nhs nis בלוג

תקנות שקל: עידן חדש של אבטחת סייבר עבור מגזר הבריאות של אנגליה

כשחושבים על האתגרים שעומדים בפני שירות הבריאות הלאומי, דברים כמו מחסור במימון ובצוות, רשימות המתנה ארוכות, אוכלוסייה גדלה וצרכי ​​המטופלים המשתנים כל הזמן עשויים לעלות על הדעת. 

עם זאת, למתקפת סייבר אחת יש את הכוח לדפוק את כל מערכות תקשורת המידע הקריטיות של ה-NHS במצב לא מקוון, מה שמקשה על הרופאים והאחיות בחזית לבצע את עבודתם ובסופו של דבר להציל חיים. מתקפת הסייבר הידועה לשמצה WannaCry, שבוצעה על ידי האקרים צפון קוריאנים, נגוע מחשבים על פני 595 ניתוחי רופאים באנגליה ושיבשו את הפעלתם של שליש ממוסדות החולים האנגלים של NHS. 

לצד ההשפעה על הפעילות היומיומית של ניתוחי רופאים ובתי חולים ברחבי הארץ, התקפות סייבר נגד ה-NHS יכולות גם לגרום לדליפה של נתוני בריאות רגישים. ביוני, ה"אינדיפנדנט". דיווח כי פושעי סייבר גנבו את הנתונים האישיים של 1.1 מיליון חולי NHS ב-200 בתי חולים לאחר שהשיקו מתקפת כופר על אוניברסיטת מנצ'סטר. מאמינים שהנתונים שדלפו כללו את מספרי ה-NHS של החולים וחלק מהמיקוד הביתי שלהם. 

בניסיון למנוע התקפות סייבר עתידיות ודליפות נתונים המשפיעות על ה-NHS, יחידת הסייבר המשותפת פרסמה הדרכה חדשה לגבי השקת תקנות הרשת ומערכות המידע (NIS) בארגוני הבריאות באנגליה. החלטה זו מציעה לרגולטורים לראות כעת את נתוני שירותי הבריאות כתשתית לאומית קריטית (CNI). אז למה זה המצב, ומה המשמעות של ההנחיה החדשה עבור ספקי שירותי בריאות באנגליה?

מהן תקנות שקל?

תקנות השקל, שנכנסו לספרי החוקים במאי 2018, מטרתן לחזק את עמדת אבטחת הסייבר של מפעילי שירותים חיוניים (OES). ארגונים אלו מספקים שירותים קריטיים לחברה ולכלכלה מתפקדים, לרבות תחבורה, מים, חשמל וכעת שירותי בריאות.

בהנחיה חדשה, גורמים ממשלתיים מתארים את שירותי הבריאות כ"שירות חיוני על פי תקנות השקל". היא מסווגת נאמנויות של NHS, נאמנויות קרן, מועצות טיפול משולבות (ICBs) וספקים עצמאיים ספציפיים כ"OESs לשירותי בריאות", כלומר עליהם לנקוט בצעדים מתאימים כדי לעמוד בתקנות NIS.

לפי כללים אלה, ארגוני בריאות חייבים להיות מסוגלים לנהל כל איומי אבטחת סייבר המשפיעים על הרשת ומערכות המידע שהם משתמשים בהם כדי לספק שירותים חיוניים. הדבר כרוך במניעה ובמזעור ההשפעה של התקפות סייבר על רשתות שירותי בריאות ומערכות מידע תוך "הבטחת המשכיות של שירותים אלה". 

תקנות השקל אומרות שספקי שירותי בריאות חייבים לאמץ "נוהלי ניהול סיכונים מקיפים", לדברי ג'ק פורטר, מומחה למגזר הציבורי, Logpoint. אמצעים אלה כוללים "הערכת סיכונים פוטנציאליים, יישום אמצעי אבטחה ובדיקה קבועה של אלה כדי להגן על נתוני המטופלים".  

ספקי שירותי בריאות חייבים גם ליישם "עוד מדיניות אבטחה הקשורה לשרשרת האספקה" כדי לעמוד בתקנות השקל. פורטר אומר: "משמעות הדבר היא להבטיח ששותפים וספקים עומדים בתקני אבטחה מחמירים עבור ספקי שירותי בריאות, במיוחד בעת טיפול בנתוני חולים או מתן שירותים קריטיים."

בכל הנוגע להפחתת סיכוני אבטחת סייבר ובסופו של דבר עמידה בתקנות השקל, פורטר ממליץ לספקי שירותי בריאות לאמץ מערכת ניהול אבטחת מידע (ISMS). הוא מוסיף כי הטמעת מערכת אבטחה וניהול אירועי אירועים (SIEM) תאפשר לארגוני בריאות "לזהות ולהגיב לתקריות" ולעמוד בתקנים בתעשייה כמו ISO 27001. 

טכנולוגיות מתפתחות כמו בלוקצ'יין יכולות גם לעזור לספקי שירותי בריאות להגן על מערכות חיוניות מפני התקפות סייבר ודליפות נתונים. סיימון ביין, מומחה AI ומנכ"ל OmniIndex, מסביר שהטכנולוגיה המבוזרת "מציעה אבטחה משופרת, פרטיות ושקיפות על פני תשתית מדור קודם". 

הוא ממשיך: "זה בגלל שהוא מוצפן מקצה לקצה, אין לו מיקום מרכזי לתקיפה של פושע, ומשתמש בבינה מלאכותית כדי לאמת ולאשר גישה ללא הרף כדי להבטיח שרק מי שיש לו הרשאה לצפות בנתונים מסוימים יוכל לצפות בהם. יתר על כן, נתונים מאוחסנים אינם ניתנים לשינוי. המשמעות היא שגם אם התקפה הצליחה, הנתונים לא יכולים להיות מוצפנים על ידי תוקף ולהחזיק כופר".

דיווח על אירועי סייבר 

אם הרשת ומערכות המידע של ספק שירותי בריאות מושפעות מתקרית אבטחת סייבר המשפיעה על המשכיות השירותים החיוניים שלו, עליהם להגיש דוח באמצעות ערכת הכלים לאבטחת מידע והגנה (DSPT)

הם צריכים לדווח על האירוע לפחות 72 שעות לאחר שהבחינו בו ולכלול מידע על מספר המשתמשים שהושפעו מהפרה, אורכה והמיקום הגיאוגרפי המושפע.

פורטר אומר שכללי השקל דומים ל GDPR בכך שהם שואפים "להרחיב את דרישות הדיווח על אירועים מעבר לאלו המשפיעות על המשכיות השירות. הוא מסביר: "ספקי שירותי בריאות חייבים לדווח על תקריות משמעותיות המשפיעות על הרשת ומערכות המידע שלהם עם המלצות לביקורת אבטחה".

לדבריו, אימוץ פלטפורמת SIEM מאפשר למנהלי תיקים של אירועי אבטחת סייבר בתחום הבריאות "לזרז חקירה ותגובה". מערכות אלו מספקות מודיעין יומן איומים, נותנות לחוקרים "תמונה מלאה של המתרחש" ומאפשרות להם "ליצור דוחות ישירות מכל מקרה". 

מדוע ש"ח חשוב לבריאות?

ישנן מספר סיבות אפשריות מאחורי החלטתה של ממשלת בריטניה להחיל את תקנות השקל על מגזר הבריאות האנגלי. אולי המניע הגדול ביותר הוא שמגוון מורכב של מערכות מקושרות זה לזה ממלא תפקיד קריטי באספקה ​​היומיומית של שירותי בריאות מודרניים. 

מרשומות בריאות אלקטרוניות ועד ציוד אבחון מחובר לאינטרנט, טכנולוגיות בריאות פועם בלב ה-NHS בשנת 2023. אבל הן גם מטרה משתלמת של פושעי סייבר ויש להגן עליהן כדי למנוע פרצות סייבר קטסטרופליות שעלולות להשפיע על מערכת הבריאות האנגלית. 

מאט JD Aldridge, יועץ פתרונות ראשי ב-OpenText Cybersecurity, אומר כי האופי ה"רגיש ביותר" של נתוני שירותי הבריאות והערך שלהם לפושעי סייבר הם ככל הנראה גורמים משמעותיים בהחלטת הממשלה להחיל את תקנות השקל על מערכת הבריאות האנגלית. 

"אם התקפה הייתה משבשת מתקן רפואי, אז זה מביא סיכון חמור לחולים. זו הסיבה שהתעשייה נמצאת מאוד באור הזרקורים, ולכן היא חייבת לטפל באבטחה במספר דרכים", הוא אומר.

"כמו כן, היו מספר רב של התקפות או הפרות מתוקשרות על ה-NHS במהלך השנים האחרונות, מה שייתכן שהמריץ את ההיערכות מחדש כדי להבטיח הגנה והדרכה טובים יותר לארגוני הבריאות בכללותם."

מגיפת הקורונה הדגישה את חשיבות ה-NHS בזמן חירום בבריאות הציבור, כך שניתן לטעון שמערכת בריאות משובשת תהיה רעה לביטחון הלאומי הבריטי. על ידי שיפור חוסן הסייבר של ה-NHS, מדינות הלאום לא יוכלו לשבש את יכולתה של בריטניה לספק טיפול קריטי במהלך מגיפות עתידיות ומשברי בריאות ציבוריים אחרים. 

הכפפת ספקי שירותי הבריאות לתקנות השקל תאפשר להם ליישם שיטות עבודה מומלצות לאבטחת סייבר כדי לצמצם התקפות סייבר ופצות מידע עתידיות, שאחרת היו מסכנים את החולים, יגרמו לקנסות כבדים ויגרמו נזק למוניטין. החלטתה של אנגליה לחזק את אבטחת הסייבר של מגזר הבריאות שלה בדרך זו, ככל הנראה תיתן השראה למדינות אחרות לנקוט בצעדים דומים, ותגביר את השפעתה של בריטניה על הבמה העולמית. 

לגרום לתקנות השקל לעבוד 

למרות היתרונות שלהן, תקנות השקל עשויות להציב אתגרים שונים עבור ארגוני הבריאות באנגליה. ספקים קטנים יותר, במיוחד, ייפגעו מהנטל הפיננסי של רכישת מערכות אבטחת סייבר ועדכון מערכות IT מדור קודם. ביצוע דברים אלה דורש גם מומחיות ספציפית, שאולי אין לספקי שירותי בריאות קטנים בבית. אימון הצוות בזיהוי ותגובה למתקפות סייבר ייקח זמן מה. 

בסך הכל, השקת תקנות שקל ברחבי מגזר הבריאות האנגלי תגן עליו מפני איומי אבטחת סייבר קיימים ומתהווים. אבל כדי שהמעבר הזה יצליח, שיתוף פעולה הדוק בין ממשלות, רגולטורים, ספקי שירותי בריאות ומומחי אבטחת סייבר הוא בסיסי. 

 

מְחַבֵּר

ניקולס פירן

ניקולס פירן הוא עיתונאי עצמאי מהעמקים הוולשיים. הוא כתב עבור כלי תקשורת גדולים כמו הפייננשל טיימס, האינדיפנדנט, הטלגרף, Evening Standard, iNews, HuffPost ו-Insider, כמו גם פרסומי B2B כמו Computer Weekly, Computing ו-IT Pro. כשניק לא כותב על הגאדג'טים והטרנדים הטכנולוגיים האחרונים, הוא כנראה מקשיב לכל הדיסקוגרפיה של מריה קארי.

הצג את כל הפוסטים של ניקולס פירן

פוסטים קשורים

ISMS.online תומך כעת ב-ISO 42001 - מערכת ניהול הבינה המלאכותית הראשונה בעולם. לחץ למידע נוסף