Bitdefender
18. zář 20225 min
Rok 2015 byl pro zdravotnictví budíčkem. Byl to rok narušení zdravotní péče a v rámci desítek útoků bylo napadeno více než 100 milionů záznamů. Zdravotnickým organizacím to ukázalo, že nejenže jsou ohroženy útoky, ale zákeřní útočníci si těchto společností začínají všímat a snaží se je zneužít.
To mělo přimět zdravotnické organizace, aby se zabývaly riziky kybernetické bezpečnosti a smysluplně investovaly do vlastního zabezpečení. Nicméně sedm let po roce, kdy došlo k narušení bezpečnosti ve zdravotnictví, je situace pravděpodobně ještě horší. V roce 2021 dosáhl počet případů narušení bezpečnosti ve zdravotnictví historického maxima a postihl 45 milionů lidí.
Zdravotnické organizace jsou stále terčem útoků, a příliš mnoho organizací se nepřizpůsobilo změnám v oblasti rizik a kybernetické bezpečnosti. V mnoha případech je to důsledek nedostatku zdrojů a nedostatečného pochopení.
Ukážeme vám, jak mohou zdravotnické společnosti tato nová rizika řešit a zlepšit svou kybernetickou odolnost, tváří v tvář rostoucímu počtu útoků.
Ve zdravotnictví došlo k několika změnám okolního prostředí, které vedly ke zvýšení rizika a k většímu prostoru pro útoky, které je obtížné řešit a ochraňovat. Patří mezi ně:
Používání cloudové infrastruktury
Stejně jako v případě téměř všech organizací napříč všemi průmyslovými odvětvími, i zdravotnické organizace spolupracují s různými dodavateli cloudových služeb, kteří poskytují nejrůznější služby a řešení, a dokonce i infrastrukturní služby. Do roku 2027 by měl trh cloud computingu ve zdravotnictví dosáhnout 90,46 miliardy dolarů, což je obrovský nárůst oproti 20,9 miliardy dolarů v roce 2020. Dochází tak k přesunu umístění dat organizací z on-premise do cloudu, což vyžaduje odlišné technologie, procesy a opatření k jejich řádnému zabezpečení.
Bez zavedení správných bezpečnostních kontrol je riziko narušení nebo náhodného úniku dat značné.
Internet věcí a připojené zdravotnické přístroje
S rozvojem lékařských technologií zdravotnické organizace výrazně zvýšily své investice do internetu věcí (IoT) a připojených zdravotnických přístrojů. Tím se však také zvýšil počet koncových bodů a zařízení, která jsou připojena k firemnímu prostředí, a přibylo tak více přístupových bodů, které by mohl útočník zneužít. Je také známo, že připojené zdravotnické přístroje jsou ze své podstaty zranitelné a rizikové, s pevně zakódovanými hesly a minimálními bezpečnostními kontrolami.
Digitální transformace
To je součástí širšího trendu, kdy se zdravotnické organizace stále častěji obracejí k digitálním službám, řešením a dokonce i k digitalizaci svých souborů a nabídek. Dobrým příkladem je rozmach telemedicíny a zvýšené využívání elektronických chráněných zdravotních informací. To však nejenže vytváří více příležitostí pro záškodníky, kteří mohou zachytit citlivé údaje a získat k nim přístup, ale také vyžaduje, aby se zdravotnické organizace vypořádaly s regulačními kontrolami a požadavky nových směrnic o dodržování předpisů.
Výsledek? Více útoků a způsobů zneužití
Přestože zdravotnictví v důsledku těchto změn prostředí čelí většímu riziku, investice do kybernetické bezpečnosti s ním nedrží krok. Rozpočty a přidělování zdrojů se nezměnily tak, aby odpovídajícím způsobem řešily tato nová rizika, což má za následek nedostatečnou kybernetickou odolnost. Studie zjistila, že pouze 5 % IT rozpočtu zdravotnických společností je určeno na kybernetickou bezpečnost.
Není překvapením, že zdravotnické organizace čelí útokům ve zrychlujícím se tempu. Například služba pro přenos souborů měla zranitelnost typu zero-day, která vedla k narušení 11 zdravotnických organizací, což vedlo k odhalení 3,5 milionu záznamů.
V posledních několika letech čelí zdravotnické organizace zvýšenému počtu útoků. To souvisí se skutečností, že tyto společnosti jsou zranitelnější, ale také s tím, že se útočníci stále více orientují na zdravotní organizace a zdokonalují své útočné metody.
Ransomwaru stále přibývá
Během několika málo let došlo k výraznému nárůstu ransomwaru a zdravotnické organizace zaznamenaly zvýšení napadení ransomwarem o 94 %. Tento nárůst byl podpořen pandemií a také změnou strategií ransomwaru. Snaží se více zaměřit na cíle s vysokou hodnotou a organizace, které jsou více ochotné platit (jako jsou zdravotnické organizace), a také nasazují ransomware jako součást více integrovaných útoků, dokonce se uchylují k útokům dvojího nebo trojího vyděračského ransomwaru. A konečně, vzestup ransomwaru jako služby učinil ransomwarové útoky mnohem ziskovějšími a úspěšnějšími.
V roce 2021 byla společnost Capture Rx zasažena útokem ransomwaru, který vedl k hromadné žalobě poté, co byly odhaleny téměř 2 miliony záznamů. Vyrovnání stálo společnost CaptureRx přes 4,5 milionu dolarů.
Útočníci využívají nové technologie a prostředí
Útočníci se zaměřují také na cloudová prostředí zdravotnických organizací, a na připojené zdravotnické přístroje a zařízení IoT. Průzkum zjistil, že 82 % zdravotnických organizací bylo v roce 2019 zasaženo útokem zaměřeným na IoT. Tyto útoky mohou být poměrně drahé, přičemž náklady na únik dat u zdravotnických organizací dosáhly historického maxima 10 milionů dolarů.
Zločinci vědí, že zdravotnické organizace zavedly tyto nové technologie bez většího ohledu na bezpečnost, a nevypadá to, že by ve svých útocích v dohledné době polevovali.
Nová pravidla HIPAA vyžadují pozornost
Od vypuknutí pandemie se stále více zdravotnických organizací orientuje na telemedicínu a ukládá záznamy v digitální podobě, což vyžaduje větší náklady na údržbu, aby bylo zajištěno dodržování předpisů a zabránilo se kontrole ze strany regulačních orgánů.
Poslední významná aktualizace pravidel HIPAA proběhla v roce 2013, kdy zákon HITECH Act rozšířil pravidla HIPAA a jejich vymáhání, aby bylo možné řešit nárůst nabídky digitálních zdravotních služeb, elektronických PHI, a zajistit, aby byly zdravotní informace uchovávány v bezpečí a soukromí i v zabezpečených prostředích. V letech 2020 a 2021 byly vydány menší aktualizace, jejichž cílem bylo zlepšit kybernetickou bezpečnost a usnadnit bezpečný přenos digitálních zdravotních záznamů a komunikaci.
V roce 2020 však bylo představeno oznámení o návrhu pravidel s tím, že konečné znění pravidel bude stanoveno na rok 2022.
Počátkem roku 2022 vydalo Americké Ministerstvo zdravotnictví a sociálních věcí jménem HIPAA a OCR pokyny na podporu lepšího kybernetického zabezpečení zdravotnických organizací. Zdravotnické organizace však stále čekají na zveřejnění konečného znění předpisů. Na základě oznámení o návrhu pravidel budou muset zdravotnické organizace možná aktualizovat svou strategii školení HIPAA, zlepšit přístup k ePHI a zároveň zachovat vysokou úroveň zabezpečení a mít infrastrukturu, která umožní bezpečný tok digitálních zdravotních záznamů mezi pacienty a dalšími zdravotnickými organizacemi.
Přijetí digitálních záznamů a rostoucí počet digitálních služeb a prostředí vyžadují aktualizovaný přístup k řízení rizik. Organizace by měly nejen hledat způsoby, jak zlepšit svou kybernetickou odolnost, ale měly by zvážit aktualizaci celé své strategie ochrany soukromí a dat, aby se přizpůsobily těmto novým hrozbám, rizikům a požadavkům na dodržování předpisů.
Řešení problému nedostatečné kybernetické bezpečnosti, při současném řešení stále složitějšího prostředí, je obtížné. Zdravotnickým organizacím jednoduše chybí mnoho zdrojů, rozpočet a odborné znalosti k vytvoření interního oddělení, které by se rozšiřovalo spolu s organizací. Již nyní je nedostatek kvalifikovaných pracovníků, a i když se s náborem zaměstnanců začne dnes, strategie kybernetické bezpečnosti společnosti nemusí být vytvořena dříve než za rok.
Zdravotnickým organizacím doporučujeme zvážit možnost využití Managed Detection Services neboli MDR. Jedná se o outsourcované řešení, kdy partner v oblasti kybernetické bezpečnosti slouží jako bezpečnostní operační centrum, nebo poskytuje vlastní technologie, které organizacím pomáhají odhalovat hrozby a reagovat na ně.
To vyžaduje menší investice a partner MDR se může rozšiřovat spolu s organizací. Z provozního hlediska je to jednodušší a snáze se bude obhajovat ve srovnání s plnohodnotným interním týmem kybernetické bezpečnosti. Výsledkem bude také rychlejší doba dosažení kybernetické bezpečnosti, protože mnoho partnerů MDR je schopno se rychle zapojit a integrovat do provozu organizací.