שמירה נכונה על אבטחת שירותי הבריאות מתחילה מהיסודות

מאת פיל מונקסטר • 18 יולי 2023

אף ארגון לא רוצה לסבול מפרצת אבטחה גדולה. אבל כשזה קורה לארגוני בריאות (HCOs) כמו נאמנויות של NHS, יכולה להיות השפעה גדולה על הקהילה המקומית. מתקפות ה-WannaCry של 2017 ופשיטת תוכנת הכופר של Conti על מנהל שירותי הבריאות של אירלנד (HSE) חשפו כישלונות משני צדי הים האירי. בעוד שבוצעו שיפורים, אתגרים רבים בבסיס ממשיכים לחשוף את המגזר לסיכון סייבר חמור. עם ההימור כל כך גבוה, גישה מאוחדת מקיפה לניהול סיכונים אלה הגיעה מזמן.

הגדרת הסצנה

מדוע ה-HCO חשופים כל כך לסיכון סייבר? בתור ה הממשלה מודה באסטרטגיית האבטחה שלה עבור המגזר עד 2030, חלק גדול ממנה נובע מסדרה של גורמים ייחודיים, כולל:

גודלו וגיוון שלו מקשים על סטנדרטיזציה של גישות על פני כל החלקים המרכיבים, מטיפול סוציאלי ראשוני ועד מבוגרים. זה גם אומר שהנתונים משותפים על ידי מספר רב של ישויות שונות, מה שעשוי להגביר את הסיכון.
משאבים מוגבלים ומומחי אבטחת סייבר להשקיע בבעיה
קווי דיווח ואחריות לא ברורים
לחץ תפעולי גבוה במיוחד, שרק גדל עם הצטברות של COVID-19
אחוזה גדולה של נכסים טכנולוגיים מגוונים - ממכונות אבחון ועד למערכות הזמנת מטופלים ושירותי מרשם. מערכות טכנולוגיות תפעוליות רבות (OT) עשויות להיות קשות או כמעט בלתי אפשריות לתיקון

מהם איומי הסייבר העיקריים על שירותי הבריאות?

עם זאת, רבים מהאיומים העומדים בפני HCO דומים לאלה במגזרים אחרים. הם כוללים:

פרצות תוכנה: לעתים קרובות מחריף על ידי שימוש במערכות הפעלה לא נתמכות. ציוד OT עם תוחלת חיים ארוכה (> 10 שנים) עשוי שלא לתמוך בתוכנות ובמערכת הפעלה מודרניים, מה שהופך את התיקון למאתגר כפול. על פי סקירת הלקחים של ויליאם סמארט על NHS אנגליה, למעלה מ-1200 ציוד אבחון זוהו כנגועים ב-WannaCry לאחר שהאיום הידוע לשמצה צץ ב-2017.

הנדסה חברתית: פישינג נותר אחד ממחוללי האיומים המובילים בכל המגזרים, תוך ניצול החוליה החלשה האנושית בשרשרת האבטחה. תחת לחץ, הצוות הרפואי עשוי להיות נוטה יותר ללחוץ לפני חשיבה.

עבודה מרחוק: שירותי הבריאות אימצו עבודה היברידית במידת האפשר כדי לשפר את הפרודוקטיביות ואת האיזון בין העבודה לחיים. אבל הסיכונים הקשורים לצוות מוסח ומכשירים/רשתות ביתיים לא מאובטחים נמשכים.

מקורבים זדוניים: מעניין כי יותר משליש (35%) מהפרות נותחו מאת Verizon השנה במגזר הגיעו ממקורבים. הוא מזהיר מפני האיום מצד עובדים ממורמרים וקנוניה בין גורמים רבים.

דליפות בשוגג: מגמה נוספת ש-Verizon זיהתה היא מסירה שגויה של מידע רגיש על ידי צוות הבריאות. יחד עם התקפות אפליקציות אינטרנט בסיסיות, שגיאות שונות מייצגות 68% מהפרות.

שרשרת אספקה: עם שרשרת אספקה גדולה ומורכבת, ספקי שירותי בריאות חשופים לסיכון נוסף. א התקפת Ransomware - - על ספקית התוכנה הבריטית Advanced הייתה השפעה נרחבת על NHS במשך שבועות, כולל קו הסיוע הקריטי שלו 111. יותר לאחרונה, HSE של אירלנד הודה קמפיין גניבת הנתונים של MOVEit השפיע עליו.

מה יש ב"סטייק"?

WannaCry הדגישה לראשונה את רמת ההסתמכות שיש למערכות הבריאות המודרניות בטכנולוגיה דיגיטלית. בסך הכל, זה שיבש 81 מתוך 236 נאמנויות באנגליה (34%), מה שהוביל לפי הערכות של 19,000 פגישות וניתוחים שבוטלו, כאשר מטופלים רבים הופנו למחלקות טיפול רפואי ורפואה רחוקות יותר.

"עם הערכה יומית של 950,000 פגישות רפואיות כלליות, 45,000 נוכחות מרכזית של מחלקת נמרץ ו-137,000 אירועי הדמיה שתועדו, היקף ההשפעה - הן הישירה והן העקיפה - ממתקפת סייבר על מגזר הבריאות והשירותים הסוציאלי הוא פוטנציאלי עצום", מודה הממשלה. .

יש לכך עלות כספית, כמובן. אירלנד HSE כבר בילה עשרות מיליוני יורו ניהול הנשורת מהמסיבית שלה פריצת תוכנת כופר לשנת 2021. מחקר מ ThreatConnect טוען שבממוצע, הכנסות של עד 500 מיליון דולר מאבדים כ-30% מהרווח התפעולי אם נפגעים ממתקפת כופר חמורה. בהחלט קיים גם סיכון רגולטורי, במיוחד אם נגנב מידע אישי של עובד ומטופל. למרות שלא היו קנסות GDPR משמעותיים עד היום, הרגולטורים עשו זאת גובה מדי פעם קנסות כספיים, והתקנה אכן מסווגת את רוב הנתונים הרפואיים כ"קטגוריה מיוחדת", כלומר כפופה לכללים מחמירים יותר.

עם זאת, מעבר להשפעה הכספית, המוניטין והתאימות, שעלולה לפגוע ברצינות באמון המטופלים, קיים סיכון ברור יותר: בטיחות המטופל. מחקרים הראו מתאם הולך וגובר בין שיעורי תמותה והתקפות סייבר. דוח אחד אפילו מצא קשר בין נתונים הפרות והתקפי לב. זה חוץ מהמסתבר סיכון לבריאות המטופל ממתקפות כופר שמוציאות מערכות דיגיטליות קריטיות במצב לא מקוון.

איך מסתדרים ה-HCOs?

בהתחשב בהימור הגבוה הזה, ראיית ההתקדמות בהפחתת סיכוני סייבר במגזר הבריאות בבריטניה מרגיעה במידה מסוימת. לפי זה של הממשלה סקר פריצות אבטחת סייבר 2023, ארגונים במגזר הבריאות, הטיפול הסוציאלי והעבודה הסוציאלית נוטים יותר "באופן משמעותי" מהארגון הממוצע לנקוט בפעולות של שיטות עבודה מומלצות כמו יישום ניטור אבטחה, הערכות סיכונים, בדיקות צוות, ביקורת פגיעות, בדיקות חדירה ומודיעין איומים. הנתון הוא 74% עבור HCOs לעומת 51% בכל המגזרים. הם גם סבירים יותר (35% לעומת 18%) לערוך הדרכה למודעות אבטחה של הצוות במהלך 12 החודשים האחרונים. ולעוד ארגוני בריאות, טיפול סוציאלי ועבודה סוציאלית יש תוכניות המשכיות עסקית המכסות אבטחת סייבר (46% לעומת 27%) ומדיניות אבטחה רשמית (57% לעומת 29%).

עם זאת, יש עוד מה לעשות, ואין כל ערובה לכך שהמאמצים הללו אינם רק תרגילי תיוג של ארגונים הפועלים במגזר מוסדר מאוד.

ריצ'רד סטיינינגס, אסטרטג אבטחה ראשי של מומחית אבטחת הבריאות הבריטית Cylera, טוען שאישור יישומי בריאות, ספקים וספקי שירותים של צד שלישי יעזור רבות.

"הסמכת ISO27001 הגיונית מאוד עבור שירותים מסוימים שניתן לאשרם, בעוד שאישור SOC2 Type II המבוסס על תחומים ובקרות ישימים של ISO 27001 עשוי להיות הגיוני יותר עבור אחרים", הוא אומר ל-ISMS.online. "בכל מקרה, ספקים לא צריכים להיות במרחב של הערכת סיכונים של הספקים שלהם מדי שנה, כפי שקורה במקרה הנוכחי. לכל הפחות, יש להחזיק צדדים שלישיים ברמות אבטחה שוות או גבוהות יותר מהספקים שהם משרתים. סטנדרטים נפוצים בהחלט יעזרו."

מוחמד וואקאס, CTO עבור בריאות בארמיס, טוען כי ערכת כלי אבטחת מידע והגנה של NHS, לצד ISO 27001 והנחיית ה-NIS של האיחוד האירופי, מעניק לבריטניה "קו בסיס אבטחה בוגר יותר" ממדינות רבות אחרות. עם זאת, הוא מזהיר שאבטחת מכשור רפואי, במיוחד, מהווה סיכון משמעותי.

"היכולת לנטר מכשירים אלה ולהבין את ההתנהגות והסיכון שלהם בזמן אמת היא המפתח להבטחת בטיחות המטופל ופעולות חלקות. זה גם מאפשר זיהוי יזום של סיכונים ופגיעויות, ומעצים נאמנויות לנקוט פעולה בזמן", הוא אומר ל-ISMS.online. "על ידי שימוש בפתרון ניהול סיכונים מרוכז, HCOs יכולים לאמץ גישה אחידה להפחתת סיכונים בכל סוגי המכשירים, שתבטיח תנוחת אבטחה הוליסטית ותשפר את האבטחה הכוללת."

ניהול סיכוני תאימות שירותי בריאות

יש הרבה מה להמליץ באסטרטגיית 2030 של הממשלה, המחייבת את כל ארגוני הבריאות הציבוריים להיבדק באופן קבוע במסגרת מסגרת הערכת הסייבר (CAF) של המרכז הלאומי לאבטחת סייבר. האסטרטגיה קובעת חמישה עמודי מפתח להצלחה:

התמקד בסיכונים ובנזקים הגדולים ביותר
להגן כאחד
אנשים ותרבות
בנה בטוח לעתיד
תגובה והתאוששות למופת

חלק גדול ממה שהאסטרטגיה מנסה להשיג הוא להבטיח ש-HCO יקבל תחילה את היסודות של היגיינת הסייבר, כדי למנוע את הסיכונים הנובעים משגיאות בסיסיות יחסית כמו סיסמאות קלות לניחוש, נכסים לא מתוקנים ודיוג. כאשר מניעה אינה אפשרית, הרעיון הוא להבטיח לארגונים את כלי ניטור האבטחה הנכונים ואת תהליכי התגובה לאירועים כדי להבטיח שהם יכולים לזהות ולהכיל איומים לפני שהם יכולים להשפיע בצורה רצינית.

ISO 27001 יכול לעזור למאמצים אלה על ידי:

זיהוי פערי אבטחה
צמצום סיכוני שרשרת האספקה
תמיכה במאמצי ציות לרגולציה/חוק
הבטחת הצוות שעבר הכשרה מתאימה ומודע לאבטחה
צמצום סיכוני הפרות באמצעות מדיניות ותהליכים מתועדים כהלכה
ניהול סיכונים על פני כל משטח התקפות הסייבר

הכל עוסק בשיפור חוסן הסייבר של מערכות IT קריטיות, בסופו של דבר בניית אמון עם מטופלים והפחתת ההשפעה הפיננסית והתפעולית של התקפות סייבר בתחום הבריאות.

אם אתה מחפש להתחיל את המסע שלך לאבטחת מידע טובה יותר ופרטיות נתונים, ISMS.online יכול לעזור.

פתרון ה-ISMS שלנו מאפשר גישה פשוטה, מאובטחת ובת קיימא לפרטיות נתונים וניהול מידע עם ISO 27001 ומחייב מסגרות נוספות כגון SOC 2, GDPR ועוד. פתח עוד היום את תאימות שירותי הבריאות שלך.

דבר עם מומחה

פיל מונקסטר

פיל מונקאסטר הוא עיתונאי IT כבר 20 שנה. הוא התחיל את דרכו ככתב בארגון IT Week בשם IT Week בשנת 2005 והתקדם לתפקיד עורך חדשות לפני שעזב כדי להמשיך בקריירה עצמאית. מאז, פיל כתב עבור כותרים כולל The Register, שם עבד ככתב אסיה בזמן שהתבסס בהונג קונג במשך יותר משנתיים, MIT Technology Review, SC Magazine, Infosecurity Magazine ואחרים.