Τα τελευταία δεκαπέντε χρόνια, έχουν αναφερθεί στο Γραφείο Πολιτικών Δικαιωμάτων των ΗΠΑ (OCR) τουλάχιστον 5.887 μεγάλες παραβιάσεις δεδομένων στον κλάδο της υγειονομικής περίθαλψης. Με τόσα πολλά ευαίσθητα προσωπικά δεδομένα να βρίσκονται μαζεμένα σε ένα μέρος, δεν είναι περίεργο που ο κλάδος της υγειονομικής περίθαλψης αποτελεί πρωταρχικό στόχο κυβερνοεπιθέσεων.

Η κατάσταση της κυβερνοασφάλειας στην υγειονομική περίθαλψη 

Σύμφωνα με την ιστοσελίδα HIPAA Journal, οι παραβιάσεις δεδομένων με στόχο τον κλάδο της υγειονομικής περίθαλψης παρουσιάζουν αυξητική τάση τα τελευταία χρόνια, με 46 εκατομμύρια αρχεία να βρίσκονται εκτεθειμένα το 2021 και σχεδόν 52 εκατομμύρια έναν χρόνο μετά. Το 2023 ωστόσο ήταν η χρονιά που «καταρρίφθηκαν όλα τα προηγούμενα ρεκόρ, φτάνοντας τον εκπληκτικό αριθμό των 133 εκατομμυρίων όσον αφορά τα αρχεία που εκτέθηκαν, εκλάπησαν ή αποκαλύφθηκαν χωρίς εξουσιοδότηση» αναφέρει η ιστοσελίδα HIPAA Journal.

Σύμφωνα επίσης με την έκθεση Verizon 2023 Data Breach Investigations Report, το 35% των παραβιάσεων δεδομένων υγειονομικής περίθαλψης προέρχεται από εσωτερικούς παράγοντες (π.χ. κακόβουλους υπαλλήλους) ενώ το υπόλοιπο 65% προέρχεται από εξωτερικούς παράγοντες. Ποια είναι τα κίνητρα των επιτιθέμενων που στοχεύουν οργανισμούς σε αυτόν τον κλάδο; Σύμφωνα με την ίδια έκθεση: χρήματα, κατασκοπεία, διασκέδαση και ιδεολογία, με αυτή τη σειρά.

Υπάρχουν όμως διάφοροι βασικοί παράγοντες που καθιστούν την υγειονομική περίθαλψη έναν κλάδο με υψηλή στοχοποίηση:

• Τεράστιες ποσότητες ευαίσθητων δεδομένων
  Με τεράστιο όγκο προσωπικών πληροφοριών για την υγεία (PHI) και άλλες μορφές δεδομένων προσωπικού χαρακτήρα (PII) στις βάσεις δεδομένων τους, οι οργανισμοί υγειονομικής περίθαλψης αποτελούν τζάκποτ πλούτου δεδομένων για τους κυβερνοεγκληματίες.
• Αργή ψηφιοποίηση
  Αυτή η χαλαρή κουλτούρα τεχνολογικής αναβάθμισης-ενημέρωσης έχει κάνει πολλές ιατρικές ομάδες να μην βιάζονται να μεταβούν στα ψηφιακά αρχεία και, κατά συνέπεια, να βρίσκονται ακόμα στο στάδιο της εκμάθησης όσον αφορά την ασφάλεια τους..
• Κίνδυνοι από τρίτους
  Η παγκόσμια αλυσίδα εφοδιασμού της υγειονομικής περίθαλψης είναι τόσο μεγάλη που το μέγεθος της αγοράς διαχείρισης της αλυσίδας εφοδιασμού υγειονομικής περίθαλψης αναμένεται να υπερδιπλασιαστεί τα επόμενα έξι χρόνια και ήδη αποτιμάται σε σχεδόν 3 δισεκατομμύρια δολάρια σε παγκόσμιο επίπεδο. Και στο παραπάνω δεν συμπεριλαμβάνεται καν η αλυσίδα εφοδιασμού λογισμικού, και με την πανταχού παρούσα ψηφιοποίηση, οι απειλές στον κυβερνοχώρο μπορούν να παραμονεύουν οπουδήποτε μεταξύ των προμηθευτών.

Επιπλέον, οι πιο συνηθισμένες κυβερνοαπειλές και ευπάθειες που οδηγούν σε παραβιάσεις δεδομένων είναι:

• Οι επιθέσεις Ransomware
• Το ηλεκτρονικό ψάρεμα (phishing) μέσω του ηλεκτρονικού ταχυδρομείου
• Ευπάθειες σε ηλεκτρονικά αρχεία υγείας
• Απειλές εκ των έσω
• Χαμένες, κλεμμένες ή ξεχασμένες συσκευές και υπολογιστές
• Απάτες ταυτότητας
• Επιθέσεις DDoS

Ρίχνοντας μία περισσότερο βαθιά ματιά σε ορισμένες εξ αυτών, οι επιθέσεις ransomware σε νοσοκομεία έχουν αλλάξει προς το χειρότερο, είναι πιο προηγμένες και «σοφιστικέ» και τείνουν ορισμένες φορές να εξελίσσονται σε ζήτημα ζωής ή θανάτου, καθώς ανάμεσα στις συσκευές που έχουν παραβιαστεί ενδέχεται να περιλαμβάνονται απινιδωτές, χειρουργική τεχνολογία και μηχανήματα υποστήριξης της ζωής. Όσον αφορά την κοινωνική μηχανική, το ηλεκτρονικό ψάρεμα (phishing) δεν είναι η μοναδική βασική αιτία παραβίασης δεδομένων υγειονομικής περίθαλψης, ωστόσο φαίνεται να βρίσκεται σε ανοδική πορεία με το 57% των επαγγελματιών κυβερνοασφάλειας στον τομέα της υγειονομικής περίθαλψης να δηλώνουν ότι το πιο σοβαρό περιστατικό ασφαλείας που αντιμετώπισαν είχε σχέση με το ηλεκτρονικό ψάρεμα (phishing).

Από τότε επίσης που τέθηκε σε ισχύ το 2014 η εντολή για τα Ηλεκτρονικούς Φακέλους Υγείας (EMR), οι ομάδες υγειονομικής περίθαλψης που δεν είχαν προηγούμενη εμπειρία στη δημιουργία ψηφιακών εγγράφων υγείας έπρεπε πλέον να μάθουν και να τα ασφαλίζουν – με ποικίλα επίπεδα επιτυχίας. Σε μία έκθεση της Critical Insight επισημαίνεται ότι οι παραβιάσεις που σχετίζονταν με τους Ηλεκτρονικούς Φακέλους Υγείας αντιπροσώπευαν το 7% του συνόλου των παραβιάσεων δεδομένων στον τομέα της υγειονομικής περίθαλψης εντός χρονικής περιόδου μόλις έξι μηνών.

Οι κυριότερες προκλήσεις για τον κλάδο   

Παρόλο που τα ποσοστά επιθέσεων μπορεί να είναι υψηλά, μπορούμε να πούμε με αυτοπεποίθηση ότι ο τομέας της υγειονομικής περίθαλψης έχει το μερίδιό του στα προβλήματα διασφάλισης των δεδομένων των ασθενών του. Οι κύριες προκλήσεις για τον κλάδο περιλαμβάνουν:

• Αύξηση του κόστους
  Rising costs associated with healthcare and tight security budgets make it nearly impossible for healthcare organizations to effectively manage the vast amount of data flowing through their systems and storage spaces.
• Πολύπλοκες τεχνολογίες
  Οι νεότερες τεχνολογίες, όπως τα smartphones, τα tablets ή ακόμη και οι ιατρικές συσκευές IoT, μπορούν να «ανατρέψουν» ανθρώπους και διαδικασίες και τα παλαιότερα συστήματα ασφαλείας στον τομέα της υγειονομικής περίθαλψης δυσκολεύονται να συμβαδίσουν. Καθώς οι οργανισμοί προχωρούν με τον ψηφιακό μετασχηματισμό τους και μεταβαίνουν στο νέφος (cloud) διαφοροποιώντας τα ψηφιακά τους τοπία, αποτελεί πρόκληση για τους ηγέτες ασφαλείας να διασφαλίσουν την ασφάλεια των ιατρικών τους συσκευών. Οι ιατρικές συσκευές, όπως οι ακτίνες Χ και οι μαγνητικοί τομογράφοι, αποτελούν επίσης ισχυρό φορέα επίθεσης για τους χάκερ.
• Πολυσύνθετα συστήματα και πανκαναλικές αλληλεπιδράσεις
  Η πολυπλοκότητα των συστημάτων για τους ηλεκτρονικούς φακέλους υγείας, η αυξημένη χρήση του νέφους (cloud), ο αυξανόμενος αριθμός εφαρμογών που σχετίζονται με την υγεία και η εργασία εξ αποστάσεως (ακόμη και οι επισκέψεις σε γιατρούς) διευρύνουν την επιφάνεια επίθεσης στην ιατρική, εισάγοντας περισσότερες ευκαιρίες για επιθέσεις σε τερματικές συσκευές.

Λύσεις στον ορίζοντα

Παρά τις προκλήσεις, υπάρχουν επίσης και λύσεις που έρχονται στο προσκήνιο. Ένα τέτοιο παράδειγμα αποτελεί η Στρατηγική Κυβερνοασφάλειας για τον κλάδο της Υγειονομικής Περίθαλψης (HHS) του Υπουργείου Υγείας και Ανθρωπίνων Υπηρεσιών των ΗΠΑ. Πρόκειται για ένα πλαίσιο που θεσπίστηκε από την ομοσπονδιακή κυβέρνηση για να βοηθήσει στην προστασία του κλάδου υγειονομικής περίθαλψης από απειλές κυβερνοασφάλειας. Στους φορείς του περιλαμβάνονται:

1. Καθιέρωση εθελοντικών στόχων ασφάλειας στον κλάδο της υγειονομικής περίθαλψης
2. Κίνητρα για την επίτευξη αυτών των στόχων ασφαλείας
3. Εφαρμογή μιας στρατηγικής στο ευρύτερο επίπεδο HHS για αυστηρότερη επιβολή και λογοδοσία
4. Επέκταση και ωρίμανση του «one-stop shop» της HHS για την ασφάλεια στον κυβερνοχώρο της υγειονομικής περίθαλψης.

Η κυβερνητική παρέμβαση και στρατηγική είναι ένα ενθαρρυντικό βήμα προς την ανάπτυξη ώριμων κανονισμών για την κυβερνοασφάλεια στην υγειονομική περίθαλψη. Παρόλα αυτά, είναι και ένα βήμα που πρέπει να συνδυαστεί με τη σωστή τεχνολογία ασφάλειας.

Βέλτιστες πρακτικές κυβερνοασφάλειας για την υγειονομική περίθαλψη και πως μπορεί να βοηθήσει η Fortra 

Κατά τη χάραξη της στρατηγικής ασφαλείας τους, είναι σημαντικό για τους οργανισμούς να δίνουν προτεραιότητα στην πρόληψη και όχι απλώς στη θεραπεία. Η πρόληψη συμβάλλει σε μεγάλο βαθμό στην προστασία των δεδομένων προσωπικού χαρακτήρα και των πληροφοριών υγείας (PHI και PII) από το να βρεθούν εκτεθειμένα σε πρώτη φάση ενώ σε δεύτερη φάση βοηθούν νοσοκομεία και ιατρικούς ομίλους να αποφύγουν να ζημιωθούν σε επίπεδο συστημάτων και φήμης.

Ακολουθούν μερικές συμβουλές για την υλοποίηση μιας προληπτικής προσέγγισης στην ασφάλεια:

• Επιλέξτε μια πολυεπίπεδη λύση ασφάλειας δεδομένων που θα σας βοηθήσει να διαβαθμίσετε τα δεδομένα, να εντοπίσετε και να αποτρέψετε διαρροές, να κρυπτογραφήσετε ευαίσθητα δεδομένα που βρίσκονται τόσο σε κατάσταση ηρεμίας όσο και κατά τη μεταφορά τους καθώς και να παράσχετε πρόληψη απώλειας δεδομένων (DLP) επόμενης γενιάς στην υγειονομική περίθαλψη.
• Παρακολουθήστε τις αλλαγές στα συστήματα ηλεκτρονικών φακέλων υγείας σας, ώστε να γνωρίζετε πότε ένα μη εξουσιοδοτημένο μέρος προσπαθεί να κάνει αλλαγές χωρίς τη συγκατάθεση του ιδιοκτήτη.
• Εκτελέστε αξιολογήσεις κινδύνου στο δίκτυο, στις τεχνολογίες, στο λογισμικό και στις εφαρμογές σας για να καλύψετε τυχόν ευπάθειες και κενά ασφαλείας. Προχωρήστε σε τακτικούς ελέγχους και σε εφαρμογή ενημερώσεων κώδικα στο λογισμικό σας για να διασφαλίσετε ότι όλα τα συστήματα σας είναι ενημερωμένα.
• Επενδύστε σε μια ισχυρή λύση διακυβέρνησης και διαχείρισης ταυτοτήτων (IGA) για να σας βοηθήσει να διαχειριστείτε σωστά την πρόσβαση σε ιατρικές συσκευές, νοσοκομειακούς χώρους και εφαρμογές.
• Επιλέξτε μια πλατφόρμα διαχείρισης ταυτότητας και πρόσβασης (IAM) που βασικά στοιχεία της αποτελούν μία λύση διαχειριζόμενης μεταφοράς αρχείων (MFT) και μία μεθοδολογία μηδενικής εμπιστοσύνης. Οι λύσεις ασφαλούς μεταφοράς αρχείων HIPAA επιτρέπουν στην ομάδα σας να εργάζεται με αυτοπεποίθηση και να επικεντρώνεται σε αυτό που έχει πραγματικά σημασία – ενώ παράλληλα έχει διασφαλισμένη την ασφάλεια των ασθενών, του οργανισμού και του κλάδου.
• Βρείτε μια αξιόπιστη λύση ασφάλειας ηλεκτρονικού ταχυδρομείου που να μπορεί να αναγνωρίσει την καλή συμπεριφορά ηλεκτρονικού ταχυδρομείου από την κακή.
• Διαχειριστείτε και παρακολουθήστε στενά τους τρίτους προμηθευτές που έχουν πρόσβαση στα συστήματα και στα δεδομένα σας.
• Διατηρείστε ένα λεπτομερές σχέδιο ανίχνευσης και αντιμετώπισης περιστατικών που μπορείτε να αξιοποιήσετε ανά πάσα στιγμή. Την ώρα που δίνετε προτεραιότητα στην πρόληψη, είναι ζωτικής σημασίας να είστε σε εγρήγορση την κρίσιμη στιγμή.
• Μοιραστείτε τις εμπειρίες σας. Συνεργαστείτε με ειδικούς σε θέματα ασφάλειας γύρω από την υγειονομική περίθαλψη και με κυβερνητικούς φορείς για να μοιραστείτε την τεχνογνωσία σας και να βρείτε καινοτόμες λύσεις για ανερχόμενες απειλές.

Και να θυμάστε, οι καλές λύσεις λογισμικού κυβερνοασφάλειας για τον κλάδο της υγειονομικής περίθαλψης προσφέρουν αποτελεσματική συμμόρφωση για να σας βοηθήσουν να συμβαδίσετε με πρότυπα όπως τα:

• HIPAA και HITECH
• PCI DSS, CCPA, GDPR, SOX
• NIST Framework
• CISA Healthcare Mitigation Guide

Πηγή: Fortra