Om gesondheidsorgsekuriteit reg te kry, begin by die basiese beginsels
INHOUDSOPGAWE:
Geen organisasie wil 'n groot sekuriteitsbreuk ly nie. Maar wanneer dit met gesondheidsorgorganisasies (HCO's) soos NHS-trusts gebeur, kan daar 'n groot impak op die plaaslike gemeenskap wees. Die WannaCry-aanvalle van 2017 en Conti-ransomware-aanval op Ierland se Health Service Executive (HSE) het gebreke aan beide kante van die Ierse See blootgelê. Alhoewel verbeterings aangebring is, stel baie onderliggende uitdagings steeds die sektor bloot aan ernstige kuberrisiko's. Met die insette wat so hoog is, is 'n omvattende gesamentlike benadering tot die bestuur van hierdie risiko's lankal nodig.
Stel die toneel op
Waarom is HCO's so blootgestel aan kuberrisiko? Soos die regering erken in sy eie sekuriteitstrategie vir die sektor tot 2030, spruit baie daarvan uit 'n reeks unieke faktore, insluitend:
- Die grootte en diversiteit daarvan maak dit moeilik om benaderings oor alle samestellende dele, van primêre tot volwasse maatskaplike sorg, te standaardiseer. Dit beteken ook dat data deur 'n potensieel groot aantal uiteenlopende entiteite gedeel word, wat risiko kan verhoog.
- Beperkte hulpbronne en kuberveiligheidspesialiste om aan die probleem te bestee
- Onduidelike verslagdoenings- en aanspreeklikheidslyne
- Uiters hoë operasionele druk, wat net toegeneem het met COVID-19-agterstande
- ’n Groot boedel van diverse tegnologiebates—van diagnostiese masjiene tot pasiëntbesprekingstelsels en voorskrifdienste. Baie operasionele tegnologie (OT) stelsels kan moeilik of byna onmoontlik wees om te pleister
Wat is die belangrikste kuberbedreigings vir gesondheidsorg?
Dit gesê, baie van die bedreigings wat HCO's in die gesig staar, is soortgelyk aan dié in ander sektore. Hulle sluit in:
Sagteware kwesbaarhede: dikwels vererger deur die gebruik van nie-ondersteunde bedryfstelsels. OT-toerusting met 'n lang (> 10-jaar) lewensduur ondersteun moontlik nie moderne sagteware en bedryfstelsel nie, wat pleistering dubbel uitdagend maak. Volgens William Smart se Lessons Learned-oorsig van NHS Engeland, is meer as 1200 stukke diagnostiese toerusting geïdentifiseer as besmet met WannaCry nadat die berugte bedreiging in 2017 opgeduik het.
Sosiale ingenieurswese: Uitvissing bly een van die grootste bedreigingsvektore oor alle sektore, wat die menslike swak skakel in die sekuriteitsketting uitbuit. Onder druk kan gesondheidsorgpersoneel meer geneig wees om te klik voordat hulle dink.
Werk op afstand: Gesondheidsorg het waar moontlik hibriede werk omhels om produktiwiteit en werk-lewe-balans te verbeter. Maar risiko's wat verband hou met afgelei personeel en onseker huis toestelle / netwerke duur voort.
Kwaadwillige insiders: Interessant genoeg is meer as 'n derde (35%) van die oortredings ontleed deur Verizon vanjaar in die sektor van insiders gekom. Dit waarsku teen die bedreiging van ontevrede werknemers en samespanning tussen verskeie partye.
Toevallige lekkasies: Nog 'n neiging wat Verizon raakgesien het, is die verkeerde aflewering van sensitiewe inligting deur gesondheidsorgpersoneel. Saam met basiese webtoepassingsaanvalle verteenwoordig diverse foute 68% van die oortredings.
Voorsieningsketting: Met 'n groot en komplekse voorsieningsketting word gesondheidsorgverskaffers aan bykomende risiko's blootgestel. A ransomware aanval op die Britse sagtewareverskaffer Advanced het weke lank 'n wydverspreide impak op die NHS gehad, insluitend sy kritieke 111-hulplyn. Meer onlangs, Ierland se HSE erken die MOVEit-datadiefstalveldtog het dit beïnvloed.
Wat is op die spel?
WannaCry het vir die eerste keer die vlak van vertroue wat moderne gesondheidsorgstelsels op digitale tegnologie het, beklemtoon. In totaal, dit het ontwrig 81 uit 236 trusts in Engeland (34%), wat lei tot 'n geraamde 19,000 XNUMX gekanselleerde afsprake en operasies, met baie pasiënte wat na A&E-departemente verder gerig is.
"Met 'n geraamde daaglikse 950,000 45,000 algemene praktyk-aanstellings, 137,000 XNUMX groot A&E-afdelingbywonings en XNUMX XNUMX beeldgebeure wat aangeteken is, is die omvang van impak - beide direk en indirek - van 'n kuberaanval op die gesondheid- en maatskaplikesorgsektor potensieel groot," erken die regering. .
Daar is natuurlik 'n finansiële koste daaraan verbonde. Ierland HSE het reeds bestee tienmiljoene euros bestuur van die uitval van sy massiewe 2021 ransomware-oortreding. 'n Studie van ThreatConnect-eise dat HCO's van tot $500 miljoen se inkomste gemiddeld 'n geraamde 30% van bedryfsinkomste verloor as dit deur 'n ernstige losprysaanval getref word. Daar is beslis ook 'n regulatoriese risiko, veral as werknemer en pasiënt persoonlike inligting gesteel word. Alhoewel daar tot dusver geen noemenswaardige GDPR-boetes was nie, het reguleerders soms finansiële boetes gehef, en die regulasie klassifiseer inderdaad die meeste mediese data as 'n "spesiale kategorie", wat beteken dat dit onderworpe is aan strenger reëls.
Behalwe vir die finansiële, reputasie- en nakomingsimpak, wat pasiëntvertroue ernstig kan verswak, is daar 'n meer ooglopende risiko: pasiëntveiligheid. Studies het getoon 'n groeiende korrelasie tussen sterftesyfers en kuberaanvalle. Een verslag het selfs 'n verband tussen data gevind oortredings en sterftes van hartaanvalle. Dis afgesien van die oënskynlike risiko vir pasiëntgesondheid van ransomware-aanvalle wat kritieke digitale stelsels vanlyn neem.
Hoe vaar HCO's?
Gegewe hierdie hoë insette, is dit ietwat gerusstellend om vordering met kuberrisikoversagting in die Britse gesondheidsorgsektor te sien. Volgens die regering se Opname oor kuberveiligheidsoortredings 2023, organisasies in die gesondheid-, maatskaplikesorg- en maatskaplikewerk-sektor is "aansienlik" meer geneig as die gemiddelde organisasie om beste praktykaksies te neem soos die implementering van sekuriteitsmonitering, risikobeoordelings, personeeltoetsing, kwesbaarheidsoudits, penetrasietoetsing en bedreigingsintelligensie. Die syfer is 74% vir HCO's teenoor 51% in alle sektore. Hulle is ook meer geneig (35% teenoor 18%) om die afgelope 12 maande opleiding vir personeel se sekuriteitsbewustheid te doen. En meer gesondheids-, maatskaplikesorg- en maatskaplikewerkorganisasies het sakekontinuïteitsplanne wat kuberveiligheid dek (46% vs 27%) en formele sekuriteitsbeleide (57% vs 29%) in plek.
Daar is egter nog meer om te doen, en daar is geen waarborg dat hierdie pogings nie bloot blokkies-oefeninge is van organisasies wat in 'n hoogs gereguleerde sektor werksaam is nie.
Richard Staynings, hoofsekuriteitstrateeg vir die Britse gesondheidsorgsekuriteitspesialis Cylera, voer aan dat sertifisering van gesondheidsorgtoepassings, verskaffers en derdeparty-diensverskaffers baie sal help.
"ISO27001-sertifisering maak baie sin vir sommige dienste wat gesertifiseer kan word, terwyl 'n SOC2 Tipe II-verklaring gebaseer op toepaslike ISO 27001-domeine en -kontroles beter sin kan maak vir ander," sê hy aan ISMS.online. “Verskaffers behoort in elk geval nie in die ruimte te wees om hul verskaffers elke jaar te risiko-evalueer soos die huidige geval is nie. Ten minste moet derde partye op gelyke of groter vlakke van sekuriteit gehou word as die verskaffers wat hulle bedien. Algemene standaarde sal beslis help.”
Mohammad Waqas, uitvoerende hoof vir gesondheidsorg by Armis, voer aan dat die NHS Data Sekuriteit en Beskerming Toolkit, saam met ISO 27001 en die EU se NIS-richtlijn, gee die VK 'n "meer volwasse sekuriteitsbasislyn" as baie ander lande. Hy waarsku egter dat veral mediese toestelsekuriteit 'n aansienlike risiko inhou.
“Om hierdie toestelle te kan monitor en hul gedrag en risiko intyds te verstaan, is die sleutel om pasiëntveiligheid en gladde werking te verseker. Dit maak ook die proaktiewe identifisering van risiko's en kwesbaarhede moontlik, wat trusts bemagtig om betyds op te tree,” sê hy aan ISMS.online. "Deur 'n gesentraliseerde risikobestuursoplossing te gebruik, kan HCO's 'n verenigde benadering tot risikovermindering oor alle toesteltipes aanneem, wat 'n holistiese sekuriteitsposisie sal verseker en algehele sekuriteit sal verbeter."
Bestuur Gesondheidsorgnakomingsrisiko
Daar is baie om aan te beveel in die regering se 2030-strategie, wat opdrag gee dat alle openbare gesondheidsorgorganisasies gereeld geouditeer word onder die Nasionale Kuberveiligheidsentrum se Kuberveiligheidsbeoordelingsraamwerk (CAF). Die strategie sit vyf sleutelpilare vir sukses uiteen:
- Fokus op die grootste risiko's en skade
- Verdedig as een
- Mense en kultuur
- Bou veilig vir die toekoms
- Voorbeeldige reaksie en herstel
'n Groot deel van wat die strategie probeer bereik, is om te verseker dat HCO's eers die basiese beginsels van kuberhigiëne reg kry, om die risiko's uit te skakel wat voortspruit uit relatief basiese foute soos maklik-om-te-raai wagwoorde, onverwerkte bates en uitvissing. Waar voorkoming nie moontlik is nie, is die idee om te verseker dat organisasies die regte sekuriteitsmoniteringsinstrumente en insidentreaksieprosesse het om te verseker dat hulle bedreigings kan opspoor en bevat voordat hulle 'n ernstige impak kan maak.
ISO 27001 kan hierdie pogings help deur:
- Identifisering van sekuriteitsgapings
- Minimalisering van voorsieningskettingrisiko's
- Ondersteuning van regulatoriese/wetlike nakomingspogings
- Verseker dat personeel toepaslik opgelei en sekuriteitsbewus is
- Vermindering van oortredingsrisiko's deur behoorlik gedokumenteerde beleide en prosesse
- Bestuur risiko oor die hele kuberaanvaloppervlak
Dit gaan alles oor die verbetering van kritieke IT-stelsels se kuberveerkragtigheid, uiteindelik die bou van vertroue met pasiënte en die vermindering van die finansiële en operasionele impak van kuberaanvalle in gesondheidsorg.
As jy jou reis na beter inligtingsekuriteit en dataprivaatheid wil begin, kan ISMS.online help.
Ons ISMS-oplossing maak 'n eenvoudige, veilige en volhoubare benadering tot dataprivaatheid en inligtingbestuur moontlik met ISO 27001 en verhoog ander raamwerke soos SOC 2, GDPR en meer. Ontsluit vandag jou gesondheidsorgnakoming.
