דלג לתוכן ראשי

Health-ISAC מכנה את RiskRecon לשגריר הגלובלי הראשון שלה

תופעת לוואי של מגיפה? יותר איומי סייבר בתחום הבריאות. הנה 4 סיבות למה

קישור לסיפור המלא הזה: https://www.mastercard.com/news/perspectives/2021/a-pandemic-side-effect-more-cyberthreats-in-health-care-here-are-4-reasons-why/

16 במרץ 2021 | מאת דורותי פומרנץ

באמצע מגיפה, הדבר האחרון שכל בית חולים רוצה לעשות הוא להפוך את החיים למסובכים עוד יותר עבור הצוות והמטופלים שלו. אבל זה בדיוק מה שקרה בצרפת בחודש שעבר, כששני בתי חולים נפרדים נפגעו בהתקפות כופר, מה שאילץ אותם לסגור את שירותי האינטרנט. אחד נאלץ לדחות את ניתוחי המטופלים ולהפנות מחדש את הטיפול בחדר המיון והשני פנה לתרשימי נייר, רישום ויומני פגישות.

התקפות מסוג זה היו בעיה הולכת וגוברת עבור תעשיית שירותי הבריאות והן גוברת בתדירותן במהלך המגיפה. בשנת 2020, היו הפרות נתונים בתחום הבריאות עלייה של 25% בארה"ב לעומת השנה הקודמת. הנה הסיבה:

1. נתונים רפואיים נמצאים בכל מקום.

במהלך העשור האחרון, התעשייה עברה דיגיטציה, כלומר יש כיום נתונים אלקטרוניים על כמעט כל היבט של בריאות - החל מלחץ הדם של אדם ועד מחקר חיסונים עולמי - ועל סוגים רבים של מכשירים מחוברים. הנתונים עוברים ממשרדי רפואה לבתי מרקחת לחולים ולחברות הביטוח. למרות שזרימת התקשורת הקלה הזו היא ברכה עבור מטופלים ורופאים, היא יוצרת נקודות תורפה פוטנציאליות שהאקרים יכולים לנצל.

"יש הרבה פערי אבטחה", אומרת בת' גריפין, שמובילה את מאמצי הסייבר והמודיעין של שירותי הבריאות עבור מאסטרקארד. "יכולים להיות פערים באופן שמירת הנתונים. ישנן נקודות תורפה באנשים שניגשים לנתונים מטלפונים ניידים. יכולים להיות פערים ביחסים עם ספקי צד שלישי".

2. התקפות כופר יכולות להיות רווחיות.

התקפות כופר, שבהן פושעי סייבר מחזיקים את ה-IT של מערכת בית חולים כבת ערובה, יכולות להביא לעצירה חריפה של הטיפול. עיכובים בשליחת וקבלת מידע יכולים להוות את ההבדל בין חיים למוות. עם בריאותם של אנשים על כף המאזניים, לארגונים יש מוטיבציה לשלם במהירות.

3. הונאות שירותי בריאות מתפתחות כל הזמן, ומזינות את הצורך במידע נוסף.

רשומות רפואיות שנפרצו, כולל אישורים גנובים וקבצים רפואיים, זמינים יותר ויותר ברשת האפלה. זה המקום שבו רשומות רפואיות יכולות להיות יקרות פי 50 מאשר פרטי כרטיס תשלום. פושעים יכולים להשתמש בו כדי להקים עסקים רפואיים מזויפים או להגיש תביעות שווא מול חברות ביטוח. שלל נתונים גנובים יכולים לכלול מידע אישי מזהה עבור מטופלים ומערכות היחסים שלהם עם ספקי שירותי הבריאות שלהם, שיכול להירתם להונאות דיוג או תוכנות כופר.

4. ארגוני בריאות עמוסים מדי אינם מוכנים להתקפות סייבר.

העולם הפיננסי הסתגל להתמודדות עם הונאה - עצירת חיוב פוטנציאלי מזויף מהר ככל שהוא בוצע. אבל תעשיית הבריאות עדיין מסתגלת לרמות חדשות של דיגיטציה. מערכות בתי החולים גם מנסות לפעול במהלך COVID-19 עם צוות עמוס מדי ומנהלים רבים שעובדים מהבית. הם עשויים להיות טרף קל להתקפת פישינג, למשל - כאשר מישהו פותח דוא"ל שנראה אותנטי ומוריד מבלי לדעת תוכנה זדונית שיכולה להדביק חברה שלמה. "המגיפה מותחת את אנשי הצוות שפחות שמים לב לפרטים", אומר גריפין.

כל נקודות המגע הדיגיטליות הללו אומרות שארגוני שירותי בריאות צריכים לפקח באופן רציף וליישם אמצעי אבטחה לאורך כל שלב כדי לאבחן חולשות אפשריות.

גרף המתייחס לאבטחה ארגונית לאבטחת בית

אחת הדאגות הגדולות ביותר היא ספקים חיצוניים שיש להם גישה לנתונים ומערכות קריטיות כדי לעזור לשמור על פעילות הארגונים שלהם. אמנם חיוני, אבל זה יוצר מה שמכונה "סיכון צד שלישי", שבו נתונים של בתי חולים או משרדים רפואיים עשויים להיחשף אם אותם ספקי שרשרת אספקה ​​יותקפו. ארגונים צריכים לחשוב כל הזמן על ההשפעה שיכולה להיות לכשל ספק על הפעילות שלהם.

להישאר לפני האיום

זו הסיבה שבתחילת המגיפה, RiskRecon, חברת מאסטרקארד, הציעה גישה חופשית לשירותיה עבור ארגוני בריאות עד סוף 2020, לעזור להם להעריך את טביעת הרגל הדיגיטלית שלהם ולזהות נקודות תורפה, וליצור מפת חום סיכון של פגיעויות פוטנציאליות. RiskRecon נבחרה לאחרונה גם כשגרירה העולמית הראשונה של ה- מרכז שיתוף וניתוח מידע בריאותי (Health-ISAC), פורום ללא מטרות רווח לחברות בריאות לשיתוף פעולה בנושא אבטחת סייבר.

כדי להתמודד עם אתגרי אבטחת הסייבר הללו - מתוכנות כופר ועד הונאה ועד שרשרות אספקה ​​מורכבות - חשוב יותר מאי פעם להישאר לפני האיום. כלים כמו RiskRecon ושיתוף מידע באמצעות Health-ISAC הם רק חלק מהדרכים שבהן ארגון יכול לשפר את עמדת האבטחה שלו.

"איומי הסייבר העומדים בפני מגזר הבריאות הם מאתגרים, וכחלק מכל תוכנית לניהול סיכונים, יש לטפל בהם באמצעות תכנון אסטרטגי והשקעה מתחשבת", אומר ארול וייס, קצין האבטחה הראשי של Health-ISAC. "זה ממש שווה ערך להוצאת אלפים עכשיו כדי למנוע משהו שאפשר למנוע או לשלם מיליונים מאוחר יותר כדי להתאושש מאסון".

תקראו לזה רפואה מונעת.

"ככל שנוכל לחלוק יותר תובנות על נוף הסייבר המשתנה, וככל שהן ניתנות לפעולה, כך כולנו נהיה מוכנים יותר להקדים את הפושעים", אומר סיימון האנט, סגן נשיא בכיר לאבטחה וחדשנות סייבר במאסטרקארד. "אולי נוכל לראות את סוף המגיפה, אבל הצורך להגן ולהגן על חולים, צוות ומערכות לעולם לא יסתיים."

  • משאבים וחדשות קשורים
Health-ISAC Hacking Healthcare 3-16-2021
Health-ISAC Hacking Healthcare 3-9-2021