Rok 2015 byl pro zdravotnictví budíčkem. Byl to rok narušení zdravotní péče a v rámci desítek útoků bylo napadeno více než 100 milionů záznamů. Zdravotnickým organizacím to ukázalo, že nejenže jsou ohroženy útoky, ale zákeřní útočníci si těchto společností začínají všímat a snaží se je zneužít.
To mělo přimět zdravotnické organizace, aby se zabývaly riziky kybernetické bezpečnosti a smysluplně investovaly do vlastního zabezpečení. Nicméně sedm let po roce, kdy došlo k narušení bezpečnosti ve zdravotnictví, je situace pravděpodobně ještě horší. V roce 2021 dosáhl počet případů narušení bezpečnosti ve zdravotnictví historického maxima a postihl 45 milionů lidí.
Zdravotnické organizace jsou stále terčem útoků, a příliš mnoho organizací se nepřizpůsobilo změnám v oblasti rizik a kybernetické bezpečnosti. V mnoha případech je to důsledek nedostatku zdrojů a nedostatečného pochopení.
Ukážeme vám, jak mohou zdravotnické společnosti tato nová rizika řešit a zlepšit svou kybernetickou odolnost, tváří v tvář rostoucímu počtu útoků.
Útočná plocha zdravotnických organizací se mění
Ve zdravotnictví došlo k několika změnám okolního prostředí, které vedly ke zvýšení rizika a k většímu prostoru pro útoky, které je obtížné řešit a ochraňovat. Patří mezi ně:
Používání cloudové infrastruktury
Stejně jako v případě téměř všech organizací napříč všemi průmyslovými odvětvími, i zdravotnické organizace spolupracují s různými dodavateli cloudových služeb, kteří poskytují nejrůznější služby a řešení, a dokonce i infrastrukturní služby. Do roku 2027 by měl trh cloud computingu ve zdravotnictví dosáhnout 90,46 miliardy dolarů, což je obrovský nárůst oproti 20,9 miliardy dolarů v roce 2020. Dochází tak k přesunu umístění dat organizací z on-premise do cloudu, což vyžaduje odlišné technologie, procesy a opatření k jejich řádnému zabezpečení.
Bez zavedení správných bezpečnostních kontrol je riziko narušení nebo náhodného úniku dat značné.
Internet věcí a připojené zdravotnické přístroje
S rozvojem lékařských technologií zdravotnické organizace výrazně zvýšily své investice do internetu věcí (IoT) a připojených zdravotnických přístrojů. Tím se však také zvýšil počet koncových bodů a zařízení, která jsou připojena k firemnímu prostředí, a přibylo tak více přístupových bodů, které by mohl útočník zneužít. Je také známo, že připojené zdravotnické přístroje jsou ze své podstaty zranitelné a rizikové, s pevně zakódovanými hesly a minimálními bezpečnostními kontrolami.
Digitální transformace
To je součástí širšího trendu, kdy se zdravotnické organizace stále častěji obracejí k digitálním službám, řešením a dokonce i k digitalizaci svých souborů a nabídek. Dobrým příkladem je rozmach telemedicíny a zvýšené využívání elektronických chráněných zdravotních informací. To však nejenže vytváří více příležitostí pro záškodníky, kteří mohou zachytit citlivé údaje a získat k nim přístup, ale také vyžaduje, aby se zdravotnické organizace vypořádaly s regulačními kontrolami a požadavky nových směrnic o dodržování předpisů.
Výsledek? Více útoků a způsobů zneužití
Přestože zdravotnictví v důsledku těchto změn prostředí čelí většímu riziku, investice do kybernetické bezpečnosti s ním nedrží krok. Rozpočty a přidělování zdrojů se nezměnily tak, aby odpovídajícím způsobem řešily tato nová rizika, což má za následek nedostatečnou kybernetickou odolnost. Studie zjistila, že pouze 5 % IT rozpočtu zdravotnických společností je určeno na kybernetickou bezpečnost.
Není překvapením, že zdravotnické organizace čelí útokům ve zrychlujícím se tempu. Například služba pro přenos souborů měla zranitelnost typu zero-day, která vedla k narušení 11 zdravotnických organizací, což vedlo k odhalení 3,5 milionu záznamů.
Útočníci se vyvíjejí a jsou stále nebezpečnější
V posledních několika letech čelí zdravotnické organizace zvýšenému počtu útoků. To souvisí se skutečností, že tyto společnosti jsou zranitelnější, ale také s tím, že se útočníci stále více orientují na zdravotní organizace a zdokonalují své útočné metody.
Ransomwaru stále přibývá
Během několika málo let došlo k výraznému nárůstu ransomwaru a zdravotnické organizace zaznamenaly zvýšení napadení ransomwarem o 94 %. Tento nárůst byl podpořen pandemií a také změnou strategií ransomwaru. Snaží se více zaměřit na cíle s vysokou hodnotou a organizace, které jsou více ochotné platit (jako jsou zdravotnické organizace), a také nasazují ransomware jako součást více integrovaných útoků, dokonce se uchylují k útokům dvojího nebo trojího vyděračského ransomwaru. A konečně, vzestup ransomwaru jako služby učinil ransomwarové útoky mnohem ziskovějšími a úspěšnějšími.
V roce 2021 byla společnost Capture Rx zasažena útokem ransomwaru, který vedl k hromadné žalobě poté, co byly odhaleny téměř 2 miliony záznamů. Vyrovnání stálo společnost CaptureRx přes 4,5 milionu dolarů.
Útočníci využívají nové technologie a prostředí
Útočníci se zaměřují také na cloudová prostředí zdravotnických organizací, a na připojené zdravotnické přístroje a zařízení IoT. Průzkum zjistil, že 82 % zdravotnických organizací bylo v roce 2019 zasaženo útokem zaměřeným na IoT. Tyto útoky mohou být poměrně drahé, přičemž náklady na únik dat u zdravotnických organizací dosáhly historického maxima 10 milionů dolarů.
Zločinci vědí, že zdravotnické organizace zavedly tyto nové technologie bez většího ohledu na bezpečnost, a nevypadá to, že by ve svých útocích v dohledné době polevovali.
Nová pravidla HIPAA vyžadují pozornost
Od vypuknutí pandemie se stále více zdravotnických organizací orientuje na telemedicínu a ukládá záznamy v digitální podobě, což vyžaduje větší náklady na údržbu, aby bylo zajištěno dodržování předpisů a zabránilo se kontrole ze strany regulačních orgánů.
Poslední významná aktualizace pravidel HIPAA proběhla v roce 2013, kdy zákon HITECH Act rozšířil pravidla HIPAA a jejich vymáhání, aby bylo možné řešit nárůst nabídky digitálních zdravotních služeb, elektronických PHI, a zajistit, aby byly zdravotní informace uchovávány v bezpečí a soukromí i v zabezpečených prostředích. V letech 2020 a 2021 byly vydány menší aktualizace, jejichž cílem bylo zlepšit kybernetickou bezpečnost a usnadnit bezpečný přenos digitálních zdravotních záznamů a komunikaci.
V roce 2020 však bylo představeno oznámení o návrhu pravidel s tím, že konečné znění pravidel bude stanoveno na rok 2022.
Počátkem roku 2022 vydalo Americké Ministerstvo zdravotnictví a sociálních věcí jménem HIPAA a OCR pokyny na podporu lepšího kybernetického zabezpečení zdravotnických organizací. Zdravotnické organizace však stále čekají na zveřejnění konečného znění předpisů. Na základě oznámení o návrhu pravidel budou muset zdravotnické organizace možná aktualizovat svou strategii školení HIPAA, zlepšit přístup k ePHI a zároveň zachovat vysokou úroveň zabezpečení a mít infrastrukturu, která umožní bezpečný tok digitálních zdravotních záznamů mezi pacienty a dalšími zdravotnickými organizacemi.
Přijetí digitálních záznamů a rostoucí počet digitálních služeb a prostředí vyžadují aktualizovaný přístup k řízení rizik. Organizace by měly nejen hledat způsoby, jak zlepšit svou kybernetickou odolnost, ale měly by zvážit aktualizaci celé své strategie ochrany soukromí a dat, aby se přizpůsobily těmto novým hrozbám, rizikům a požadavkům na dodržování předpisů.
Zdravotnické organizace by měly zvážit možnost využití partnera pro kybernetickou bezpečnost
Řešení problému nedostatečné kybernetické bezpečnosti, při současném řešení stále složitějšího prostředí, je obtížné. Zdravotnickým organizacím jednoduše chybí mnoho zdrojů, rozpočet a odborné znalosti k vytvoření interního oddělení, které by se rozšiřovalo spolu s organizací. Již nyní je nedostatek kvalifikovaných pracovníků, a i když se s náborem zaměstnanců začne dnes, strategie kybernetické bezpečnosti společnosti nemusí být vytvořena dříve než za rok.
Zdravotnickým organizacím doporučujeme zvážit možnost využití Managed Detection Services neboli MDR. Jedná se o outsourcované řešení, kdy partner v oblasti kybernetické bezpečnosti slouží jako bezpečnostní operační centrum, nebo poskytuje vlastní technologie, které organizacím pomáhají odhalovat hrozby a reagovat na ně.
To vyžaduje menší investice a partner MDR se může rozšiřovat spolu s organizací. Z provozního hlediska je to jednodušší a snáze se bude obhajovat ve srovnání s plnohodnotným interním týmem kybernetické bezpečnosti. Výsledkem bude také rychlejší doba dosažení kybernetické bezpečnosti, protože mnoho partnerů MDR je schopno se rychle zapojit a integrovat do provozu organizací.