Namate hoërisiko-voorvalle in die gesondheidsorgsektor toeneem, moet organisasies leer om inligtingsekuriteit, databeskerming en KI-risiko as 'n gekoppelde bestuursuitdaging te bestuur. Hoe kan dit gedoen word?
Deur Kate O'Flaherty
Op 14 Desember 2025 het DXS International – wat gesondheidsorginligting en kliniese besluitnemingsondersteuning verskaf vir ongeveer 10% van alle NHS-verwysings in Engeland – 'n datalek ondervind wat sy kantoorbedieners beïnvloed het.
In 'n liassering met die Londense Effektebeurs, het DXS International beweer dat die oortreding "onmiddellik beperk" is in 'n gesamentlike poging deur sy interne IT-sekuriteitspanne in noue samewerking met NHS Engeland. Maar kort daarna het die DevMan-ransomware-groep beweer om 300 GB data te gesteel, insluitend interne begrotings en finansiële lêers.
Alhoewel die voorval self minimale impak gehad het en die maatskappy se kliniese dienste in die voorste linie operasioneel gebly het, is dit 'n uitstekende voorbeeld van hoe derdeparty-risiko deur die voorsieningsketting kan kaskadeer.
As gevolg van voorvalle soos hierdie, moet gesondheidsorgorganisasies leer om inligtingsekuriteit, databeskerming en KI-risiko as 'n gekoppelde bestuursuitdaging te bestuur. Hoe kan dit gedoen word?
'n Groot Probleem
Omdat DXS International se dienste aan die gang gebly het, is dit maklik om die oortreding as onopvallend af te maak. Terwyl kliniese dienste aan die voorpunt aan die gang gebly het, kan ander probleme egter later opduik, sê Skip Sorrels, veld-CTO-CISO by Claroty. “Wanneer jy die administratiewe ruggraat van gesondheidsorglewering in die gedrang bring, skep jy langtermynrisiko's soos identiteitsdiefstal, phishing-veldtogte en die erosie van pasiëntvertroue.”
Sorrels wys daarop dat “operasioneel” nie “veilig” beteken nie: “Aanvallers teiken doelbewus die sagter administratiewe stelsels omdat hulle weet dat hierdie verskaffers dikwels nie dieselfde sekuriteitsnoukeurigheid het as die kliniese infrastruktuur wat hulle ondersteun nie.”
Kevin Curran, senior lid van die IEEE en professor in kuberveiligheid aan die Universiteit van Ulster, stem saam met hierdie assessering. “Gesteelde data kan misbruik word en pasiëntprivaatheid vir jare beïnvloed.”
Hy beskryf hoe finansiële gevolge, insluitend ondersoekkoste, regskoste en moontlike boetes, hulpbronne wat reeds onder druk in openbare gesondheidsdienste is, kan belas. “Boonop beklemtoon dit sistemiese probleme in digitale gesondheidsinfrastruktuur, wat lei tot breër ondersoek na hoe onderling gekoppelde tegnologieë sensitiewe inligting hanteer.”
Risiko's van Derde Partye
Britse gesondheidsorg het kuberpogings voortdurend versterk sedert die WannaCry ransomware aanval het die NHS in 2017 getref. Reguleerders plaas toenemende fokus op voorsieningskettings en erken dat kwesbaarhede in bestuurde diensverskaffers of kritieke verskaffers verreikende gevolge kan hê, sê Katharina Sommer, groephoof van regeringsake by NCC Group.
Derdeparty- en voorsieningskettingrisiko's verteenwoordig "een van die dringendste sekuriteitsuitdagings in gesondheidsorg", aangesien die sektor toenemend op eksterne verskaffers vir noodsaaklike dienste staatmaak, sê Curran.
“Aanvalle in sagteware-voorsieningskettings is hoogs gevaarlik en word toenemend algemeen omdat hulle die onderling gekoppelde aard van moderne sagteware-ontwikkeling uitbuit,” vertel Curran. IO“Hierdie aanvalle teiken kwesbaarhede in afhanklikhede, bouprosesse of derdeparty-komponente, wat aanvallers dikwels toelaat om verskeie maatskappye deur 'n enkele mislukkingspunt te kompromitteer.”
Benewens die onmiddellike impak, kan probleme veroorsaak word deur kleiner organisasies met "groot sistemiese voetspore, maar beperkte sekuriteitsvolwassenheid", sê Tracey Hannan-Jones, konsulterende direkteur inligtingsekuriteit en GRC en groep-DPO by UBDS Digital.
Om sake te vererger, staar die gesondheidsorgsektor 'n sigbaarheidsuitdaging in die gesig, volgens Claroty se Sorrels. “Die meeste gesondheidsorgorganisasies sukkel om die sekuriteitsposisie van hul derde- en vierdepartyverskaffers werklik te verstaan. Jy kan nie 'n diens uitkontrakteer en dink jy het die risiko uitgekontrakteer nie.”
Regulerende verwagtinge
Benewens sekuriteit in die voorsieningsketting, vereis regulasies toenemend dat kritieke dienste soos gesondheidsorg ekstra stappe moet neem om veerkragtigheid te verhoog. Wanneer oortredings wel plaasvind, word daar van diegene wat in die sektor werksaam is, verwag om data te beskerm en streng verslagdoeningsvereistes na te kom.
Die DXS International-oortreding bied insig in die regulatoriese verwagtinge wat gesondheidsorgdata in die VK en die EU beheer, veral onder die Regulasie Algemene Data Protection (GDPR) en ooreenstemmende Britse databeskermingswette. “Hierdie raamwerke vereis dat organisasies wat persoonlike data verwerk, insluitend gesondheidsinligting, robuuste voorsorgmaatreëls moet verseker en deursigtig op voorvalle moet reageer,” sê Curran van die Universiteit van Ulster.
In hierdie geval stem DXS se "vinnige kennisgewing" aan die Inligtingskommissaris se Kantoor (ICO) en wetstoepassing ooreen met GDPR Artikel 33, wat vereis dat oortredings binne 72 uur aangemeld word indien daar 'n risiko vir individue se regte en vryhede is, sê Curran.
Net so, Britse vereistes onder die Wet op die Beskerming van data 2018 beklemtoon aanspreeklikheid, en dwing entiteite om risiko's wat verband hou met datahantering te dokumenteer en te verminder, sê Curran. “Die ICO se voortgesette assessering van die voorval weerspieël hoe reguleerders nie net die oortreding self ondersoek nie, maar ook die toereikendheid van reaksiemaatreëls, insluitend inperkings- en ondersoekprotokolle,” vertel hy. IO.
Reguleerders eis toenemend bewyse van proaktiewe risikobestuur omdat reaktiewe benaderings onvoldoende bewys is teen ontwikkelende bedreigings – soos blyk uit die toenemende aantal kubervoorvalle in gesondheidsorg, volgens Curran.
Onderling gekoppelde risiko's
Dit kom op 'n tydstip wanneer kuber-, privaatheids- en KI-risiko's onafskeidbaar raak in gesondheidsorgomgewings as gevolg van gekoppelde stelsels, datadeling en outomatisering. Intussen hervorm KI-gedrewe gereedskap risikoprofiele.
Die DXS International-voorval is 'n voorbeeld van hierdie konvergensie, waar 'n verskaffer se oortreding "moontlik geïntegreerde netwerke wat pasiëntdata hanteer, kan blootstel, wat kuberveiligheidsdreigemente met privaatheidskwessies kan vermeng", sê Curran.
Datadeling oor ekosisteme heen – tussen verskaffers, verskaffers en selfs grensoverschrijdende entiteite – ondermyn tradisionele grense verder, wys hy daarop. “Onder raamwerke soos die NHS s’n Gesondheids- en Maatskaplike Sorgnetwerk, inligting vloei dinamies. Hierdie onderlinge verbondenheid kan lei tot 'n kuberinsident wat in privaatheidskendings ontaard, soos die onbedoelde openbaarmaking van sensitiewe gesondheidsrekords.”
Met hierdie risiko in gedagte, bevorder die behandeling van kuber-, privaatheids- en KI-risiko's in silo's binne gesondheidsorgomgewings "beduidende blinde kolle", sê Curran.
In plaas daarvan moet firmas 'n gesamentlike benadering tot risikobestuur volg. Dit vereis die gebruik van geïntegreerde raamwerke wat inligtingsekuriteit, databeskerming en KI-bestuur saambring om veerkragtigheid, vertroue en langtermyn-nakoming te ondersteun.
Byvoorbeeld, organisasies moet KI-agente en mense beskou as "'n gekombineerde werksmag wat met sagteware en infrastruktuur interaksie het", sê Javvad Malik, hoof CISO-adviseur by KnowBe4. "Hiervoor benodig ons duidelike aanspreeklikheid, verskafferversekering en toesig wat data, mense en KI bymekaar bring om vertroue en veerkragtigheid te ondersteun."
Raamwerke soos die Nasionale Sentrum vir Kuberveiligheid s'n Siber-assesseringsraamwerk, ISO 27001 en NIST Kuberveiligheidsraamwerk "praktiese gereedskap bied om beheermaatreëls, beleide en risikomaatstawwe te integreer", sê Sommer van die NCC Groep. "Dit help organisasies om vertroue te bou, voldoening te demonstreer en kuberrisiko op 'n samehangende en verdedigbare manier te bestuur."
Curran van die Universiteit van Ulster beveel aan dat "kruisfunksionele spanne" saamgestel word uit kundiges van kuberveiligheid, privaatheid en KI om saam te werk aan risikobepalings, en te verseker dat bedreigings deur "'n veelsydige lens" geëvalueer word.
Veerkragtig, Betroubaar en Toekomsgereed
Gesondheidsorgorganisasies en die verskaffers waarop hulle staatmaak, moet werk om meer veerkragtige, betroubare en toekomsgereed risikobestuurspraktyke te bou.
Om te wen, moet organisasies na 'n verenigde benadering tot risiko beweeg, sê Ivan Milenkovic, visepresident van risikotegnologie EMEA by Qualys. “In plaas daarvan om die wiel weer uit te vind, integreer die beste spanne gevestigde internasionale standaarde vir sekuriteit, privaatheid en die opkomende grens van KI-bestuur in een enjin.”
Sentraal hierin is die inbedding van risikobestuur in die organisatoriese kultuur deur middel van verenigde beleide wat "gereelde, geïntegreerde oudits" verpligtend maak, adviseer Curran van die Universiteit van Ulster.
Intussen, implementeer 'n gedeelde verantwoordelikheidsmodel met jou verskaffers, sê Claroty se Sorrels. “Moenie verskafferskontrakte as 'vasgestel en vergeet' beskou nie. Eis deurlopende deursigtigheid, bewyse van sekuriteitstoetsing en bewys dat hulle aan basislynstandaarde voldoen.”
