דו"ח מצב אבטחת המידע האחרון של IO מצייר תמונה של מגזר שירותי בריאות הנמצא תחת לחץ מתמשך. ארגונים אחראים להגנה על נתונים רגישים ביותר, שמירה על שירותים פעילים באופן קבוע ותיאום בין מערכות אקולוגיות מורכבות של קליניות, תפעוליות וספקים. כאשר בקרות אבטחה נכשלות, ההשלכות חורגות מעבר להפסדים כספיים לבטיחות המטופלים, להמשכיות השירות ולאמון הציבור.

ממצאי הדו"ח של השנה מראים כי מובילי אבטחת שירותי הבריאות מאזנים בין דרישות רגולטוריות גוברות, אילוצי כוח אדם ותקציב מתמשכים לבין תלות גוברת בגורמי צד שלישי. בעוד שאיומים מבוססי בינה מלאכותית מתפתחים בבירור, הנתונים מצביעים על כך שהאתגרים המגדירים את המגזר הם מבניים יותר: חוסן, משילות, קיבולת כוח אדם וקושי בהרחבת אבטחה ותאימות בסביבות מורכבות.

בין המשיבים שלנו נכללו מנהיגים בכירים בתחום הסייבר ואבטחת המידע ברחבי מערכת הבריאות בבריטניה ובארה"ב. תשובותיהם חושפות היכן מתרכז הסיכון, כיצד מתממשים אירועים ומה מעצב את סדרי העדיפויות לשנה הקרובה.

להלן, נפרט 11 נתונים סטטיסטיים מרכזיים שכל מנהיג בתחום הבריאות צריך להבין מהדוח של השנה.

 

סטטיסטיקות מרכזיות של אבטחת מידע עבור מגזר הבריאות

  1. 67% אומרים שאופי תעשיית הבריאות מקשה במיוחד על יישום אמצעי אבטחת מידע יעילים.
  2. 77% אומרים שהמהירות וההיקף של שינויי הרגולציה מקשים יותר ויותר על עמידה בתקני אבטחת מידע.
  3. אילוצי תקציב הם האתגר המצוטט ביותר, ומשפיעים על 51% מהארגונים, ואחריהם פער מיומנויות אבטחת מידע (47%).
  4. 32% מדווחים על שחיקה בצוותי אבטחת מידע ותאימות, בעוד ש-32% מתקשים גם בתחלופת עובדים ושימור עובדים.
  5. רק 8% אומרים שלא חוו אירועי סייבר ב-12 החודשים האחרונים.
  6. 55% הושפעו מאירוע אבטחה של צד שלישי או שרשרת אספקה ​​בשנה האחרונה, כאשר 20% הושפעו מספר פעמים.
  7. פרצות נתונים נותרות נפוצות: 37% מדווחים על פרצות בסך הכל, כאשר נתוני עובדים (30%), נתוני שותפים (28%) ונתונים פיננסיים (27%) נפגעים בתדירות הגבוהה ביותר.
  8. 45% אומרים שההנהלה הבכירה עדיין מתייחסת לתאימות אבטחת מידע כאל מחשבה שלאחר מעשה, למרות ש-83% מדווחים על אסטרטגיית אבטחה ברורה ו-85% תומכים באחריותיות ברמת הדירקטוריון.
  9. 40% מציינים חוסר מודעות בקרב העובדים כאתגר אבטחה מרכזי, כאשר טעויות נפוצות כוללות שימוש ב-Wi-Fi ציבורי (40%) ולחיצה על קישורים חשודים (35%).
  10. חיסכון בזמן כתוצאה מתהליכי אבטחה יעילים יותר הוא החזר ההשקעה המדווח החזק ביותר מתאימות, כפי שצוין על ידי 47% מהארגונים.
  11. 95% בטוחים ביכולתם להגיב לאירוע סייבר משמעותי, ו-68% אומרים כי הביטחון שלהם גדל בשנה האחרונה.

תלות בצד שלישי וסיכון שרשרת אספקה

התלות של שירותי הבריאות בצדדים שלישיים היא מבנית. מערכות קליניות, IT מנוהל, שירותי ענן, תוכנות מיוחדות, מכשור רפואי ופעולות במיקור חוץ - כל אלה מרחיבים את שטח התקיפה. לכן, אין זה מפתיע שמחצית מהנשאלים (50%) מסכימים כי סיכוני שרשרת האספקה ​​הם כיום "אינספור ובלתי ניתנים לניהול", ונתוני האירועים תומכים בדאגה זו.

55% מארגוני שירותי הבריאות הושפעו מאירוע צד שלישי ב-12 החודשים האחרונים, כאשר אחד מכל חמישה (20%) הושפע מספר פעמים. מה שבולט הוא אופי ההשלכות. אירועי ספקים לא רק יוצרים עבודות תאימות; הם משבשים את אספקת השירותים. המשיבים דיווחו לרוב על עיכובים או שיבושים במתן השירותים (36%), אובדן שותפויות או חוזים מרכזיים (36%) והפרעה תפעולית זמנית (33%). בכמעט שליש מהמקרים, ארגונים פיטרו את הספק לחלוטין (30%), דבר המאותת על כך שאמון הספקים מותנה יותר ויותר.

ציפיות הספקים מתקשחות בהתאם. ארגוני בריאות דורשים כעת שילוב של מסגרות ספציפיות למגזר וכלליות משותפים, כולל HIPAA (35%), Cyber ​​Essentials (37%), NIST (29%), לצד תקני ISO כגון 27001, 27701 ו 42001 (20% כל אחד). משטרים מיוחדים כמו HITRUST (23%) ו-ISO 13485 (20%) גם הם נפוצים יותר ויותר. רק 3% מדווחים שאינם דורשים כלל תקנים.

כיוון התנועה ברור: אבטחת צד שלישי עוברת מבדיקת נאותות לבקרת חוסן תפעולי, עם דרישות מחמירות יותר, אימות תכוף יותר וקשר הדוק יותר בין תנוחת הספק לתכנון המשכיות.

סביבת אירוע מתמשכת

תובנה ברורה נוספת מהדו"ח היא שארגוני שירותי בריאות פועלים בסביבה בסיסית עם שיעור אירועים גבוה, במקום להתמודד עם אירועים בודדים. רק 8% מדווחים על הימנעות מוחלטת מאירועי סייבר ב-12 החודשים האחרונים. פרצות נתונים השפיעו על 37% מהארגונים, בעוד פישינג או ויישינג (32%), זיהומים של תוכנות זדוניות (27%), פרצות לענן (25%) ופריצות לרשת (22%) נותרו נפוצים.

היקף הנתונים שנחשפו משקף את זרימות המידע המורכבות של שירותי הבריאות. נתוני עובדים נחשפו ב-30% מהארגונים, אחריהם נתוני שותפים (28%), נתונים פיננסיים (27%), נתוני מחקר (27%) ונתוני מוצרים (23%). מידע אישי מזהה (PII) נחשף בתדירות נמוכה יותר (20%), אך השפעתו אינה פרופורציונלית.

במקרים בהם התרחשו פרצות מידע אישי, 75% מהן הביאו לקנסות או עלויות משפטיות או רגולטוריות, ומחציתן (50%) תרמו לסגירת עסק או לשינוי אסטרטגי. עובדה זו מדגישה את ההימור הגבוה הייחודי של פגיעה בנתונים בתחום הבריאות, שבהם השלכות רגולטוריות, תדמיתיות ותפעוליות מתכנסות.

במילים אחרות, תקריות אינן עוד כשלים יוצאי דופן. הן סיכון תפעולי חוזר שיש לצפות, לספוג ולהתאושש ממנו כחלק מאספקת שירותים רגילה.

קיבולת כוח אדם ועומס תפעולי

מאחורי נתוני האירועים מסתתרת תמונה של מגזר הנמצא תחת לחץ תפעולי מתמשך. אילוצי תקציב משפיעים על 51% מארגוני הבריאות, מה שהופך אותם לאתגר המצוין ביותר. במקביל, 47% מדווחים על פער מיומנויות אבטחת מידע, בעוד 32% מציינים שחיקה בצוותי אבטחת מידע ותאימות ו-32% מתקשים בתחלופת עובדים ושימור עובדים.

לחצים אלה מחמירים עקב מורכבות מבנית. 37% מציינים את התפשטות ה-IT והטכנולוגיה כאתגר, ו-33% מתקשים לקבוע אילו תהליכי אבטחה ניתן להפוך לאוטומטיים בבטחה. ככל שכמות הכלים מתרבה והאחריות מתרחבת, צוותים נאלצים יותר ויותר לנהל זרימות עבודה מקוטעות, לוחות מחוונים חופפים וראיות לא עקביות.

עבור ארגוני בריאות הפועלים תחת לחץ מתמיד של שירותים, חוסר קוהרנטיות זה מתורגם ישירות לסיכון: פערים בנראות, תגובה מאוחרת והסתמכות רבה יותר על מומחיות אישית. לאורך זמן, זה אינו מודל תפעולי בר-קיימא.

לחץ רגולטורי וביצוע ציות

מורכבות רגולטורית הייתה גם אחת התכונות המגדירות של נוף אבטחת שירותי הבריאות מהדו"ח שלנו. 77% אומרים שהמהירות וההיקף של שינויי הרגולציה מקשים יותר ויותר על עמידה בתקנות, בעוד 39% מציינים עמידה בתקנות ובתקנים כאתגר תפעולי ישיר.

היכולת אינה אחידה. רק 27% מרגישים מצוידים במלואם לנהל תקנות ומסגרות חופפות כגון GDPR, 2 שקלים ו-HIPAA, בעוד 33% זקוקים לעזרה חיצונית מדי פעם. השאר מדווחים על פערים בזמן, מערך מיומנויות מקצועי או תמיכה ברמת הדירקטוריון.

פער זה בין חובה לביצוע בא לידי ביטוי בתוצאות. 70% מהארגונים קיבלו לפחות קנס אחד על הגנת מידע בשנה האחרונה, כאשר חלק משמעותי מהם עומד בפני קנסות של שש ספרות. עם זאת, הנתונים מראים גם כי המבנה חשוב. אחד מכל חמישה מדווח על קשיים משמעותיים בעמידה בתקנות. ISO 27001, המצביע על כך שכאשר תהליכי בקרות, ראיות ובדיקה מסודרים באופן שיטתי, הציות הופכת צפויה יותר ופחות מכבידה.

כאשר ציות מבוצע היטב, הוא מניב יתרונות מוחשיים. 47% מציינים חיסכון בזמן כתוצאה מתהליכי אבטחה יעילים יותר, 38% שיפור קבלת ההחלטות ו-37% הפחתת עלויות הקשורות לאירועים, מה שמחזק את הטענה שכאשר ארגונים עוברים מתאימות כחובה לתאימות כמשמעת תפעולית, התמורה משמעותית.

התנהגות אנושית וסיכון מובנה

התנהגות העובדים ממשיכה לחשוף ארגוני בריאות לסיכונים שניתן היה למנוע. 40% מציינים חוסר מודעות של העובדים כאתגר נוכחי, וההתנהגויות המדווחות משקפות פער זה. 40% מדווחים על שימוש ברשת Wi-Fi ציבורית לעבודה, 35% מדווחים על לחיצה על קישורים חשודים, ו-32% מדווחים על שימוש לא מאושר בכלים יצירתיים של בינה מלאכותית. נהלי סיסמאות חלשים ומכשירים אישיים לא מאובטחים משפיעים כל אחד על 28% מהארגונים.

התנהגויות אלו הן לעיתים רחוקות תוצאה של אדישות. הן משקפות סביבות בהן תהליכים מאובטחים מקוטעים, לא עקביים או קשים למעקב. כאשר בקרות אבטחה מוסיפות חיכוך או איטיות באספקה, הצוות נוטה לנוחות.

במסגרות שירותי בריאות, בהן לעובדים יש לעתים קרובות גישה למערכות קליניות ולנתונים רגישים, הטמעת התנהגות מאובטחת בתהליכי עבודה יומיומיים הופכת לחשובה לא פחות מהכשרת מודעות פורמלית.

בינה מלאכותית כמגבר, לא כמגבלה מרכזית

בינה מלאכותית אכן מהווה חלק בולט בנוף האיומים המתפתח של שירותי הבריאות. 51% מציינים מידע שגוי ודיסאינפורמציה שנוצרו על ידי בינה מלאכותית כדאגה מרכזית, בעוד 47% מצביעים על פישינג המונע על ידי בינה מלאכותית. באופן פנימי, 33% מודאגים משימוש לרעה בכלים יצירתיים של בינה מלאכותית, ו-52% מסכימים שאימצו בינה מלאכותית מהר מדי וכעת מתקשים לנהל אותה באחריות.

במקביל, 45% אומרים כי טכנולוגיות בינה מלאכותית ולמידת מכונה פוגעות כיום ביכולות אבטחת המידע שלהם, ו-63% מאמינים שההתקדמות בבינה מלאכותית מטשטשת תפקידי אבטחה מסורתיים.

עם זאת, הנתונים מצביעים על כך שבינה מלאכותית מעצימה חולשות קיימות במקום ליצור חדשות לחלוטין. פערים בממשל, אילוצי כוח אדם, תלות בצד שלישי ומורכבות רגולטורית נותרו הלחצים הדומיננטיים. בינה מלאכותית מגבירה את המהירות והיקף הסיכון, אך היא אינה מחליפה את הצורך בבקרות מובנות, אחריות ברורה ופיקוח משולב.

ביטחון, מוכנות והדרך קדימה

למרות כמות אירועים גבוהה ולחץ גובר, רמות הביטחון בשירותי הבריאות נותרות גבוהות באופן בולט. 95% אומרים שהם בטוחים ביכולתם להגיב לאירוע סייבר גדול, ו-68% מדווחים כי ביטחונם גדל בשנה האחרונה.

ביטחון זה מבוסס על יכולת קונקרטית. כמעט מחצית מבצעים בדיקות תגובה סדירות לאירועים (47%), ל-49% יש תפקידים מוגדרים בבירור במהלך אירועים, ו-42% מתחזקים תוכניות תגובה מתועדות. רבים משלבים תגובה עם המשכיות עסקית והתאוששות מאסון (33%) ומסתמכים על תמיכה חיצונית כגון ספקי שירותי ניהול עסקיים (MSSPs) או ייעוץ משפטי (30%).

האתגר הנותר הוא עקביות. הביטחון הוא החזק ביותר כאשר מתרגלים את התגובה לאירועים, תרחישי ספקים כלולים וההנהגה מעורבת באופן פעיל לפני, במהלך ואחרי אירועים.

בממצאי השנה, נושא אחד עקבי: גישות ידניות, מקוטעות ותלויות אדם מגיעות לקצה גבול היכולת שלהן. ארגוני בריאות המאמצים מערכות משולבות וחזרתיות לניהול אבטחה, סיכונים ותאימות, בין צוותים פנימיים ומערכות אקולוגיות של צד שלישי, יהיו בעמדה הטובה ביותר לשמר חוסן מבלי להעמיס על משאבים שכבר נמצאים תחת לחץ.

קרא את דוח מצב אבטחת המידע המלא.