V posledních několika letech prošlo zdravotnictví, ve srovnání s jinými odvětvími, velkou proměnou. Pandemie donutila zdravotnické organizace hledat nové metody, které jsou zaměřené na digitální technologie, aby mohly sloužit svým zákazníkům, a zavádět služby digitální infrastruktury pro zachování provozu podniku. Studie společnosti KPMG zjistila, že 63 % zdravotnických organizací dosahuje pokroku v digitální agendě, zatímco v jiných odvětvích je to pouze 44 % organizací.
Tento posun vedl k nárůstu telezdravotnických služeb a k většímu přijetí partnerů SaaS, zařízení IoT a digitální infrastruktury. V důsledku tohoto posunu směrem k digitalizaci, se zdravotnická odvětví vystavila nadměrnému riziku a útokům. Z velké části proto zdravotnické organizace zaznamenaly 69% nárůst objemu kybernetických útoků, což je nejvíce ze všech ostatních odvětví.
Nyní, když se většina světa snaží získat pevnou půdu pod nohama po celosvětové pandemii COVID-19, je výzvou jak přizpůsobit svou kybernetickou bezpečnost na nově vznikající hrozby. Pro zdravotnická odvětví - to vyžaduje sladění jejich digitálních projektů s kybernetickou bezpečností, a zavedení důkladné, komplexní strategie řízení rizik a kybernetické odolnosti.
Zde jsou 4 předpovědi kybernetické bezpečnosti pro zdravotnictví v roce 2023, které by vedoucí pracovníci ve zdravotnictví měli znát.
1) Bezpečnost zařízení bude hlavní prioritou
Používání zařízení IoT a připojených zdravotnických přístrojů vždy představovalo pro zdravotnické organizace riziko, a to z důvodu nedostatečného zabezpečení samotných přístrojů a proto, že zdravotnické organizace obvykle nepřijímají nezbytná opatření k minimalizaci rizika napadení. Očekává se však, že používání zařízení IoT bude vzrůstat, a protože výrobci budou zabezpečení věnovat pozornost, odpovědnost za zabezpečení těchto zařízení a připojených sítí bude ležet na vedoucích pracovnicích bezpečnostních oddělení.
Předpokládá se také nárůst služeb vzdálené péče a telezdravotnictví. Jedná se o péči mimo pracoviště, která bude stále vyžadovat průběžné sledování a další zařízení, jež mohou bezdrátově předávat informace, a být také součástí celkové léčby pacienta. Zdravotnické organizace by neměly spadnout do stejné pasti jako zdravotnická zařízení a ignorovat potenciální bezpečnostní rizika, zejména proto, že útočník nyní může být schopen napadnout osobní síť pacienta, což pro poskytovatele zdravotní péče představuje nové právní riziko.
Vedoucí pracovníci v oblasti zabezpečení budou muset zvládnout stále složitější prostředí plné potenciálně nezabezpečených zařízení a zároveň zajistit, aby nové iniciativy v oblasti vzdálené péče a telezdravotnictví nevystavily společnost kybernetickému riziku, riziku týkajícímu se dodržování právních předpisů nebo riziku soudních sporů.
2) Pravděpodobně bude přibývat jiných útoků než útoků ransomwarem
Od vypuknutí pandemie došlo k dramatickému nárůstu útoků ransomwaru, který v případě zdravotnických organizací v roce 2021 vzrostl o 105 % a v roce 2022 o 94 % . V roce 2023 však můžeme být svědky méně výrazného nárůstu množství ransomwarových útoků, a to z několika důvodů. Dramatický pokles hodnoty kryptoměn, které jsou nejčastější formou platby za ransomwarové útoky, může vést k tomu, že útoky budou mít vzhledem k volatilitě cen kryptoměn nižší výtěžnost.
Nárůst ransomwaru je celkově dobře zdokumentován, a jak organizace napříč odvětvími, tak dodavatelé bezpečnostních nástrojů a partneři, se snaží minimalizovat riziko a účinnost těchto útoků.
Tyto faktory mohou vést k tomu, že útočníci změní své útoky z ransomwaru na jiné druhy útoků, které mohou mít vyšší úspěšnost. Může se jednat o útoky typu BEC, ransomware, phishing a útoky DDoS s výkupným, kdy útočníci odstaví servery nebo webové stránky společnosti, dokud není zaplaceno výkupné. Hackeři vědí, že zdravotnický průmysl je primárním cílem, takže může být pro tyto nové útoky hlavním cílem, což vyžaduje, aby se zdravotnické organizace při své strategii kybernetické bezpečnosti zaměřily nejen na ransomware.
3) Řízení kybernetické bezpečnosti se konečně stane prioritou
Zdravotnictví se vždy potýkalo s kybernetickou bezpečností, a to zejména kvůli nedostatku priorit, zdrojů a vedení. V posledních několika letech došlo ke zvětšení průměrné plochy pro útoky a k mnohem agresivnějším krokům ze strany útočníků, kteří zintenzivnili své útoky, zejména ransomware.
Navzdory těmto novým a rozšířeným rizikovým faktorům jen málo zdravotnických organizací změnilo svou strategii a vyčlenilo více zdrojů na kybernetickou bezpečnost a IT oddělení. To vedlo k tomu, že zdravotnictví nebylo na boj s těmito novými hrozbami dostatečně připraveno a financováno. Například výdaje nemocnic na kybernetickou bezpečnost tvoří v průměru pouze 5 % výdajů na IT.
Tato nutnost kybernetické bezpečnosti ve zdravotnictví zaujala i vládu USA. Zástupce poradce pro národní bezpečnost v oblasti kybernetiky a nových technologií (Deputy National Security Advisor for Cyber and Emerging Technology) 13. října oznámil, že se v blízké budoucnosti možná objeví nové standardy kybernetické bezpečnosti pro zdravotnictví.
V novém roce očekáváme, že vedoucí představitelé zdravotnictví konečně začnou jednat, vyčlení více zdrojů na kybernetickou bezpečnost a budou mít ve vedení organizace osobu, která bude zodpovědná za vytvoření komplexní strategie kybernetické bezpečnosti, která bude proaktivně řídit rizika, budovat odolnost a připravovat organizaci na možnosti prevence, detekce a reakce.
Nemusí se nutně jednat o novou funkci, jako je například CISO, ale může být součástí rozšířeného souboru odpovědností CIO, CRO, CTOO nebo ekvivalentní funkce v organizaci.
4) Pro optimalizaci rozpočtů budou organizace využívat spravovaných služeb
Navzdory nárůstu priorit v oblasti kybernetické bezpečnosti, řízení rizik a hrozeb, bude ekonomická nejistota a obavy z recese pravděpodobně vést k omezení rozpočtů a větší kontrole výdajů, což se pravděpodobně dotkne technologických oddělení a oddělení kybernetické bezpečnosti.
Kybernetická bezpečnost často disponuje jen minimálními zdroji, ale je tu i dobrá zpráva. Analýza a výzkum společnosti BCG ukazují, že ačkoli se mnozí IT nákupčí pravděpodobně obávají recese, očekávají zvýšení výdajů, zejména v oblasti digitálních služeb, včetně kybernetické bezpečnosti.
Ať už bude na kybernetickou bezpečnost věnováno více peněz, nebo ne, je důležité, aby se minimalizovaly náklady, aniž by se snížila kybernetická bezpečnost. Vedoucí pracovníci ve zdravotnictví označili poskytované spravované služby za mnohem atraktivnější možnost ve srovnání s budováním oddělení kybernetické bezpečnosti, které pravděpodobně přinese vysoké náklady. Již dříve jsme se také zmínili o tom, že zvýšení počtu bezpečnostních nástrojů a jejich dodavatelů v prostředí organizace nebude mít kýžený dopad, pokud nebude k dispozici oddělení kybernetické bezpečnosti, které by nástroje využilo na maximum.
V roce 2023 budou poskytovatelé MDR, XDR a MSSP pravděpodobně oblíbenými dodavateli kybernetické bezpečnosti pro zdravotnické organizace, které se snaží efektivně řídit svá rizika.
Vedoucí pracovníci ve zdravotnictví musí v roce 2023 upřednostnit komplexní strategii kybernetické bezpečnosti
To, jak zdravotnické organizace zareagují, přizpůsobí se a stanoví si priority v oblasti kybernetické bezpečnosti, rozhodne o tom, jak si povedou mezi svými konkurenty. Úniky dat jsou nákladné, rizika související s nedodržováním legislativy nelze ignorovat, a úspěšný útok může být pro zdravotnickou organizaci a její pacienty zničující, pokud neexistuje proaktivní strategie. Pro úspěch v oblasti kybernetické bezpečnosti, a pro zajištění skutečné adaptace a reakce na dnešní (a budoucí) prostředí plné hrozeb, je zapotřebí plnohodnotná strategie kybernetické bezpečnosti.
Vedení musí kybernetické riziko považovat za organizační riziko a vypracovat strategii, která bude zahrnovat plán rozvoje společnosti a celkové cíle, aby bylo možné efektivně zabezpečit organizaci při jejím růstu a rozšiřování. Musí také optimalizovat veškeré dostupné zdroje a upřednostnit zabezpečení rozšířeného povrchu útoků, a zajistit, aby veškeré nové nástroje a technologie vedli k rychlému zhodnocení.
Využívání spravovaných služeb je slibným trendem a pravděpodobně bude mít zásadní vliv na úspěch strategie kybernetické bezpečnosti zdravotnických společností. Vzhledem k prioritám a rizikům by vybudování celého oddělení kybernetické bezpečnosti trvalo příliš dlouho a pravděpodobně by vedlo k méně efektivní strategii kybernetické bezpečnosti. S nedostatkem kvalifikovaných pracovníků se stále potýká mnoho společností, takže není zaručeno ani obsazení oddělení, i když jsou v rozpočtu prostředky na další odborníky.
Využití některé ze spravovaných služeb, jako jsou MDR, XDR nebo MSSP, může pomoci snížit zátěž související s vlastním oddělením kybernetické bezpečnosti, a zároveň využít výhod nepřetržité podpory, která může být v případě útoku klíčová. Jedná se o nákladově efektivní způsob, jak mít k dispozici proaktivní bezpečnostní experty, kteří pracují na odhalování, nápravě a reakci na kybernetické bezpečnostní incidenty. Nalezení partnera pro kybernetickou bezpečnost, který upřednostňuje rychlé zapracování, může organizaci pomoci využít čas k dosažení zhodnocení mnohem efektivněji, než kdyby měla vlastní strategii.