Кибербезопасность в здравоохранении: Диагностирование рисков и поиск решений

В эпоху цифровых технологий обеспечение кибербезопасности приобретает все большее значение, поскольку организации всех секторов экономики сталкиваются с растущими угрозами со стороны киберпреступников.

Представьте, что хакеры проникли в небольшую медицинскую клинику с использованием «фишинга» — отправки мошеннического электронного письма и получения доступа к конфиденциальным данным пациентов, включая медицинские карты. А теперь представьте, что у Сары Джонсон, 35-летней учительницы и пациентки этой клиники, украли личные данные. Преступники использовали ее данные для заказа лекарств и подачи мошеннических страховых заявлений, что привело к огромному нервному напряжению Сары и заставило ее потратить бесчисленное количество часов на устранение последствий такой атаки.

Проблемы кибербезопасности в здравоохранении уникальны, поскольку данные пациентов носят конфиденциальный характер, а медицинские устройства, подключенные к сети, используются для проведения «горизонтальных» атак на другие информационные системы. Кибератаки могут серьезно повлиять на личную жизнь — вплоть до ее краха — и поставить под угрозу здоровье пациентов. Они также могут вывести из строя целые медицинские сети, а при использовании программ-вымогателей — и работу целых больниц. Именно поэтому кибербезопасность жизненно важна для медицинских организаций, чтобы обеспечить постоянную защиту благополучия и конфиденциальности пациентов.

Чтобы воспользоваться преимуществами возможностей телемедицины и более широких медицинских услуг, не ставя под угрозу благополучие пациентов, кибербезопасность должна быть главным приоритетом в здравоохранении. В данной статье раскрывается важность кибербезопасности в здравоохранении и приводится обзор ключевых концепций, рисков, передовой практики и нормативных актов. Благодаря практическим знаниям поставщики медицинских услуг смогут укрепить свою защиту от все более изощренных киберугроз.

Что такое кибербезопасность в здравоохранении?

Кибербезопасность в здравоохранении — это меры и системы, которые могут быть использованы для предотвращения киберпреступлений. Решения для обеспечения кибербезопасности в здравоохранении призваны выполнять две функции: защищать конфиденциальность и безопасность информации о пациентах, а также поддерживать целостность и доступность критически важных систем и инфраструктуры, на которые полагаются медицинские организации для оказания медицинской помощи и спасения жизней. Данные решения крайне важны как для укрепления доверия пациентов, так и для обеспечения соответствия нормам кибербезопасности в здравоохранении.

Сфера применения решений по кибербезопасности в здравоохранении широка: от базовых практик, таких как обучение персонала и регулярное обновление программного обеспечения, до более современных мер. В их число входит защита подключенных медицинских приборов и оборудования (например, аппаратов МРТ, рентгеновских систем и устройств, подключенных к «интернету вещей»), которые становятся неотъемлемой частью наших медицинских систем.

Анализ рисков сферы кибербезопасности в здравоохранении

Организации здравоохранения по определению опираются на сложные системы, состоящие из множества взаимодействующих частей. В результате возникают слабые места, которыми и могут воспользоваться киберпреступники. Некоторые из наиболее распространенных уязвимостей включают:

• Устаревшие системы: Многие медицинские учреждения используют устаревшее программное обеспечение и операционные системы. В них есть уязвимости, которые хакеры могут использовать для получения доступа.
• Незащищенные медицинские приборы: Медицинские устройства с цифровым подключением, такие как аппараты МРТ и кардиомониторы, могут быть взломаны, если не будут защищены надлежащими протоколами.
• Человеческий фактор: Сотрудники медицинских учреждений могут стать жертвами фишинговых писем или других коммуникационных атак, что позволит хакерам проникнуть в соответствующие системы и похитить данные.
• Третьи стороны: Медицинские организации передают конфиденциальные данные сторонним организациям. Если у них плохо развита система кибербезопасности, это может подвергнуть риску информацию, которую они получают от медицинских учреждений.

Такие недостатки подвергают медицинские организации широкому спектру атак, включая вредоносные программы (например, программы-вымогатели) или целенаправленные мошеннические операции (например, фишинговые атаки). Может показаться, что угрозы таятся повсюду и всегда — тревожная перспектива для медицинской отрасли. Однако существует несколько решений в области кибербезопасности, которые поставщики медицинских услуг и их сотрудники могут рассмотреть, чтобы своевременно снизить уровень подверженности киберугрозам.

Обеспечение безопасности медицинского оборудования

Медицинские устройства являются ключевым инструментом телемедицины, поэтому их бесперебойное и безопасное функционирование имеет первостепенное значение. Инфузионные насосы, аппараты искусственной вентиляции легких и медицинские мониторы — наряду с другими устройствами — уязвимы для кибератак в силу ряда факторов.

Многие устройства работают на устаревших или малоподдерживаемых компьютерных операционных системах, которые подвержены воздействию вредоносных программ и взлому. Если данные, передаваемые между данными устройствами, не зашифрованы или передаются по небезопасным сетям, у злоумышленников может появиться возможность перехватить передаваемую информацию. Кроме того, медицинские работники не всегда соблюдают адекватную парольную защиту или не устанавливают соответствующие механизмы аутентификации, что позволяет осуществлять несанкционированный доступ к устройствам и контроль над ними

К счастью, все вышеперечисленные моменты можно решить с помощью целого ряда решений:

• Внедрение надежных средств шифрования, протоколов паролей и средств контроля доступа поможет в значительной степени защитить передачу данных и безопасность медицинского оборудования.
• Регулярная и тщательная оценка рисков кибербезопасности поможет выявить уязвимости.
• Сегментирование сети, поддерживающей медицинские устройства, с целью изоляции отдельных устройств от остальной части медицинской сети, облегчает диагностику потенциальных проблем. Кроме того, организация может поместить скомпрометированные устройства в «карантин», чтобы злоумышленники не получили доступ к более широкому кругу устройств.
• Обучение персонала основным протоколам кибербезопасности позволяет защитить устройства, медицинские учреждения и пациентов.

Помимо перечисленных конкретных действий, сектор здравоохранения в целом должен работать вместе с разработчиками законодательства и новаторами в сфере бизнеса, чтобы оставаться на шаг впереди в условиях быстро изменяющегося окружающего мира. Например, государственные регулирующие органы все чаще требуют подтверждения наличия киберзащищенных систем в качестве условия для использования устройств в рамках своей юрисдикции, а также наличия плана управления и наблюдения после ввода подобных систем в эксплуатацию.

Как повысить уровень кибербезопасности в здравоохранении

Чтобы устранить перечисленные выше уязвимости, необходимо обучить персонал основам кибербезопасности, чтобы укрепить первые линии обороны. Например, обучен ли административный персонал и другие сотрудники основным угрозам кибербезопасности в здравоохранении? Даже знание разницы между программами-вымогателями и фишинговыми рассылками может оказать существенное влияние на обеспечение безопасности.

С технологической точки зрения важно рассмотреть всю сеть взаимосвязанных систем и инструментов, которые обеспечивают и поддерживают телемедицину — от интеллектуальных медицинских устройств до сетей, которые их соединяют, серверов, где хранятся конфиденциальные данные, и программного обеспечения, которое помогает всему работать без сбоев. Применяя целостный подход к сетевой безопасности, включающий в себя технологии, людей (например, их подготовку и обучение) и процессы (например, то, как безопасность внедряется в рабочие процессы), можно продолжать бороться с уязвимостями по мере увеличения количества подключенных устройств.

К счастью, медицинским учреждениям не обязательно решать проблемы кибербезопасности в полном одиночестве, так как они могут обратиться к внешним экспертам за руководством и поддержкой. Службы кибербезопасности в сфере здравоохранения предлагают индивидуальные решения для устранения уникальных проблем, с которыми сталкиваются медицинские учреждения при защите конфиденциальной информации пациентов и критически важных медицинских систем. К ним относятся:

• Оценка рисков: Мониторинг систем и сетей помогает выявить потенциальные вторжения и атаки и разработать стратегии по их снижению. Для этого могут использоваться решения Security Information and Event Management (SIEM), системы обнаружения вторжений и управляемые службы обнаружения угроз.
• Прогнозирование и ликвидация инцидентов: Проактивное тестирование, например, моделирование атак, помогает предвидеть их. В случае взлома предвидение может существенно помочь в сдерживании и нейтрализации угроз. Также важно создать культуру кибербезопасности, в которой безопасность будет внедрена на каждом эшелоне организации.
• Политика и соответствие: Организации здравоохранения должны постоянно соблюдать нормативные требования. Комплексные политики, которые соответствуют конкретным потребностям организации и в то же время учитывают международные и отраслевые требования, позволяют им уверенно соблюдать все требования.

Используя услуги по обеспечению кибербезопасности в здравоохранении, медицинские организации могут повысить уровень собственной кибербезопасности, снизить риски и обеспечить конфиденциальность и целостность данных пациентов и важнейших систем здравоохранения.

Лучшие практики кибербезопасности в здравоохранении

Почему же все медицинские организации еще этого не сделали? Суть проблемы кибербезопасности в здравоохранении заключается в том, чтобы хранить огромные объемы данных в надежном хранилище и одновременно обеспечивать бесперебойную работу с пациентами — и всё это в условиях быстро развивающейся и сложной нормативной среды.

Чтобы решить ее, медицинские организации могут использовать различные варианты для укрепления своей кибербезопасности. К ним относятся технологические решения, такие как шифрование, брандмауэры, системы обнаружения вторжений и контроля доступа, а также институциональные изменения, такие как внедрение надежных политик и программ обучения для соответствия существующим нормативным требованиям по кибербезопасности в здравоохранении.

Ведущие поставщики медицинских услуг знают, что для того, чтобы обеспечить единство всех аспектов плана кибербезопасности в здравоохранении, необходимо проанализировать стратегию ИТ-безопасности во всех операционных направлениях. Для руководства данным процессом существует множество национальных и международных стандартов. ISO/IEC 27001— это стандарт кибербезопасности информационных технологий, который закладывает основу для создания эффективной системы управления информационной безопасностью. ISO/IEC 27002 представляет собой набор средств контроля информационной безопасности и руководство по их внедрению. Вместе эти стандарты помогут организациям защитить свои самые важные системы, оставаясь при этом гибкими и быстро реагирующими в случае инцидента или утечки данных.

Важнейшим компонентом любой стратегии ISO/IEC 27001 является тщательное управление медицинскими данными и медицинскими записями пациентов. Здесь на помощь приходит стандарт ISO/IEC 27701. Он позволяет организациям защищать персональные данные с помощью надежной системы управления информацией о конфиденциальности. В дополнение к этому стандарт​​​​​​​ ISO 27799 предоставляет специализированное руководство по применению ISO/IEC 27002 именно для управления информационной безопасностью в секторе здравоохранения.

Наконец, облачные сервисы и политики хранения данных являются существенной частью любого комплексного протокола безопасности. Стандарт​​​​​​​ ISO/IEC 27017 предлагает расширенные средства контроля для поставщиков и клиентов, определяя роли и обязанности для обеспечения облачных сервисов, поддерживающих уровень безопасности, соответствующий другим компонентам экосистемы информационных технологий в здравоохранении.

Формирование культуры кибербезопасности в здравоохранении

Как и во всем, что связано со здоровьем, профилактика всегда является лучшей стратегией. Кибербезопасность в здравоохранении — это не просто инвестиции в технологии, это расширение прав и возможностей сотрудников, чтобы они всегда помнили о безопасности данных. Хотя обучение и программы повышения осведомленности, безусловно, являются ключевой частью такой работы, медицинские организации не должны недооценивать силу лидерства. Лидерство играет ключевую роль не только в поддержке кибербезопасности, но и в ее укреплении — формировании сильной культуры кибербезопасности.

Ведь кибербезопасность не должна быть чем-то второстепенным. Пациенты не должны беспокоиться о безопасности своих данных при посещении врача. Как пациенты, мы понимаем, насколько важна кибербезопасность в здравоохранении, так же должны поступать и наши медицинские работники. Мы все должны иметь возможность получать медицинскую помощь с абсолютной уверенностью, что наши данные надёжно защищены, и доверием к врачам и медицинским системам. Чтобы этого добиться, кибербезопасность должна быть вплетена в саму ткань повседневной деятельности. Благодаря совместным усилиям и проактивной коммуникации медицинские организации могут создать устойчивую культуру кибербезопасности, которая будет процветать не только в их собственных рядах, но и во всей отрасли.

• ISO/IEC 27001 Information security management systems
• ISO/IEC 27002 Information security controls
• ISO/IEC 27701 Extension to ISO/IEC 27001 and ISO/IEC 27002 for privacy information management
• ISO 27799 Information security management in health using ISO/IEC 27002

Источник: iso.org