Forsvare hospitaler mod livstruende cyberangreb

Som enhver stor virksomhed, et moderne hospital har hundredvis – ja tusinder – af arbejdere, der bruger utallige computere, smartphones og andre elektroniske enheder, der er sårbare over for sikkerhedsbrud, datatyverier og ransomware-angreb. Men hospitaler er ulig andre virksomheder på to vigtige måder. De fører lægejournaler, som er blandt de mest følsomme data om personer. Og mange hospitalselektronik hjælper med at holde patienter i live, overvågning af vitale tegn, administration af medicin, og endda trække vejret og pumpe blod for dem i de mest barske forhold.

Et databrud i 2013 ved University of Washington Medicine medicinsk gruppe kompromitterede omkring 90, 000 patienters journaler og resulterede i 750 USD, 000 i bøde fra føderale tilsynsmyndigheder. I 2015 UCLA sundhedssystemet, som omfatter en række hospitaler, afslørede, at angribere fik adgang til en del af dets netværk, der håndterede information for 4,5 millioner patienter. Cyberangreb kan afbryde medicinsk udstyr, lukke skadestuer og aflyse operationer. WannaCry-angrebet, for eksempel, forstyrrede en tredjedel af Storbritanniens National Health Service-organisationer, resulterer i aflyste aftaler og operationer. Den slags problemer er en voksende trussel i sundhedssektoren.

Beskyttelse af hospitalers computernetværk er afgørende for at bevare patientens privatliv – og endda selve livet. Alligevel viser nyere forskning, at sundhedsindustrien halter bagefter andre industrier med hensyn til at sikre sine data.

Jeg er systemforsker ved MIT Sloan School of Management, interesseret i at forstå komplekse socio-tekniske systemer såsom cybersikkerhed i sundhedsvæsenet. En tidligere elev, Jessica Kaiser, og jeg interviewede hospitalsembedsmænd med ansvar for cybersikkerhed og industrieksperter, at identificere, hvordan hospitaler håndterer cybersikkerhedsproblemer. Vi fandt ud af, at på trods af udbredt bekymring over manglende finansiering til cybersikkerhed, To overraskende faktorer afgør mere direkte, om et hospital er godt beskyttet mod et cyberangreb:antallet og det varierede udvalg af elektroniske enheder i brug, og hvordan medarbejdernes roller stemmer overens med cybersikkerhedsindsatsen.

En bred vifte af enheder

En stor udfordring i hospitalernes cybersikkerhed er det enorme antal enheder med adgang til en facilitets netværk. Som med mange virksomheder, disse omfatter mobiltelefoner, tabletter, stationære computere og servere. Men de har også et stort antal patienter og besøgende, der kommer med deres egne enheder, også – herunder netværksforbundet medicinsk udstyr til at overvåge deres helbred og kommunikere med medicinsk personale. Hvert af disse elementer er en potentiel on-rampe for at injicere malware i hospitalets netværk.

Hospitalets embedsmænd kunne bruge software til at sikre, at kun autoriserede enheder kan oprette forbindelse. Men selv da deres systemer ville forblive sårbare over for softwareopdateringer og nye enheder. En anden vigtig svaghed kommer fra medicinsk udstyr, der tilbydes som gratis prøver af enhedsproducenter, der opererer på et konkurrencepræget marked. De bliver ofte ikke testet for korrekt sikkerhed, før de er tilsluttet hospitalets netværk. En af vores interviewpersoner nævnte:"På hospitaler … er der en hel underjordisk indkøbsproces, hvor leverandører af medicinsk udstyr henvender sig til klinikere og giver dem en masse ting gratis, som til sidst kommer videre til vores etager, og så et år senere får vi en regning for det."

Når nye teknologier omgår almindelige processer for indkøb og risikovurdering, de er ikke tjekket for sårbarheder, så de introducerer endnu flere muligheder for angreb. Selvfølgelig, Hospitalsadministratorer bør afveje disse bekymringer mod de forbedringer i patientpleje, som nye systemer kan medføre. Vores forskning tyder på, at hospitaler har brug for stærkere processer og procedurer til styring af alle disse enheder.

Medarbejderindkøb

At få hospitalsadministratorer til at forstå vigtigheden af ​​cybersikkerhed er ret ligetil:De fortalte os, at de er bekymrede for omkostningerne, institutionelt omdømme og lovgivningsmæssige sanktioner. Det kan være meget vanskeligere at få medicinsk personale om bord:De sagde, at de er fokuserede på patientpleje og ikke har tid til at bekymre sig om cybersikkerhed.

Folk behandler typisk cybersikkerhedsbeskyttelse som sekundært til det, de forsøger at få gjort. En person, vi interviewede, beskrev, hvorfor nogle medarbejdere begik den kardinale cybersikkerhedssynd at dele en adgangskode:"For at bruge en ultralydsmaskine [skal du bruge en adgangskode, som] skal ændres hver 90. dag. [Personalet] vil bare bruge ultralydsmaskinen. Det indeholder ikke en masse patientdata … så de opretter et delt login, så de kan yde patientbehandling."

Behovene kan variere meget på tværs af et hospital, på måder, der kan være overraskende – såsom adgang til websteder, der sandsynligvis indeholder skadelig software. En informationschef på et forskningshospital fortalte os, "Jeg tror personligt, at hardcore pornografi ikke har noget formål på hospitalsunderstøttede enheder. Hvad gjorde jeg for fem år siden? Jeg satte internetindholdsfiltre op, der forhindrede folk i at navigere til pornografi. Inden for fem minutter, direktøren for psykiatrien ringer for at fortælle mig, at vi har en bevilling til at studere pornografi i en medicinsk sammenhæng [så vi var nødt til at ændre vores filtre]."

Disse erfaringer er grunden til, at vi konkluderede, at budgetbegrænsninger ikke er så afgørende for hospitalets cybersikkerhed som medarbejderinddragelse. Et hospital kan købe så mange stykker hardware og software, som det vil. Hvis medarbejderne ikke følger organisatoriske procedurer, teknologien vil ikke holde hospitaler sikre. Vores forskning tyder på, at cybersikkerhed handler lige så meget om at styre mennesker, som det handler om teknologi.

Overholdelse er ikke sikkerhed

Truslen er landsdækkende, og bliver ved med at blive sværere at forsvare sig imod, som en informationssikkerhedschef fortalte os:"Karten af ​​angreb er mere og mere sofistikeret. Det plejede at være min største trussel var … studerende. I dag, det er statssponsorerede angreb, terrorisme og organiseret kriminalitet. Det er flere trusler end nogensinde før af mere alvorlig karakter."

Desværre, mange hospitalsadministratorer synes at tro, at beskyttelse af data er lige så simpelt som at overholde statslige og føderale regler. Men det er minimumsstandarder, der ikke i tilstrækkelig grad adresserer truslen. Som en af ​​vores interviewpersoner sagde, "Compliance er en lav bar. Jeg garanterer, at små sundhedsorganisationer og hospitaler ikke ville gøre noget (uden regulering). De ville have et stykke papir på en hylde kaldet deres sikkerhedspolitik. Det er nødvendigt som en bagstopper for i det mindste at få virksomheder til at tænke over om det. Men at være compliant løser ikke det større risikostyringsproblem."

Vores forskning viser, at hospitaler skal tænke ud over compliance. Også, med så få hospitaler godt forsvaret mod cyberangreb, alle hospitaler fremstår mere attraktive som potentielle mål. Efter vores opfattelse det er ikke nok for hospitaler at forbedre deres eget forsvar – heller ikke for regulatorer at hæve standarderne. De skal klare sig, og evaluere sikkerheden ved, enhederne på deres netværk og sikre, at medicinsk personale forstår, hvordan god cyberhygiejne kan understøtte god patientpleje. Yderligere, politiske beslutningstagere, Sundhedsledere og hospitaler bør selv arbejde sammen for at gøre industrien som helhed mindre modtagelig for angreb, der truer folks privatliv og deres liv.

Denne artikel blev oprindeligt publiceret på The Conversation. Læs den originale artikel.