Badania rynku cyberbezpieczeństwa w opiece zdrowotnej

Zupełnie inny wirus

Krótki przegląd trwającej walki o powstrzymanie fali cyberataków w sektorze opieki zdrowotnej.

healthcare-informatics.comOprócz wywrotowego hakowania w świecie biznesu, gdzie prywatne informacje mogą zostać naruszone, a poufne dane firmowe mogą zostać skradzione, środki cyberbezpieczeństwa są obecnie stosowane w celu zniwelowania skutków hakowania przez podmioty zagraniczne, używane jako broń polityczna. Jest to coraz poważniejszy problem globalny, który wymagał wdrożenia zaawansowanych metodologii cyberbezpieczeństwa w celu przeciwdziałania coraz bardziej wyrafinowanym możliwościom hakerów w zakresie podważania tych właśnie systemów.

„W ostatnich latach cyberbezpieczeństwo stało się coraz większym problemem w opiece zdrowotnej, a głośne cyberataki i luki w zabezpieczeniach powodują zakłócenia dla ubezpieczycieli, szpitali i producentów urządzeń medycznych. Stawka dla pacjentów jest również wysoka, ponieważ dane pacjentów mogą zostać utracone lub zmienione, usługi szpitalne przerwane lub pacjenci mogą zostać skrzywdzeni przez ataki na określone urządzenia…” 1

Interwencja Rządu w Walki z Cyberprzestępczością

Szybka digitalizacja branży opieki zdrowotnej sprawia, że sektor ten jest szczególnie podatny na cyberataki, a ten fakt nie umknął uwadze Kongresu USA. Komisja ds. Energii i Handlu Izby Reprezentantów niedawno zebrała się, aby zająć się cyberbezpieczeństwem w sektorze opieki zdrowotnej. Centra wymiany informacji i analiz (ISACS) mogą być kluczowe w zapewnianiu zwiększonego bezpieczeństwa dostawcom usług opieki zdrowotnej i udaremnianiu wysiłków potencjalnych cyberataków.

Dzięki interaktywnym wysiłkom 24 organizacji wchodzących w skład National Council of ISACs (NCI) podejmowane są ogromne wysiłki, aby „zmaksymalizować przepływ informacji w ramach infrastruktury krytycznej sektora prywatnego i z rządem. Sektory i podsektory infrastruktury krytycznej, które nie mają ISAC, są zapraszane do kontaktu z NCI, aby dowiedzieć się, jak mogą uczestniczyć w działaniach NCI”.2

Oczywiście jest to herkulesowe przedsięwzięcie, aby wzmocnić partnerstwo między podmiotami publicznymi i prywatnymi w opiece zdrowotnej w odniesieniu do cyberbezpieczeństwa, biorąc pod uwagę niezliczone branże i agencje rządowe, które odpowiadają za regulację i dostarczanie wspomnianej opieki zdrowotnej. Kongres został zachęcony do zapewnienia ulg podatkowych i innych zachęt, aby zachęcić firmy do zaangażowania się w trwające wysiłki ISAC.

Słabe uczestnictwo utrudnia wdrażanie cyberbezpieczeństwa

Niestety, niskie wskaźniki uczestnictwa wśród placówek opieki zdrowotnej są uporczywym problemem w trwających wysiłkach na rzecz wdrożenia skutecznych środków cyberbezpieczeństwa w całym sektorze. Według Terry’ego Rice’a, wiceprezesa ds. zarządzania ryzykiem IT i dyrektora ds. bezpieczeństwa informacji w Merck, „firmy mogą wahać się przed udostępnianiem informacji w ramach ISAC, jeśli obawiają się, że informacje te nie pozostaną poufne dla jej członków”.3

„Myślę, że najbardziej szokującą statystyką był fakt, że 40% osób na szczycie organizacji – dyrektorzy, tacy jak CEO i CIO, a nawet członkowie zarządu – nie czuli się osobiście odpowiedzialni za cyberbezpieczeństwo ani ochronę danych klientów”. Dave Damato, dyrektor ds. bezpieczeństwa w Tanium, na Skrzynka Squawk Box stacji CNBC, mówiąc o cyberbezpieczeństwie w branży opieki zdrowotnej 13

Wysokie koszty cyberprzestępczości w opiece zdrowotnej

Oprócz oczywistego zagrożenia związanego z naruszeniem danych pacjentów i innymi przypadkami kradzieży danych, awarie cyberbezpieczeństwa są niezwykle kosztowne, rzędu $6,2 miliarda rocznie, zgodnie z projektem badawczym przeprowadzonym w 2016 r. przez Poneman Institute. Spostrzeżenia ujawnione w ich badaniach wykazały, że „prawie 90 procent organizacji opieki zdrowotnej… doświadczyło naruszenia danych w ciągu poprzednich dwóch lat. Czterdzieści pięć procent miało więcej niż pięć naruszeń danych w tym okresie, a średni koszt cyberataku wyniósł łącznie $2,2 miliona. Dane zawarte w elektronicznej dokumentacji medycznej (EHR) są często cytowane jako powód, dla którego opieka zdrowotna jest tak atrakcyjnym celem w oczach hakerów”.4

Choć ludzie lubią wierzyć, że ich informacje medyczne są w posiadaniu gabinetu lekarskiego lub szpitala, często tak nie jest. Trwająca digitalizacja dokumentacji medycznej jest kosztownym przedsięwzięciem dla branży opieki zdrowotnej. Zabezpieczenie wszystkich tych informacji to kolejny monumentalny wydatek, a czasami ta część równania cyberbezpieczeństwa jest zaniedbywana w interesie oszczędności kosztów lub po prostu ze względu na skalę całego przedsięwzięcia.

Lukratywny charakter cyberkradzieży w opiece zdrowotnej

Oczywiście, dokumentacja medyczna jest gorącym towarem na czarnym rynku i może przynieść ogromne zyski stronom starającym się uzyskać dane osobowe, adresy rozliczeniowe i numery kart kredytowych. Hakerstwo może być bardzo dochodowym przedsięwzięciem. Rozważmy ten przykład. „Hakerzy ukradli ponad 2,2 miliona dokumentacji medycznej z 21st Century Oncology z siedzibą w Fort Myers na Florydzie w marcu 2016 r. Miesiąc później ktoś ukradł laptopa z 205 748 niezabezpieczonymi dokumentami medycznymi z Premier Healthcare, LLC”. 5

Pojawienie się oprogramowania typu ransomware

Ransomware to nowe pojęcie dla większości ludzi, którzy zapoznali się z ostatnimi atakami WannaCry na całym świecie, paraliżującymi krytyczne systemy infrastrukturalne i wymuszającymi znaczne okupy finansowe od tych, którzy padli ofiarą lęku i potencjalnej utraty danych charakterystycznych dla takich ataków. Branża opieki zdrowotnej jest szczególnie podatna na ataki ransomware.

„Szpitale są idealnym celem dla tego rodzaju wymuszeń, ponieważ zapewniają krytyczną opiekę i polegają na aktualnych informacjach z dokumentacji pacjentów. Bez szybkiego dostępu do historii leków, dyrektyw chirurgicznych i innych informacji, opieka nad pacjentem może zostać opóźniona lub wstrzymana, co sprawia, że szpitale są bardziej skłonne zapłacić okup niż ryzykować opóźnienia, które mogą skutkować śmiercią i pozwami sądowymi”. 6

Oprogramowanie ransomware blokuje komputer i uniemożliwia dostęp do danych, chyba że sprawcy zostanie zapłacony okup. Zazwyczaj płatność ta jest dokonywana w formie bitcoinów. W większości przypadków ustalany jest limit czasowy na zapłacenie okupu, w przeciwnym razie dane komputera zostaną zniszczone. Chociaż większość poszkodowanych stron nie płaci okupu, robi to wystarczająco dużo osób, aby uczynić z tego szczególnie dochodowe przedsięwzięcie przestępcze.

Branża opieki zdrowotnej jest podatna na ataki ransomware, ponieważ, co zaskakujące, wiele szpitali podjęło niewystarczające kroki, aby zapobiec naruszeniom cyberbezpieczeństwa. Zamiast tego większość szpitali skupiła swoją główną troskę na przestrzeganiu przepisów HIPAA i federalnych wytycznych, aby zapewnić bezpieczeństwo informacji o pacjentach. Ostatecznie większość pracowników w służbie zdrowia po prostu nie jest wystarczająco dobrze przeszkolona, aby rozpoznawać i zapobiegać cyberatakom, zanim do nich dojdzie. Nawet gdy wdrożono odpowiednie szkolenia i środki cyberbezpieczeństwa, przechytrzenie sprawców, którzy stale wyprzedzają grę, stanowi ciągłe wyzwanie.

Urządzenia IoT również są zagrożone

Aby dodać powagi obecnej sytuacji, cyberataki mogą dotyczyć nie tylko komputerów, ale również urządzeń do nich podłączonych. Narzędzia medyczne, monitory pracy serca i glukozy to tylko kilka przykładów urządzeń podatnych na cyberataki. Wiceprezydent Dick Cheney słynnie zażądał, aby jego rozrusznik serca był zabezpieczony przed cyberatakami, aby osoby o złych zamiarach nie manipulowały zdalnie funkcją jego urządzenia. Szczerze mówiąc, ingerencja w takie urządzenia może być śmiertelna dla pacjentów, którzy są od nich zależni, aby żyć.

Jako przykład hakowania medycznego: „W jednym z obecnie stosowanych exploitów, znanym jako MedJack, atakujący wstrzykują złośliwe oprogramowanie do urządzeń medycznych, aby następnie rozprzestrzenić je w sieci. Dane medyczne odkryte w tego typu atakach mogą być wykorzystane do oszustw podatkowych lub kradzieży tożsamości, a nawet do śledzenia aktywnych recept na leki, umożliwiając hakerom zamawianie leków online, a następnie sprzedawanie ich w dark webie”. 7

„O ile mi wiadomo, żaden pacjent nie zginął z powodu zhakowanego rozrusznika serca, ale pacjenci ginęli z powodu awarii swoich urządzeń medycznych, błędów konfiguracji i błędów oprogramowania. Oznacza to, że badania nad bezpieczeństwem w formie wyprzedzającego hakowania, a następnie skoordynowanego ujawniania luk w zabezpieczeniach i poprawek dostawców, mogą pomóc ratować ludzkie życie.” Marie Moe, badaczka ds. bezpieczeństwa w SINTEF, w „No dalej, hakerzy. Złamcie mi serce” (Przewodowy)13

FCC zasugerowała teraz, aby dostawcy urządzeń medycznych IoT wbudowali środki bezpieczeństwa w produkty, które produkują; kluczowe słowo jest sugerowane. W rzeczywistości wdrażanie obowiązkowych praktyk i wymagań bezpieczeństwa dla tych producentów jest czasochłonnym wysiłkiem. Ponadto sieci przypisane do przekazywania danych między urządzeniami i bazami danych również mają krytyczną potrzebę wdrożenia i monitorowania cyberbezpieczeństwa.

Nowy prezydent, nowy porządek

Wiele spekulowano na temat tego, jak administracja Trumpa zajmie się kwestiami cyberbezpieczeństwa. 11 maja 2017 r. prezydent podpisał rozporządzenie wykonawcze, które nakazywało przegląd ogólnych zdolności kraju do zwalczania przestępczej cyberaktywności. Rozporządzenie nakłada ciężar odpowiedzialności za cyberbezpieczeństwo na agencje federalne, które miały przeprowadzać oceny ryzyka i składać odpowiednie raporty w ciągu 90 dni. Dodatkowe raporty badające zagrożenia dla infrastruktury krytycznej miały zostać złożone sześć miesięcy po wydaniu rozporządzenia prezydenta.

„Rozporządzenie wzywa do przeglądu zagrożenia, jakie stwarzają botnety, których celem są strony internetowe z automatycznie generowanym ruchem spamowym. Botnet Mirai był odpowiedzialny za znaczące przerwy w działaniu Internetu w zeszłym roku. Ale Access Now twierdzi, że zarządzenie powinno również dotyczyć procesu ujawniania luk w zabezpieczeniach przez rząd i jego reakcji na naruszenia danych”.

Oceny ryzyka

Plany odzyskiwania po awarii i plany awaryjne

Dedykowane zespoły Sec-Op

Kontrola partnera biznesowego/dostawcy

Lepsze szkolenie pracowników

Obrona warstwowa

Poprawiona higiena technologiczna

Partnerstwa w zakresie cyberbezpieczeństwa

Lepsze oprogramowanie

Konsultanci kryminalistyczni

Nie ma ogólnego środka zapobiegawczego ani środka, który mógłby wyeliminować ryzyko cyberataków. Zamiast tego szpitale, kliniki i prywatne praktyki mogą jedynie mieć nadzieję na współpracę i zarządzanie ciągłymi ryzykami w interesie ochrony prywatnych informacji i ogólnego bezpieczeństwa swoich pacjentów. Jednocześnie, mamy nadzieję, że ciągły postęp technologiczny zajmie się podatnością urządzeń medycznych i sieci komputerowych.

Te wysiłki mające na celu ograniczenie potencjalnie katastrofalnych skutków cyberprzestępczości w sektorze zdrowia i poza nim wykraczają daleko poza Stany Zjednoczone. Obecnie podejmowane są globalne wysiłki mające na celu powstrzymanie fali cyberataków na całym świecie lub przynajmniej zminimalizowanie wpływu tego, co wydaje się być niekończącym się wysiłkiem cyberprzestępców, aby infiltrować systemy opieki zdrowotnej i siać spustoszenie i wymuszać, gdziekolwiek to możliwe, w jakimkolwiek nikczemnym celu.

Polityczne motywy ataków cybernetycznych

Biorąc pod uwagę wrogi klimat polityczny panujący między Koreą Północną a praktycznie każdym innym państwem cywilizowanego świata, nie dziwi fakt, że państwo to wymieniane jest jako prawdopodobny sprawca niedawnych ataków ransomware WannaCry i innych niecnych działań podjętych z pobudek politycznych i w celu wymuszenia pieniędzy.

„Badacze zajmujący się cyberbezpieczeństwem znaleźli techniczne wskazówki, które ich zdaniem mogą łączyć Koreę Północną z globalnym cyberatakiem „ransomware” WannaCry, który… zainfekowano ponad 300 000 maszyn w 150 krajach. Symantec i Kaspersky Lab twierdzą, że… pewien kod we wcześniejszej wersji oprogramowanie WannaCry pojawił się również w programach używanych przez Grupę Lazarus, którą badacze z wielu firm zidentyfikowali jako operację hakerską prowadzoną przez Koreę Północną”. 10

Nie wszyscy eksperci wierzą, że atak ransomware WannaCry był motywowany względami finansowymi. Niektórzy, jak Matthew Hickey z brytyjskiej firmy konsultingowej Hacker House, uważają, że sprawcy chcieli po prostu „spowodować jak największe szkody”. Tak było z pewnością w krajach, które zostały najbardziej dotknięte atakiem, w tym w Indiach, Tajwanie, Ukrainie i Rosji.

Niektórzy, jak rosyjski przywódca Władimir Putin, obwinili NSA za to, co, jak twierdził, było ich rolą w atakach ransomware WannaCry. Uważa się, że technologia WannaCry „opiera się na wyciekłym narzędziu wykorzystującym lukę w zabezpieczeniach systemu Windows, która najwyraźniej pochodzi od NSA. „Jesteśmy w pełni świadomi, że dżiny, w szczególności te stworzone przez tajne służby, mogą zaszkodzić swoim autorom i twórcom, jeśli zostaną wypuszczone z butelki” — powiedział Putin w Pekinie, według rosyjskiej państwowej agencji informacyjnej TASS.” 11

„Ten następny prezydent odziedziczy najbardziej wyrafinowane i uporczywe kultury cybernetycznego szpiegostwa, jakie świat kiedykolwiek widział. Musi otoczyć się ekspertami, którzy mogą przyspieszyć alokację potężnych warstw obron nowej generacji wokół naszych docelowych silosów infrastruktury krytycznej”. James Scott, starszy pracownik naukowy, Institute for Critical Infrastructure Technology 14

Trendy w walce z cyberatakami w sektorze ochrony zdrowia

Oczywiste jest, że zagrożenie naruszeniami cyberbezpieczeństwa we wszystkich sektorach biznesu i przemysłu nie zmniejszy się. W opiece zdrowotnej będzie trwała i nieustanna potrzeba ulepszania technologii i ogólnej czujności, aby uniknąć katastrofalnych incydentów w przyszłości. Pojawiają się pewne trendy ochronne, które można postrzegać jako przyszłość odstraszania cyberprzestępczości w opiece zdrowotnej.

Na szczycie listy znajduje się rosnąca migracja do narzędzi bezpieczeństwa informacji opartych na chmurze. Ten ruch „umożliwi bardziej dynamiczną aktualizację narzędzi w celu rozwiązania problemu złośliwego oprogramowania typu zero-day. Ten ruch do chmury powinien ostatecznie sprawić, że udostępnienie tych narzędzi wszystkim dostawcom usług opieki zdrowotnej – dużym i małym – stanie się bardziej ekonomiczne”. 12

Ponadto branża opieki zdrowotnej będzie zmuszona do zachęcania do zwiększonego udostępniania informacji i współpracy w sieciach opieki zdrowotnej i między placówkami. Ten wzajemny wysiłek w zakresie cyberbezpieczeństwa będzie trudny do zainicjowania, ponieważ instytucje opieki zdrowotnej są często dość odizolowane z natury. Przewiduje się, że to udostępnianie informacji wykroczy poza opiekę zdrowotną i obejmie wiele sektorów biznesu i wysiłków instytucjonalnych w celu zminimalizowania ryzyka dla wszystkich zaangażowanych.

Ostatecznie wysiłki mające na celu zniwelowanie zagrożeń związanych z naruszeniami bezpieczeństwa cybernetycznego, ransomware i nowymi i pojawiającymi się zagrożeniami w tej dziedzinie sprowadzą się do edukacji i świadomości na wszystkich szczeblach pracowników w opiece zdrowotnej i poza nią. Kiedy wszyscy będą dobrze wykształceni i będą dostrzegać ostrzegawcze sygnały cyberzagrożeń oraz to, co mogą zrobić, aby być częścią nadrzędnego wysiłku na rzecz powstrzymania fali cyberataków, branża opieki zdrowotnej i wszyscy obrońcy cywilizowanego udostępniania informacji na całym świecie będą nadal podejmować znaczące kroki w kierunku ograniczenia szkodliwych skutków cyberprzestępczości we wszystkich sektorach.

Możemy pomóc w Twoich działaniach na rzecz cyberbezpieczeństwa

SIS International Research spędziło dziesięciolecia na interakcji z branżą opieki zdrowotnej na wielu poziomach, od niezależnych praktyk rodzinnych po wielopoziomowe i monolityczne sieci opieki zdrowotnej. Nasze wyjątkowe zrozumienie wyzwań, przed którymi stoją firmy i instytucje w sektorze opieki zdrowotnej, jest niezrównane. Dostarczamy badania i informacje na temat interesariuszy[/fusion_text][fusion_text]

Nasze rozwiązania obejmują:

Dzisiaj, z dodatkową złożonością zagrożenia narzuconego przez rosnącą cyberprzestępczość skierowaną przeciwko naszym najbardziej szanowanym instytucjom opieki zdrowotnej i pacjentom, którym służą, traktujemy naszą rolę z najwyższym stopniem powagi. Jako firma, która szczyci się zrozumieniem znaczenia i wieloaspektowej natury branży opieki zdrowotnej, będziemy nadal służyć praktykom, placówkom i organizacjom związanym ze zdrowiem, oferując te same wysokiej jakości i kompleksowe możliwości badawcze, których nasi klienci oczekują i wymagają. W ten sposób mamy nadzieję, że pomożemy społeczności medycznej zrozumieć i zwalczać bardzo realne i poważne zagrożenie ataków cybernetycznych w sektorze opieki zdrowotnej.

Do opracowania niniejszego opracowania wykorzystano następujące źródła:

• http://www.raps.org/Regulatory-Focus/News/2017/04/04/27267/Cybersecurity-House-Committee-Looks-to-Build-on-Public-Private-Partnerships/#sthash.x4Xvdf6q.dpuf

• https://www.nationalisacs.org/

• http://www.raps.org/Regulatory-Focus/News/2017/04/04/27267/Cybersecurity-House-Committee-Looks-to-Build-on-Public-Private-Partnerships/#sthash.x4Xvdf6q.dpuf

• https://learningnetwork.cisco.com/blogs/talking-tech-with-cisco/2017/03/21/cybersecurity-and-healthcare-a-forecast-for-2017

• https://learningnetwork.cisco.com/blogs/talking-tech-with-cisco/2017/03/21/cybersecurity-and-healthcare-a-forecast-for-2017

• https://www.wired.com/2016/03/ransomware-why-hospitals-are-the-perfect-targets/

• https://www.wired.com/2017/03/medical-devices-next-security-nightmare/

• https://techcrunch.com/2017/05/11/trump-signs-long-delayed-executive-order-on-cybersecurity/

• http://www.healthcareitnews.com/news/top-10-cybersecurity-must-haves-2017

• http://www.dingit.tv/highlight/1441974?utm_source=Embedded&utm_medium=Embedded&utm_campaign=Embedded

• www.healthcareitnews.com/blog/3-trends-shaping-future-cybersecurity

• https://www.forbes.com/sites/danmunro/2016/12/18/top-ten-healthcare-quotes-for-2016/#5f47fb6b127f

• http://www.goodreads.com/quotes/tag/cyber-security