Τεχνολογία

Υγεία κυβερνοεπιθέσεις: Η ασφάλεια και οι επιθέσεις στον κυβερνοχώρο

Υγεία κυβερνοεπιθέσεις: Η ασφάλεια και οι επιθέσεις στον κυβερνοχώρο
Τα νοσοκομεία δέχονται όλο και περισσότερες επιθέσεις στον κυβερνοχώρο τα τελευταία χρόνια. Δεν είναι δύσκολο να κατανοήσουμε τη λογική ενός εισβολέα στο να στοχεύσουμε νοσοκομεία και άλλους παρόχους υγειονομικής περίθαλψης,

Your browser does not support the video tag. https://grx-obj.adman.gr/grx/creatives/sanofi/20876/better-understanding-insulin.mp4

Υγεία κυβερνοεπιθέσεις:  Η απειλή στον κυβερνοχώρο για τον μη κερδοσκοπικό τομέα της υγειονομικής περίθαλψης είναι συγκρίσιμη με παρόμοιες απειλές κατά χρηματοπιστωτικών ιδρυμάτων, υπηρεσιών κοινής ωφέλειας και των υποδομών τους, καθώς και της αμυντικής βιομηχανικής βάσης. Κανείς στην ηλικία του COVID-19 δεν μπορεί να αρνηθεί ότι η υγειονομική περίθαλψη είναι συστημικά σημαντική για την ευημερία των ανθρώπων των Ηνωμένων Πολιτειών. Πολλά νοσοκομεία και πάροχοι υγείας δεν συνειδητοποίησαν ότι το λογισμικό διαχείρισης των δωρητών τους είχε μεταναστεύσει σε υπηρεσίες / αντίγραφα ασφαλείας που βασίζονται σε cloud και ένας μεγάλος αριθμός από αυτούς δεν είχε επανεκτιμήσει ποτέ τη συνεχιζόμενη έκθεση σε κίνδυνο τρίτων ή τη χρήση των υπηρεσιών Blackbaud ως προμηθευτή.

Τα νοσοκομεία δέχονται όλο και περισσότερες επιθέσεις στον κυβερνοχώρο τα τελευταία χρόνια. Δεν είναι δύσκολο να κατανοήσουμε τη λογική ενός εισβολέα στο να στοχεύσουμε νοσοκομεία και άλλους παρόχους υγειονομικής περίθαλψης, οι οποίοι συλλέγουν απαραίτητα προσωπικά αναγνωρίσιμα στοιχεία από τους ασθενείς τους, εκτός από οικονομικές πληροφορίες ως διαμεσολαβητές μεταξύ ιατρών, πληρωτών, κυβερνητικών υπηρεσιών και άλλων παρόχων υπηρεσιών υγειονομικής περίθαλψης.


Ένα σύγχρονο νοσοκομείο περιέχει πολλά κρίσιμα συστήματα που απαιτούν πληροφοριακά και λειτουργικά συστήματα τεχνολογίας, τα οποία μπορεί να διακοπούν σκόπιμα από μια επιτυχή επίθεση στον κυβερνοχώρο. Αυτές οι δομές και οι συνθήκες κάνουν τα νοσοκομεία να προσκαλούν ιστότοπους για απόπειρες εισβολών, παραβιάσεις δεδομένων και επιθέσεις ransomware. Τα νοσοκομεία δεν ανησυχούν μόνο για την εμπιστευτικότητα – η διακοπή των υπηρεσιών από τις επιπτώσεις στη διαθεσιμότητα ή τους κινδύνους για τη φροντίδα των ασθενών που οφείλονται σε αστοχίες ακεραιότητας δεδομένων μπορεί να έχει πολύ μεγάλη επίδραση. Στις 27 Σεπτεμβρίου η επίθεση κατά των καθολικών υπηρεσιών υγείας παρέχει ένα ακόμη πιο πρόσφατο παράδειγμα. UHS, το δίκτυο του οποίου διακυβεύτηκε από αυτό που φαίνεται μια έκδοση του Ryuk ransomwareσε περίπου 250 εγκαταστάσεις UHS στις ΗΠΑ, πρέπει να υπογραμμιστεί η σημασία της βελτίωσης της απόδοσης του αμυντικού. Τα τηλεφωνικά συστήματα βγήκαν εκτός σύνδεσης, τα αρχεία εργαστηρίου και ακτινολογίας δεν ήταν διαθέσιμα και τα ασθενοφόρα και οι υπηρεσίες έκτακτης ανάγκης ανακατευθύνθηκαν δυναμικά καθώς καθορίστηκε η πλήρης έκταση της επίθεσης στον κυβερνοχώρο.

Τα νοσοκομεία που επλήγησαν επέστρεψαν επί του παρόντος στο στυλό και στο χαρτί, καθώς τα συστήματα πληροφορικής τους αξιολογούνται και αποκαθίστανται (μια εργασία που βρίσκεται ακόμη σε εξέλιξη) · Ωστόσο, ακόμη και βασικές λειτουργίες υγειονομικής περίθαλψης όπως ο προγραμματισμός φαρμάκων σε αυτά τα νοσοκομεία έχουν επηρεαστεί από αυτήν την επίθεση ransomware.

Ενώ το ransomware έχει αναμφίβολα συμβάλει στα αρνητικά αποτελέσματα για την υγεία των ασθενών, υπάρχει ξαφνική νέα συζήτηση σχετικά με το ποιες καταστάσεις και γεγονότα θα μπορούσαν να θεωρηθούν ως εγγύς αιτία βλάβης. Αναφέρθηκε μια πρόσφατη απόπειρα που αποδίδει θάνατο σε ένα τέτοιο γεγονός στη Γερμανία τον Σεπτέμβριο του 2020, μια σοβαρά άρρωστη γυναίκα που απαιτεί μεταφορά σε διαφορετικό νοσοκομείο αφού οι διακομιστές του Πανεπιστημίου του Ντίσελντορφ παγώθηκαν ως αποτέλεσμα μιας επίθεσης ransomware, καθυστερώντας τη θεραπεία έκτακτης ανάγκης. Άμεση κάλυψη υπερβολικά γνωστό σχετικά με την άμεση ενοχή.

Ανεξάρτητα από το εάν ένα τέτοιο συμβάν είναι νομικά υπεύθυνο ή όχι, υπάρχουν ενδείξεις ότι η ιατρική απόδοση υποβαθμίζεται μετά από τουλάχιστον ορισμένους τύπους επιθέσεων στον κυβερνοχώρο. Στα τέλη του 2019, δημοσιεύτηκαν ερευνητές στο Πανεπιστήμιο Vanderbilt και στο Πανεπιστήμιο της Κεντρικής Φλόριντα ένα άρθρο το οποίο διαπίστωσε ότι τα νοσοκομεία οξείας περίθαλψης που υπέστησαν παραβίαση δεδομένων είχαν μια μικρή αλλά στατιστικά σημαντική αύξηση στα ποσοστά θνησιμότητας από έμφραγμα του μυοκαρδίου των 30 ημερών τα τρία χρόνια μετά την παραβίαση.

Υποθέτουν ότι αυτή η αύξηση συνδέεται με τον μακρύτερο χρόνο από πόρτα σε ηλεκτροκαρδιογράφημα για ασθενείς με ύποπτα καρδιακά προβλήματα, κατά μέσο όρο διαφορά 2,7 λεπτών. Οι τρέχουσες ιατρικές οδηγίες προτείνουν την απόκτηση και την ερμηνεία ενός ηλεκτροκαρδιογραφήματος εντός 10 λεπτών από την άφιξη για την ελαχιστοποίηση της θνησιμότητας.

Ωστόσο, από την άποψη της ασφάλειας στον κυβερνοχώρο, το πιο ανησυχητικό μέρος αυτής της μελέτης ήταν ο σύνδεσμος που έκαναν οι συγγραφείς μεταξύ της καθυστέρησης και των ισχυρότερων μέτρων ασφαλείας που τέθηκαν σε εφαρμογή ως μέρος της διαδικασίας αποκατάστασης παραβίασης. Πιθανώς με τις καλύτερες προθέσεις, οι ενέργειες αποκατάστασης που σχετίζονται με παραβίαση δεδομένων είχαν μεταφερθεί σε αυξημένο στατιστικό κίνδυνο θνησιμότητας μεταξύ ασθενών που είχαν υποστεί οξεία καρδιακή προσβολή. Αυτό σαφώς δεν είναι αποδεκτή μορφή διαχείρισης κινδύνου για τους επαγγελματίες της ασφάλειας στον κυβερνοχώρο.

Αυτό είναι μέρος του λόγου για τον οποίο μια αποδεδειγμένη τεχνική για τη διαχείριση κινδύνων στα νοσοκομεία – η Επιτροπή Διασφάλισης Ποιότητας Νοσοκομείου ή το HQAC – πρέπει να έχει μια ισοδύναμη Επιτροπή Διασφάλισης Ποιότητας Πληροφορικής και Επιχειρησιακής Τεχνολογίας ή HIOQAC.

Ένας τέτοιος φορέας απαιτείται για να διασφαλίσει ότι η γενικά κακή κατάσταση των νοσοκομείων και άλλων παρόχων ασφάλειας πληροφοριών περιλαμβάνεται στην ευρύτερη οργανωτική διακυβέρνηση και ότι οι προσπάθειες βελτίωσης και αποκατάστασης, όπου απαιτείται, ενσωματώνονται επαρκώς με καθιερωμένα θέματα περίθαλψης και ελέγχου ποιότητας. Ακριβώς όπως η φροντίδα των ασθενών, η ασφάλεια είναι μια συνεχής διαδικασία βελτίωσης και όχι μια προσπάθεια μετασχηματισμού εφάπαξ.

Ειδικά σε τομείς που επικεντρώνονται στο ευρύτερο κοινωνικό αγαθό, όπως φιλανθρωπικά ιδρύματα, νοσοκομεία και ιδρύματα υγειονομικής περίθαλψης, μια λύση ασφάλειας στον κυβερνοχώρο δεν πρέπει να θέτει σε κίνδυνο την ουσιαστική λειτουργία αυτού του οργανισμού εις βάρος των πελατών της. Στην πραγματικότητα, πρέπει να δανειζόμαστε μια σελίδα από το βιβλίο τους, και να ακολουθούμε τον κανόνα του αρχαίου ιατρού, Ιπποκράτη: πρώτα, μην βλάπτεις.