Bitdefender
29. zář 20235 min
Rok 2015 bol pre zdravotníctvo budíčkom. Bol to rok narušenia zdravotnej starostlivosti a v rámci desiatok útokov bolo napadnutých viac ako 100 miliónov záznamov. Zdravotníckym organizáciám to ukázalo, že nielenže sú ohrozené útoky, ale zákerní útočníci si tieto spoločnosti začínajú všímať a snažia sa ich zneužiť.
To malo prinútiť zdravotnícke organizácie, aby sa zaoberali rizikami kybernetickej bezpečnosti a zmysluplne investovali do vlastného zabezpečenia. Avšak sedem rokov po roku, kedy došlo k narušeniu bezpečnosti v zdravotníctve, je situácia pravdepodobne ešte horšia. V roku 2021 dosiahol počet prípadov narušenie bezpečnosti v zdravotníctve historického maxima a postihol 45 miliónov ľudí.
Zdravotnícke organizácie sú stále terčom útokov, a príliš veľa organizácií sa neprispôsobilo zmenám v oblasti rizík a kybernetickej bezpečnosti. V mnohých prípadoch je to dôsledok nedostatku zdrojov a nedostatočného pochopenia.
Ukážeme vám, ako môžu zdravotnícke spoločnosti tieto nové riziká riešiť a zlepšiť svoju kybernetickú odolnosť, tvárou v tvár rastúcemu počtu útokov.
V zdravotníctve došlo k niekoľkým zmenám okolitého prostredia, ktoré viedli k zvýšeniu rizika a k väčšiemu priestoru pre útoky, ktoré je ťažké riešiť a ochraňovať. Patria medzi ne:
Používanie cloudovej infraštruktúry
Rovnako ako v prípade takmer všetkých organizácií naprieč všetkými priemyselnými odvetviami, aj zdravotnícke organizácie spolupracujú s rôznymi dodávateľmi cloudových služieb, ktorí poskytujú najrôznejšie služby a riešenia, a dokonca aj infraštruktúrne služby. Do roku 2027 by mal trh cloud computingu v zdravotníctve dosiahnuť 90,46 miliardy dolárov, čo je obrovský nárast oproti 20,9 miliardy dolárov v roku 2020. Dochádza tak k presunu umiestnenia dát organizácií z on-premisie do cloudu, čo si vyžaduje odlišné technológie, procesy a opatrenia na ich riadne zabezpečenie.
Bez zavedenia správnych bezpečnostných kontrol je riziko narušenia alebo náhodného úniku dát značné.
Internet vecí a pripojené zdravotnícke prístroje
S rozvojom lekárskych technológií zdravotnícke organizácie výrazne zvýšili svoje investície do internetu vecí (IoT) a pripojených zdravotníckych prístrojov. Tým sa však zvýšil aj počet koncových bodov a zariadení, ktoré sú pripojené k firemnému prostrediu, a pribudlo tak viac prístupových bodov, ktoré by mohol útočník zneužiť. Je tiež známe, že pripojené zdravotnícke prístroje sú zo svojej podstaty zraniteľné a rizikové, s pevne zakódovanými heslami a minimálnymi bezpečnostnými kontrolami.
Digitálna transformácia
To je súčasťou širšieho trendu, kedy sa zdravotnícke organizácie čoraz častejšie obracajú k digitálnym službám, riešeniam a dokonca aj k digitalizácii svojich súborov a ponúk. Dobrým príkladom je rozmach telemedicíny a zvýšené využívanie elektronických chránených zdravotných informácií. To však nielenže vytvára viac príležitostí pre záškodníkov, ktorí môžu zachytiť citlivé údaje a získať k nim prístup, ale tiež vyžaduje, aby sa zdravotnícke organizácie vysporiadali s regulačnými kontrolami a požiadavkami nových smerníc o dodržiavaní predpisov.
Výsledok? Viac útokov a spôsobov zneužitia
Hoci zdravotníctvo v dôsledku týchto zmien prostredia čelí väčšiemu riziku, investície do kybernetickej bezpečnosti s ním nedržia krok. Rozpočty a prideľovanie zdrojov sa nezmenili tak, aby zodpovedajúcim spôsobom riešili tieto nové riziká, čo má za následok nedostatočnú kybernetickú odolnosť. Štúdia zistila, že iba 5 % IT rozpočtu zdravotníckych spoločností je určených na kybernetickú bezpečnosť.
Nie je prekvapením, že zdravotnícke organizácie čelia útokom v zrýchľujúcom sa tempe. Napríklad služba na prenos súborov mala zraniteľnosť typu zero-day, ktorá viedla k narušeniu 11 zdravotníckych organizácií, čo viedlo k odhalenie 3,5 milióna záznamov.
V posledných niekoľkých rokoch čelia zdravotnícke organizácie zvýšenému počtu útokov. To súvisí so skutočnosťou, že tieto spoločnosti sú zraniteľnejšie, ale aj s tým, že sa útočníci stále viac orientujú na zdravotné organizácie a zdokonaľujú svoje útočné metódy.
Ransomvéru stále pribúda
Počas niekoľkých rokov došlo k výraznému nárastu ransomvéru a zdravotnícke organizácie zaznamenali zvýšenie napadnutia ransomwarom o 94 %. Tento nárast bol podporený pandémiou a tiež zmenou stratégií ransomwaru. Snažia sa viac zamerať na ciele s vysokou hodnotou a organizácie, ktoré sú viac ochotné platiť (ako sú zdravotnícke organizácie), a tiež nasadzujú ransomware ako súčasť viacerých integrovaných útokov, dokonca sa uchyľujú k útokom dvojitého alebo trojitého vydieračského ransomvéru. A nakoniec, vzostup ransomwaru ako služby urobil ransomwarové útoky oveľa ziskovejšími a úspešnejšími.
V roku 2021 bola spoločnosť Capture Rx zasiahnutá útokom ransomwaru, ktorý viedol k hromadnej žalobe po tom, čo boli odhalené takmer 2 milióny záznamov. Vyrovnanie stálo spoločnosť CaptureRx cez 4,5 milióna dolárov.
Útočníci využívajú nové technológie a prostredie
Útočníci sa zameriavajú aj na cloudové prostredia zdravotníckych organizácií, a na pripojené zdravotnícke prístroje a zariadenia IoT. Prieskum zistil, že 82 % zdravotníckych organizácií bolo v roku 2019 zasiahnutý útokom zameraným na IoT. Tieto útoky môžu byť pomerne drahé, pričom náklady na únik dát v zdravotníckych organizáciách dosiahli historického maxima 10 miliónov dolárov.
Zločinci vedia, že zdravotnícke organizácie zaviedli tieto nové technológie bez väčšieho ohľadu na bezpečnosť, a nevyzerá to, že by vo svojich útokoch v dohľadnej dobe poľavovali.
Nové pravidlá HIPAA vyžadujú pozornosť
Od vypuknutia pandémie sa čoraz viac zdravotníckych organizácií orientuje na telemedicínu a ukladá záznamy v digitálnej podobe, čo si vyžaduje väčšie náklady na údržbu, aby sa zabezpečilo dodržiavanie predpisov a zabránilo sa kontrole zo strany regulačných orgánov.
Posledná významná aktualizácia pravidiel HIPAA prebehla v roku 2013, kedy zákon HITECH Act rozšíril pravidlá HIPAA a ich vymáhanie, aby bolo možné riešiť nárast ponuky digitálnych zdravotných služieb, elektronických PHI, a zabezpečiť, aby boli zdravotné informácie uchovávané v bezpečí a súkromí i v zabezpečených prostrediach. V rokoch 2020 a 2021 boli vydané menšie aktualizácie, ktorých cieľom bolo zlepšiť kybernetickú bezpečnosť a uľahčiť bezpečný prenos digitálnych zdravotných záznamov a komunikáciu.
V roku 2020 však bolo predstavené oznámenie o návrhu pravidiel s tým, že konečné znenie pravidiel bude stanovené na rok 2022.
Začiatkom roku 2022 vydalo Americké Ministerstvo zdravotníctva a sociálnych vecí v mene HIPAA a OCR usmernenia na podporu lepšieho kybernetického zabezpečenia zdravotníckych organizácií. Zdravotnícke organizácie však stále čakajú na zverejnenie konečného znenia predpisov. Na základe oznámenia o návrhu pravidiel budú musieť zdravotnícke organizácie možno aktualizovať svoju stratégiu školenia HIPAA, zlepšiť prístup k ePHI a zároveň zachovať vysokú úroveň zabezpečenia a mať infraštruktúru, ktorá umožní bezpečný tok digitálnych zdravotných záznamov medzi pacientmi a ďalšími zdravotníckymi organizáciami.
Prijatie digitálnych záznamov a rastúci počet digitálnych služieb a prostredia vyžadujú aktualizovaný prístup k riadeniu rizík. Organizácie by mali nielen hľadať spôsoby, ako zlepšiť svoju kybernetickú odolnosť, ale mali by zvážiť aktualizáciu celej svojej stratégie ochrany súkromia a dát, aby sa prispôsobili týmto novým hrozbám, rizikám a požiadavkám na dodržiavanie predpisov.
Riešenie problému nedostatočnej kybernetickej bezpečnosti, pri súčasnom riešení stále zložitejšieho prostredia, je ťažké. Zdravotníckym organizáciám jednoducho chýba mnoho zdrojov, rozpočet a odborné znalosti na vytvorenie interného oddelenia, ktoré by sa rozširovalo spolu s organizáciou. Už teraz je nedostatok kvalifikovaných pracovníkov, a aj keď sa s náborom zamestnancov začne dnes, stratégia kybernetickej bezpečnosti spoločnosti nemusí byť vytvorená skôr ako za rok.
Zdravotníckym organizáciám odporúčame zvážiť možnosť využitia Managed Detection Services alebo MDR. Ide o outsourcované riešenie, kedy partner v oblasti kybernetickej bezpečnosti slúži ako bezpečnostné operačné centrum, alebo poskytuje vlastné technológie, ktoré organizáciám pomáhajú odhaľovať hrozby a reagovať na ne.
To si vyžaduje menšie investície a partner MDR sa môže rozširovať spolu s organizáciou. Z prevádzkového hľadiska je to jednoduchšie a ľahšie sa bude obhajovať v porovnaní s plnohodnotným interným tímom kybernetickej bezpečnosti. Výsledkom bude aj rýchlejšia doba dosiahnutia kybernetickej bezpečnosti, pretože mnoho partnerov MDR je schopných sa rýchlo zapojiť a integrovať do prevádzky organizácií.