Rok 2015 bol pre zdravotníctvo budíčkom. Bol to rok narušenia zdravotnej starostlivosti a v rámci desiatok útokov bolo napadnutých viac ako 100 miliónov záznamov. Zdravotníckym organizáciám to ukázalo, že nielenže sú ohrozené útoky, ale zákerní útočníci si tieto spoločnosti začínajú všímať a snažia sa ich zneužiť.
To malo prinútiť zdravotnícke organizácie, aby sa zaoberali rizikami kybernetickej bezpečnosti a zmysluplne investovali do vlastného zabezpečenia. Avšak sedem rokov po roku, kedy došlo k narušeniu bezpečnosti v zdravotníctve, je situácia pravdepodobne ešte horšia. V roku 2021 dosiahol počet prípadov narušenie bezpečnosti v zdravotníctve historického maxima a postihol 45 miliónov ľudí.
Zdravotnícke organizácie sú stále terčom útokov, a príliš veľa organizácií sa neprispôsobilo zmenám v oblasti rizík a kybernetickej bezpečnosti. V mnohých prípadoch je to dôsledok nedostatku zdrojov a nedostatočného pochopenia.
Ukážeme vám, ako môžu zdravotnícke spoločnosti tieto nové riziká riešiť a zlepšiť svoju kybernetickú odolnosť, tvárou v tvár rastúcemu počtu útokov.
Útočná plocha zdravotníckych organizácií sa mení
V zdravotníctve došlo k niekoľkým zmenám okolitého prostredia, ktoré viedli k zvýšeniu rizika a k väčšiemu priestoru pre útoky, ktoré je ťažké riešiť a ochraňovať. Patria medzi ne:
Používanie cloudovej infraštruktúry
Rovnako ako v prípade takmer všetkých organizácií naprieč všetkými priemyselnými odvetviami, aj zdravotnícke organizácie spolupracujú s rôznymi dodávateľmi cloudových služieb, ktorí poskytujú najrôznejšie služby a riešenia, a dokonca aj infraštruktúrne služby. Do roku 2027 by mal trh cloud computingu v zdravotníctve dosiahnuť 90,46 miliardy dolárov, čo je obrovský nárast oproti 20,9 miliardy dolárov v roku 2020. Dochádza tak k presunu umiestnenia dát organizácií z on-premisie do cloudu, čo si vyžaduje odlišné technológie, procesy a opatrenia na ich riadne zabezpečenie.
Bez zavedenia správnych bezpečnostných kontrol je riziko narušenia alebo náhodného úniku dát značné.
Internet vecí a pripojené zdravotnícke prístroje
S rozvojom lekárskych technológií zdravotnícke organizácie výrazne zvýšili svoje investície do internetu vecí (IoT) a pripojených zdravotníckych prístrojov. Tým sa však zvýšil aj počet koncových bodov a zariadení, ktoré sú pripojené k firemnému prostrediu, a pribudlo tak viac prístupových bodov, ktoré by mohol útočník zneužiť. Je tiež známe, že pripojené zdravotnícke prístroje sú zo svojej podstaty zraniteľné a rizikové, s pevne zakódovanými heslami a minimálnymi bezpečnostnými kontrolami.
Digitálna transformácia
To je súčasťou širšieho trendu, kedy sa zdravotnícke organizácie čoraz častejšie obracajú k digitálnym službám, riešeniam a dokonca aj k digitalizácii svojich súborov a ponúk. Dobrým príkladom je rozmach telemedicíny a zvýšené využívanie elektronických chránených zdravotných informácií. To však nielenže vytvára viac príležitostí pre záškodníkov, ktorí môžu zachytiť citlivé údaje a získať k nim prístup, ale tiež vyžaduje, aby sa zdravotnícke organizácie vysporiadali s regulačnými kontrolami a požiadavkami nových smerníc o dodržiavaní predpisov.
Výsledok? Viac útokov a spôsobov zneužitia
Hoci zdravotníctvo v dôsledku týchto zmien prostredia čelí väčšiemu riziku, investície do kybernetickej bezpečnosti s ním nedržia krok. Rozpočty a prideľovanie zdrojov sa nezmenili tak, aby zodpovedajúcim spôsobom riešili tieto nové riziká, čo má za následok nedostatočnú kybernetickú odolnosť. Štúdia zistila, že iba 5 % IT rozpočtu zdravotníckych spoločností je určených na kybernetickú bezpečnosť.
Nie je prekvapením, že zdravotnícke organizácie čelia útokom v zrýchľujúcom sa tempe. Napríklad služba na prenos súborov mala zraniteľnosť typu zero-day, ktorá viedla k narušeniu 11 zdravotníckych organizácií, čo viedlo k odhalenie 3,5 milióna záznamov.
Útočníci sa vyvíjajú a sú stále nebezpečnejšie
V posledných niekoľkých rokoch čelia zdravotnícke organizácie zvýšenému počtu útokov. To súvisí so skutočnosťou, že tieto spoločnosti sú zraniteľnejšie, ale aj s tým, že sa útočníci stále viac orientujú na zdravotné organizácie a zdokonaľujú svoje útočné metódy.
Ransomvéru stále pribúda
Počas niekoľkých rokov došlo k výraznému nárastu ransomvéru a zdravotnícke organizácie zaznamenali zvýšenie napadnutia ransomwarom o 94 %. Tento nárast bol podporený pandémiou a tiež zmenou stratégií ransomwaru. Snažia sa viac zamerať na ciele s vysokou hodnotou a organizácie, ktoré sú viac ochotné platiť (ako sú zdravotnícke organizácie), a tiež nasadzujú ransomware ako súčasť viacerých integrovaných útokov, dokonca sa uchyľujú k útokom dvojitého alebo trojitého vydieračského ransomvéru. A nakoniec, vzostup ransomwaru ako služby urobil ransomwarové útoky oveľa ziskovejšími a úspešnejšími.
V roku 2021 bola spoločnosť Capture Rx zasiahnutá útokom ransomwaru, ktorý viedol k hromadnej žalobe po tom, čo boli odhalené takmer 2 milióny záznamov. Vyrovnanie stálo spoločnosť CaptureRx cez 4,5 milióna dolárov.
Útočníci využívajú nové technológie a prostredie
Útočníci sa zameriavajú aj na cloudové prostredia zdravotníckych organizácií, a na pripojené zdravotnícke prístroje a zariadenia IoT. Prieskum zistil, že 82 % zdravotníckych organizácií bolo v roku 2019 zasiahnutý útokom zameraným na IoT. Tieto útoky môžu byť pomerne drahé, pričom náklady na únik dát v zdravotníckych organizáciách dosiahli historického maxima 10 miliónov dolárov.
Zločinci vedia, že zdravotnícke organizácie zaviedli tieto nové technológie bez väčšieho ohľadu na bezpečnosť, a nevyzerá to, že by vo svojich útokoch v dohľadnej dobe poľavovali.
Nové pravidlá HIPAA vyžadujú pozornosť
Od vypuknutia pandémie sa čoraz viac zdravotníckych organizácií orientuje na telemedicínu a ukladá záznamy v digitálnej podobe, čo si vyžaduje väčšie náklady na údržbu, aby sa zabezpečilo dodržiavanie predpisov a zabránilo sa kontrole zo strany regulačných orgánov.
Posledná významná aktualizácia pravidiel HIPAA prebehla v roku 2013, kedy zákon HITECH Act rozšíril pravidlá HIPAA a ich vymáhanie, aby bolo možné riešiť nárast ponuky digitálnych zdravotných služieb, elektronických PHI, a zabezpečiť, aby boli zdravotné informácie uchovávané v bezpečí a súkromí i v zabezpečených prostrediach. V rokoch 2020 a 2021 boli vydané menšie aktualizácie, ktorých cieľom bolo zlepšiť kybernetickú bezpečnosť a uľahčiť bezpečný prenos digitálnych zdravotných záznamov a komunikáciu.
V roku 2020 však bolo predstavené oznámenie o návrhu pravidiel s tým, že konečné znenie pravidiel bude stanovené na rok 2022.
Začiatkom roku 2022 vydalo Americké Ministerstvo zdravotníctva a sociálnych vecí v mene HIPAA a OCR usmernenia na podporu lepšieho kybernetického zabezpečenia zdravotníckych organizácií. Zdravotnícke organizácie však stále čakajú na zverejnenie konečného znenia predpisov. Na základe oznámenia o návrhu pravidiel budú musieť zdravotnícke organizácie možno aktualizovať svoju stratégiu školenia HIPAA, zlepšiť prístup k ePHI a zároveň zachovať vysokú úroveň zabezpečenia a mať infraštruktúru, ktorá umožní bezpečný tok digitálnych zdravotných záznamov medzi pacientmi a ďalšími zdravotníckymi organizáciami.
Prijatie digitálnych záznamov a rastúci počet digitálnych služieb a prostredia vyžadujú aktualizovaný prístup k riadeniu rizík. Organizácie by mali nielen hľadať spôsoby, ako zlepšiť svoju kybernetickú odolnosť, ale mali by zvážiť aktualizáciu celej svojej stratégie ochrany súkromia a dát, aby sa prispôsobili týmto novým hrozbám, rizikám a požiadavkám na dodržiavanie predpisov.
Zdravotnícke organizácie by mali zvážiť možnosť využitia partnera pre kybernetickú bezpečnosť
Riešenie problému nedostatočnej kybernetickej bezpečnosti, pri súčasnom riešení stále zložitejšieho prostredia, je ťažké. Zdravotníckym organizáciám jednoducho chýba mnoho zdrojov, rozpočet a odborné znalosti na vytvorenie interného oddelenia, ktoré by sa rozširovalo spolu s organizáciou. Už teraz je nedostatok kvalifikovaných pracovníkov, a aj keď sa s náborom zamestnancov začne dnes, stratégia kybernetickej bezpečnosti spoločnosti nemusí byť vytvorená skôr ako za rok.
Zdravotníckym organizáciám odporúčame zvážiť možnosť využitia Managed Detection Services alebo MDR. Ide o outsourcované riešenie, kedy partner v oblasti kybernetickej bezpečnosti slúži ako bezpečnostné operačné centrum, alebo poskytuje vlastné technológie, ktoré organizáciám pomáhajú odhaľovať hrozby a reagovať na ne.
To si vyžaduje menšie investície a partner MDR sa môže rozširovať spolu s organizáciou. Z prevádzkového hľadiska je to jednoduchšie a ľahšie sa bude obhajovať v porovnaní s plnohodnotným interným tímom kybernetickej bezpečnosti. Výsledkom bude aj rýchlejšia doba dosiahnutia kybernetickej bezpečnosti, pretože mnoho partnerov MDR je schopných sa rýchlo zapojiť a integrovať do prevádzky organizácií.