af sundhedsydelser

Hvis en udbyders system brydes, kan det føre til forstyrrelser i patientbehandlingen, behandlingsforsinkelser og indtægtstab. Udbydere kan også stå over for juridiske og økonomiske konsekvenser, herunder bøder og retssager, hvis de viser sig at være i strid med datasikkerhedsreglerne.

Derudover kan sundhedsudbydere opleve skade på deres omdømme og tab af patienttillid efter et brud på cybersikkerheden. Patienter, der føler, at deres privatliv er blevet kompromitteret, kan være mindre tilbøjelige til at søge pleje hos denne udbyder i fremtiden, hvilket kan have langsigtede økonomiske konsekvenser for udbyderen.

Konsekvenser for patientbehandling 

Selvom cybersikkerhed kan koste sundhedsudbydere milliarder af dollars i tabte indtægter, udbetalinger og skader på omdømmet, er den mest umiddelbare og åbenlyse konsekvens den potentielle indvirkning på patienterne. Hvis et cyberangreb gør en facilitet eller sundhedsorganisation ubrugelig, får patienter, der kræver rettidig pleje, det muligvis ikke. 

Samtidig har millioner af mennesker over hele kloden allerede dårlig adgang til sundhedspleje. Det er et velkendt faktum, at der er en betydelig mangel på sundhedspersonale, hvilket betyder, at patienter ofte skal vente uger eller måneder, før de kan se en læge. Når dårlig informationssikkerhed og databeskyttelsespraksis forårsager forsinkelser i patientbehandlingen, kan det derfor betydeligt forringe sundhedsforholdene for millioner af mennesker og samfund verden over.

Kompromitterede patientdata kan også føre til andre negative udfald, herunder identitetstyveri, økonomisk bedrageri og medicinsk bedrageri. Patienter kan også være i risiko for at få deres personlige helbredsoplysninger (PHI) afsløret, hvilket kan have en række negative konsekvenser, såsom diskrimination fra arbejdsgivere eller forsikringsselskaber, social stigmatisering og forlegenhed.

Virkningen af ​​dårlig infosec og databeskyttelse praksis kan have betydelige konsekvenser, når de mærkbart påvirker patientens liv. Derfor er cybersikkerhedsinfrastruktur uden tvivl en topprioritet for sundhedsudbydere.

Hvad er de vigtigste regler for cybersikkerhed i sundhedsvæsenet

Den generelle databeskyttelsesforordning (GDPR)

GDPR er en EU-forordning, som trådte i kraft den 25. maj 2018. Den gælder for alle organisationer, der behandler Personlig data af EU-indbyggere.

GDPR stiller specifikke krav til organisationer, der behandler personoplysninger inden for sundhedssektoren. Sundhedsorganisationer skal behandle personoplysninger legitimt, herunder indhente gyldigt samtykke fra enkeltpersoner eller til medicinsk behandling. Enkeltpersoner har udvidede rettigheder i henhold til GDPR, herunder retten til at få adgang til deres data, rette unøjagtigheder, anmode om sletning og begrænse behandlingen. 

Når behandlingsaktiviteter sandsynligvis vil udgøre en væsentlig risiko for enkeltpersoners rettigheder og friheder, skal sundhedsorganisationer foretage en databeskyttelseskonsekvensvurdering (DPIA). De skal også implementere tekniske og organisatoriske foranstaltninger for at sikre databeskyttelse ved design og standard, såsom pseudonymisering, kryptering og autentificering. Derudover skal sundhedsorganisationer rapportere brud på persondatasikkerheden til enkeltpersoner og myndigheder inden for 72 timer efter at have fået kendskab til hændelsen. 

GDPR kræver også, at sundhedsorganisationer udpeger en databeskyttelsesansvarlig (DPO) for at sikre overholdelse og fungere som kontaktpunkt for enkeltpersoner og myndigheder.

Databeskyttelsesloven af ​​2018 

Data Protection Act 2018 (DPA 2018) er en britisk lov, der fastlægger, hvordan personoplysninger skal behandles, opbevares og bruges. Den skitserer flere krav relateret til cybersikkerhed i sundhedssektoren.

Loven pålægger sundhedsorganisationer at handle grundigt risikovurderinger af deres databehandling aktiviteter, herunder cybersikkerhedspraksis, for at identificere potentielle sårbarheder. Og implementer derefter passende tekniske og organisatoriske foranstaltninger for at sikre persondatasikkerhed, herunder kryptering, adgangskontrol og regelmæssig sikkerhedstest.

Loven indeholder også strenge regler omkring anmeldelse af brud, hvor sundhedsorganisationer skal rapportere ethvert databrud til de relevante myndigheder inden for 72 timer efter, at de er blevet opmærksomme på bruddet.

Sundhedsorganisationer skal sikre, at eventuelle tredjepartsdatabehandlere, de arbejder med, overholder loven, herunder cybersikkerhedskrav.

NIS 2 

NIS 2 (EU-direktivet om sikkerhed for netværk og informationssystemer) skitserer flere krav relateret til cybersikkerhed i sundhedssektoren. Disse omfatter:

  1. Identifikation af væsentlige tjenester og operatører: Sundhedsorganisationer skal identificere de væsentlige tjenester og operatører, der er nødvendige for at opretholde kritiske samfundsmæssige og økonomiske aktiviteter.
  2. Risikostyring og hændelsesrapportering: Sundhedsorganisationer skal udføre risikovurderinger og implementere risikostyringsforanstaltninger for at sikre sikkerheden og modstandsdygtigheden af ​​deres systemer og netværk. De skal også rapportere hændelser til de relevante nationale myndigheder og tage passende skridt til at afbøde virkningen af ​​hændelsen.
  3. Sikkerhedsforanstaltninger: Sundhedsorganisationer skal implementere passende tekniske og organisatoriske foranstaltninger for at sikre sikkerheden og modstandsdygtigheden af ​​deres systemer og netværk. Disse foranstaltninger skal omfatte foranstaltninger til at forhindre uautoriseret adgang, beskytte mod malware og andre cybertrusler og sikre tilgængeligheden af ​​kritiske tjenester.
  4. Samarbejde og informationsdeling: Sundhedsorganisationer skal samarbejde med andre operatører og offentlige myndigheder for at sikre sikkerheden og modstandsdygtigheden af ​​deres systemer og netværk. De skal også dele oplysninger om trusler og hændelser med relevante organisationer og myndigheder.
  5. Overholdelse og håndhævelse: Sundhedsorganisationer skal overholde kravene i NIS 2 og alle andre gældende regler for cybersikkerhed. Nationale myndigheder er ansvarlige for at håndhæve overholdelse og kan pålægge sanktioner for manglende overholdelse.

Lov om sundhedsforsikring og ansvarlighed (HIPAA)

HIPAA er en lov, der beskytter helbredsoplysninger mod uautoriseret adgang og offentliggørelse i USA. Dækkede enheder, typisk sundhedsudbydere, skal overholde strenge sikkerhedsstandarder for at beskytte disse oplysninger.

Efter HIPAA skal omfattede enheder implementere robuste sikkerhedsforanstaltninger, når de håndterer beskyttede sundhedsoplysninger (PHI), såsom kryptering, autentificeringsprocedurer og andre sikkerhedsforanstaltninger, for at forhindre uautoriseret adgang eller offentliggørelse.

Desuden giver HIPAA mandat til, at omfattede enheder informerer enkeltpersoner om deres juridiske rettigheder. Dette inkluderer at give besked om, hvem der kan få adgang til deres PHI, hvordan man anmoder om kopier, og hvad der sker, hvis de ændrer mening om at dele oplysningerne.

The Australian Privacy Act 1988 (Privacy Act)

Denne lov beskriver sundhedsudbyderes krav til at beskytte deres patients personlige oplysninger mod cybersikkerhedstrusler. Nogle af de vigtigste bestemmelser i Privacy Act relateret til cybersikkerhed i sundhedssektoren omfatter:

  1. Datasikkerhed: Sundhedsudbydere skal tage rimelige skridt for at beskytte de personlige oplysninger, de har, mod misbrug, interferens, tab og uautoriseret adgang, ændring eller videregivelse. De skal have passende sikkerhedsforanstaltninger for at forhindre cybersikkerhedstrusler såsom hacking, malwareangreb og uautoriseret adgang.
  2. Meddelelse om databrud: I tilfælde af et databrud skal sundhedsudbydere underrette de berørte personer og Office of the Australian Information Commissioner (OAIC) ​​så hurtigt som muligt. Underretningen skal indeholde arten af ​​bruddet, den type personlige oplysninger, der er involveret, og de foranstaltninger, der er taget for at mindske risikoen for skade.
  3. Vurdering af indvirkning på privatlivets fred: Før implementering af nye teknologier eller processer, der involverer håndtering af personlige oplysninger, skal sundhedsudbydere udføre en vurdering af privatlivets fred (PIA) for at identificere og vurdere risiciene for enkeltpersoners privatliv. Denne proces skal omfatte en gennemgang af cybersikkerhedsrisici og de foranstaltninger, der er på plads for at afbøde dem.
  4. Tredjepartsudbydere: Hvis sundhedsudbydere bruger tredjepartsudbydere til tjenester såsom cloud computing eller datalagring, skal de sikre, at disse udbydere overholder kravene i Privacy Act. Dette omfatter at sikre, at tredjepartsudbyderen har passende cybersikkerhedsforanstaltninger for at beskytte personlige oplysninger.

Konsekvenserne af ikke at overholde reglerne om cybersikkerhed i sundhedssektoren 

Konsekvenserne af ikke at overholde sundhedsoplysninger og regler om databeskyttelse kan være alvorlige, herunder juridiske, økonomiske og omdømmemæssige konsekvenser.

I Storbritannien kan manglende overholdelse af databeskyttelsesforskrifterne resultere i bøder på op til 4 % af en organisations globale omsætning eller £17.5 mio. (alt efter hvad der er højere), samt potentiel retssag og skade på omdømme.

I USA kan overtrædelser af HIPAA resultere i betydelige økonomiske sanktioner med bøder på mellem $100 og $50,000 pr. overtrædelse (op til et maksimum på $1.5 millioner om året for hver overtrædelseskategori). Ud over bøder kan sundhedsorganisationer blive udsat for negativ omtale, tab af forretning og retslige skridt fra berørte personer.

I Australien kan manglende overholdelse af privatlivsbestemmelserne resultere i bøder på op til $2.1 millioner for organisationer og $420,000 for enkeltpersoner, såvel som potentiel retssag og skade på omdømme.

Ud over disse specifikke konsekvenser kan manglende overholdelse af regler om information og databeskyttelse i sundhedsvæsenet have bredere konsekvenser for patientsikkerhed og tillid. I så fald kan det føre til alvorlig skade på patienter, udhule tilliden til sundhedsudbydere og institutioner og skade omdømmet for sundhedssektoren som helhed.

En standardbaseret tilgang til cybersikkerhed i sundhedsvæsenet

For organisationer, der ønsker at overholde de mange cybersikkerheds-, data- og informationssikkerhedsbestemmelser inden for sundhedsområdet, certificering mod ISO 27001, for informationssikkerhed og ISO 27701, for databeskyttelse kunne være et afgørende første skridt.

Mange af sundhedsbestemmelserne selv nævner, at ethvert skridt, virksomheder tager for at overholde, bør overveje "overholdelse af internationale standarder". For eksempel kortlægger de tekniske retningslinjer udstedt af Den Europæiske Unions Agentur for Cybersikkerhed (ENISA) for NIS 2 hvert sikkerhedsmål til flere standarder for bedste praksis, herunder ISO 27001. 

Et ISO 27001-kompatibelt informationsstyringssystem (ISMS) gør det muligt for organisationer at reducere deres risiko og eksponering for sikkerhedstrusler ved at identificere de relevante politikker, de skal dokumentere, teknologierne til at beskytte sig selv og personaleuddannelsen for at undgå fejl. De giver også mandat til, at organisationer udfører årlige risikovurderinger, hvilket hjælper dem med at være på forkant med det stadigt skiftende risikolandskab.

Når man implementerer en informationssikkerhedsramme, får organisationer en klar og konsistent struktur til organisering og lagring af data, hvilket gør det nemmere for virksomheder at træffe informerede beslutninger. Dette kan føre til bedre strategisk planlægning, hændelsesstyring og overholdelse af regler. Derudover giver klare privatlivspolitikker en struktureret tilgang til håndtering af eventuelle privatlivshændelser, hvilket også kan reducere nedetiden.

Når først det er etableret, er det meget nemmere at tilføje eventuelle yderligere HIPAA, GDPR og regionale regulatoriske krav. ISO 27001 kan også være uafhængigt certificeret, hvilket giver bevis for leverandører, interessenter og regulatorer, at du har truffet de "passende og forholdsmæssige" tekniske og organisatoriske foranstaltninger.

Sammenfattende kan en ISO 27001-standardtilgang være til gavn for sundhedsvirksomheder, der ønsker at overholde flere sundhedsregulativer, fordi den hjælper med at opfylde regulatoriske krav, beskytter følsomme patientdata, opbygger tillid til patienter og interessenter, forbedrer den overordnede sikkerhedsposition og giver en ramme for løbende forbedringer .

At opnå effektiv informationssikkerhed og databeskyttelse har aldrig været mere kritisk

Sundhedsorganisationer og -udbydere skal prioritere cybersikkerhedsforanstaltninger for at beskytte deres data og systemer. Dette omfatter implementering af tekniske sikkerhedsforanstaltninger, såsom firewalls og kryptering, og etablering af politikker og procedurer for databeskyttelse og sikkerhed. Medarbejderuddannelse og oplysningsprogrammer kan også være afgørende for at forhindre sikkerhedsbrud, da medarbejderne ofte er den første forsvarslinje mod cyberangreb.

Prioritering af cybersikkerhed i sundhedsvæsenet er ikke kun et spørgsmål om compliance eller risikostyring – det er et kritisk ansvar at beskytte patientdata og sikre patientsikkerheden. Sundhedsorganisationer og -udbydere skal tage skridt til at implementere robuste cybersikkerhedsforanstaltninger for at beskytte deres data og systemer og for at bevare tilliden og tilliden hos patienter og interessenter.

Styrk din overholdelse af sundhedspleje i dag

Hvis du ønsker at starte din rejse mod bedre informationssikkerhed og databeskyttelse, kan vi hjælpe.

Vores ISMS-løsning muliggør en enkel, sikker og bæredygtig tilgang til databeskyttelse og informationshåndtering med ISO 27001 og overlader andre rammer såsom HIPAA, GDPR og mere. Lås op for din overholdelse af sundhedspleje i dag.

Tal med en ekspert

Forfatter

Rebecca Harper

Rebecca er ISMS.online Head of Content Marketing. Med over 12 år i informations- og cybersikkerhedsindustrien er Rebecca dedikeret til at uddanne, opbygge bevidsthed og styrke virksomheder til at nå mål for compliance, information og cybersikkerhed.

Se alle indlæg af Rebecca Harper

Relaterede indlæg

SOC 2 er her! Styrk din sikkerhed og opbyg kundernes tillid med vores kraftfulde overholdelsesløsning i dag!