NIS-regulasies: 'n nuwe era van kuberveiligheid vir Engeland se gesondheidsorgsektor
INHOUDSOPGAWE:
As jy dink aan die uitdagings wat die Nasionale Gesondheidsdiens in die gesig staar, kan dinge soos 'n gebrek aan befondsing en personeel, lang waglyste, 'n groeiende bevolking en voortdurend veranderende pasiëntbehoeftes na vore kom.
Tog het 'n enkele kuberaanval die krag om al die NHS se kritieke inligtingskommunikasiestelsels vanlyn te slaan, wat dit moeiliker maak vir dokters en verpleegsters in die voorste linie om hul werk te doen en uiteindelik lewens te red. Die berugte WannaCry-kuberaanval, uitgevoer deur Noord-Koreaanse kuberkrakers, besmet rekenaars oor 595 doktersoperasies in Engeland en het die bedryf van een derde van die Engelse NHS-hospitaaltrusts ontwrig.
Saam met die impak van die daaglikse bedrywighede van doktersoperasies en hospitale regoor die land, kan kuberaanvalle teen die NHS ook lei tot die uitlek van sensitiewe gesondheidsdata. In Junie het The Independent berig dat kubermisdadigers die persoonlike data van 1.1 miljoen NHS-pasiënte in 200 hospitale gesteel het nadat hulle 'n losprysaanval op die Universiteit van Manchester geloods het. Daar word geglo dat hierdie uitgelekte data pasiënte se NHS-nommers en 'n deel van hul huisposkodes ingesluit het.
Op soek na toekomstige kuberaanvalle en datalekkasies wat die NHS raak, het die gesamentlike kubereenheid vrygestel nuwe leiding rakende die uitrol van die Netwerk- en Inligtingstelsels (NIS) regulasies oor gesondheidsorgorganisasies in Engeland. Hierdie besluit stel voor dat reguleerders nou gesondheidsorgdata as 'n kritieke nasionale infrastruktuur (CNI) beskou. So, hoekom is dit die geval, en wat beteken die nuwe riglyne vir gesondheidsorgverskaffers in Engeland?
Wat is NIS-regulasies?
Die NIS-regulasies, wat in Mei 2018 die wetboeke betree het, het ten doel om die kuberveiligheidsposisie van operateurs van noodsaaklike dienste (OES'e) te versterk. Hierdie organisasies verskaf dienste van kritieke belang vir 'n funksionerende samelewing en ekonomie, insluitend vervoer, water, elektrisiteit, en nou gesondheidsorg.
In nuwe riglyne beskryf staatsamptenare gesondheidsorg as "'n noodsaaklike diens kragtens die NIS-regulasies". Dit klassifiseer NHS-trusts, stigtingstrusts, geïntegreerde sorgrade (ICB's) en spesifieke onafhanklike verskaffers as "OES'e vir gesondheidsorgdienste", wat beteken dat hulle toepaslike stappe moet neem om aan die NIS-regulasies te voldoen.
Ingevolge hierdie reëls moet gesondheidsorgorganisasies in staat wees om enige kuberveiligheidsbedreigings te bestuur wat die netwerk en inligtingstelsels wat hulle gebruik om noodsaaklike dienste te lewer, beïnvloed. Dit behels die voorkoming en vermindering van die effek van kuberaanvalle op gesondheidsorgnetwerke en inligtingstelsels terwyl “die kontinuïteit van daardie dienste verseker word”.
Die NIS-regulasies beteken dat gesondheidsorgverskaffers "omvattende risikobestuurspraktyke" moet aanvaar, volgens Jack Porter, spesialis in die openbare sektor, Logpoint. Hierdie maatreëls sluit in "evaluering van potensiële risiko's, implementering van sekuriteitsmaatreëls, en gereelde hersiening daarvan om pasiëntdata te beskerm".
Gesondheidsorgverskaffers moet ook "meer voorsieningskettingsekuriteitverwante beleide" implementeer om aan die NIS-regulasies te voldoen. Porter sê: "Dit beteken om te verseker dat vennote en verskaffers voldoen aan streng sekuriteitstandaarde vir gesondheidsorgverskaffers, veral wanneer pasiëntdata hanteer word of kritieke dienste verskaf word."
Wanneer dit kom by die versagting van kubersekuriteitsrisiko's en uiteindelik voldoening aan die NIS-regulasies, beveel Porter aan dat gesondheidsorgverskaffers 'n inligtingsekuriteitbestuurstelsel (ISMS) aanneem. Hy voeg by dat die implementering van 'n sekuriteit- en voorvalgebeurtenisbestuurstelsel (SIEM) gesondheidsorgorganisasies in staat sal stel om "voorvalle op te spoor en daarop te reageer" en aan industriestandaarde soos ISO 27001 te voldoen.
Opkomende tegnologieë soos blokketting kan ook gesondheidsorgverskaffers help om belangrike stelsels teen kuberaanvalle en datalekkasies te beskerm. Simon Bain, KI-kenner en HUB van OmniIndex, verduidelik dat die gedesentraliseerde tegnologie “verbeterde sekuriteit, privaatheid en deursigtigheid bied bo erfenis-infrastruktuur”.
Hy gaan voort: "Dit is omdat dit end-tot-end geënkripteer is, geen sentrale ligging het vir 'n misdadiger om aan te val nie, en KI gebruik om voortdurend toegang te verifieer en te magtig om te verseker dat slegs diegene wat toestemming het om sekere data te bekyk, dit kan sien. Verder is gestoorde data onveranderlik. Dit beteken dat selfs al was 'n aanval suksesvol, kan die data nie deur 'n aanvaller geënkripteer word en tot losprys gehou word nie.”
Rapporteer kubervoorvalle
Indien 'n gesondheidsorgverskaffer se netwerk en inligtingstelsels geraak word deur 'n kuberveiligheidsvoorval wat die kontinuïteit van hul noodsaaklike dienste beïnvloed, moet hulle 'n verslag indien deur die Datasekuriteit en -beskerming Toolkit (DSPT).
Hulle moet die voorval minstens 72 uur nadat hulle dit opgemerk het, aanmeld en inligting insluit oor hoeveel gebruikers deur 'n oortreding geraak is, die lengte daarvan en die geografiese ligging wat geraak is.
Porter sê die NIS-reëls is soortgelyk aan BBP deurdat hulle daarop gemik is om “voorvalrapporteringsvereistes te verbreed verder as dié wat die kontinuïteit van diens beïnvloed. Hy verduidelik: "Gesondheidsorgverskaffers moet beduidende voorvalle wat hul netwerk- en inligtingstelsels raak rapporteer met aanbevelings van 'n sekuriteitsoudit."
Hy sê die aanvaarding van 'n SIEM-platform stel gevallebestuurders van kuberveiligheidsvoorvalle in gesondheidsorg in staat om "ondersoek en reaksie te bespoedig". Hierdie stelsels verskaf logbedreigingsintelligensie, gee ondersoekers 'n "volledige prentjie van wat aangaan" en stel hulle in staat om "verslae direk uit elke saak te skep".
Waarom is NIS belangrik vir gesondheidsorg?
Daar is verskeie moontlike redes agter die Britse regering se besluit om die NIS-regulasies van toepassing te maak op die Engelse gesondheidsorgsektor. Miskien is die grootste motiveerder dat 'n komplekse verskeidenheid van onderling gekoppelde stelsels 'n kritieke rol speel in die daaglikse lewering van moderne gesondheidsorg.
Van elektroniese gesondheidsrekords tot internetgekoppelde diagnostiese toerusting, gesondheidstegnologieë klop die hart van die NHS in 2023. Maar dit is ook 'n winsgewende teiken van kubermisdadigers en moet beskerm word om katastrofiese kuberoortredings te vermy wat die Engelse gesondheidsorgstelsel kan raak.
Matt JD Aldridge, hoofoplossingskonsultant by OpenText Cybersecurity, sê die “uiters sensitiewe” aard van gesondheidsorgdata en die waarde daarvan vir kubermisdadigers is waarskynlik belangrike faktore in die regering se besluit om die NIS-regulasies op die Engelse gesondheidsorgstelsel toe te pas.
“As 'n aanval 'n mediese fasiliteit sou ontwrig, hou dit ernstige risiko's vir pasiënte in. Dit is hoekom die bedryf baie in die kollig is en daarom sekuriteit op verskeie maniere moet aanspreek,” sê hy.
“Daar was ook die afgelope paar jaar talle, goed-gepubliseerde aanvalle of oortredings op die NHS, wat hierdie herbelyning moontlik aangespoor het om beter beskerming en leiding aan gesondheidsorgorganisasies as geheel te verseker.”
Die koronaviruspandemie het die belangrikheid van die NHS tydens 'n openbare gesondheidsnood beklemtoon, so daar kan aangevoer word dat 'n ontwrigte gesondheidsorgstelsel sleg sou wees vir Britse nasionale veiligheid. Deur die kuberveerkragtigheid van die NHS te verbeter, sal nasiestate nie in staat wees om Brittanje se vermoë om kritieke sorg te verskaf tydens toekomstige pandemies en ander openbare gesondheidskrisisse te ontwrig nie.
Deur gesondheidsorgverskaffers aan die NIS-regulasies te onderwerp, sal hulle in staat stel om beste praktyke vir kuberveiligheid te implementeer om toekomstige kuberaanvalle en data-oortredings te versag, wat andersins pasiënte in gevaar sou stel, stewige boetes tot gevolg sou hê en reputasieskade sou veroorsaak. Engeland se besluit om die kuberveiligheid van sy gesondheidsorgsektor op hierdie manier te versterk, sal waarskynlik ander nasies inspireer om soortgelyke stappe te neem, wat Brittanje se invloed op die wêreldtoneel vergroot.
Laat die NIS-regulasies werk
Ten spyte van hul voordele, kan die NIS-regulasies verskeie uitdagings vir gesondheidsorgorganisasies in Engeland bied. Veral kleiner verskaffers sal getref word deur die finansiële las van die aankoop van kuberveiligheidstelsels en die opdatering van ou IT-stelsels. Om hierdie dinge te doen vereis ook spesifieke kundigheid, wat klein gesondheidsorgverskaffers dalk nie in die huis het nie. Opleiding van personeel oor die identifisering en reaksie op kuberaanvalle sal tyd neem.
In die algemeen sal die uitrol van NIS-regulasies oor die Engelse gesondheidsorgsektor dit beskerm teen bestaande en opkomende kuberveiligheidsbedreigings. Maar vir hierdie oorgang om suksesvol te wees, is noue samewerking tussen regerings, reguleerders, gesondheidsorgverskaffers en kuberveiligheidskundiges fundamenteel.
