DEBATT:
Det er akutt behov for cyber-robusthet i helsevesenet
Debatt: Hvordan sikrer vi at helsevesenet vårt alltid er operasjonsdyktig (pun intended) når it-kriminelle og statsstøttete aktører ønsker å skade oss? For det har skjedd minst én gang tidligere.
En av de absolutt viktigste grunnpilarene i et samfunn er helsevesenet – om det feiler, sender det sjokkbølger hele veien opp gjennom samfunnet.
Heldigvis har de fleste it-kriminelle og hackere en kodeks som forbyr dem å ramme sykehus – særlig om det er barn der. Men vi begynner å se en endring nå: Geopolitiske bølger, som krigen i Ukraina, har forrykket grensene for hva det er greit å ramme, noe som blant annet førte til et DDoS-angrep mot de danske regionene og et sykehus/det svenske helsevesenet sist vår, og at et amerikansk sykehus stengte to år etter en hendelse med løsepengevirus, noe som understreker alvoret.
Dette bekreftes av våre kollegaer i ENISAs trusselsbilde: Helsesektoren og IBMs rapport om kostnader i et databrudd fra 2023.
Her topper helsevesenet IBMs liste over kostnader ved et databrudd for det 12. året på rad, med USD 10.93 millioner i gjennomsnitt per brudd i 2023.
Løsepengevirus er den største trusselen i sektoren med 54 prosent av alle rapporterte angrep. De største trusselaktørene er cyberkriminelle som rammer mål for økonomisk gevinst ved å gå etter pasientjournaler og andre følsomme data. Dette er et brudd på GDPR – med kostnadene og bøtene som det fører med seg.
For helsesektoren er en gjennomregulert sektor. Det betyr at kostnadene ved et databrudd øker betraktelig et år etter bruddet, på grunn av at både gjenoppretting og eventuelle rettslige etterdønninger. De langsiktige kostnadene er betydelige.
Ingen å sende regningen til
Dette er spesielt bekymringsfullt, siden helsesektoren ikke vil være i stand til å velte kostnadene over på kundene, som er vanlig praksis i andre sektorer. Det betyr at institusjonene vil lide på lang sikt, og miste evnen til å investere i ny beskyttelse og til å forbedre prosessene sine.
Likevel er det mye som kan gjøres for å avhjelpe på situasjonen. ENISA fremhever at 95 prosent av organisasjonene kan overvinne utfordringer ved å gjennomføre risikoanalyser, mens 46 prosent aldri har gjort dette.
IBM påpeker at deteksjon og eskalering er spesielt dyrt, noe som gir grunn til bekymring, mangelen på skikkelige risikovurderinger tatt i betraktning. At kun 27 prosent av organisasjonene har et dedikert forsvarsprogram mot løsepengevirus, og at 40 prosent mangler programmer for sikkerhetsbevissthet for ikke-it-personell, viser at det er et presserende behov for handling.
Organisasjoner har ikke lenger råd til å ikke ha et forsvarsprogram og ikke utdanne sine medarbeidere.
Sektoren må forberede seg på framtiden
Organisasjoner har ikke lenger råd til å ikke ha et forsvarsprogram og ikke utdanne sine medarbeidere, særlig når NIS2-direktivet vil holde toppledelsen ansvarlig for sikkerheten til sin organisasjon.
Det er også et presserende behov for en omfattende sikkerhetsvurdering av angrep på forsyningskjeden som er rettet mot maskinvare og programvare. Sårbarheter i programvaren er ofte den grunnleggende årsaken til angrep. Med helsevesenets integrasjon av OT og it må ikke dette undervurderes.
Organisasjoner i sektoren sliter også ofte med å innføre nye teknologier som tilbyr automatisering, på grunn av strenge regulatoriske krav. Resultatet er at eldre it og skygge-it blir til utfordringer. Det fører til at organisasjoner sannsynligvis ikke vil kunne dra fordeler av kostnadsbesparelser gjennom automatisering, påpeker IBM-rapporten.
Tid er avgjørende for å oppdage og avhjelpe angrep. ENISA påpeker at det blir vanligere at angrep påvirker behandlingen av pasienter. Akuttmottak stenges, og kirurgiske behandlinger blir innstilt. Tidskritisk behandling blir forsinket. Pasienter kan bli overført til andre sykehus. Nyere rapporter viser også cyberhendelser hos leverandørene, som påvirker organisasjonene.
Innføring av en sikkerhetskultur for bedre beredskap Rapporter viser at organisasjoner med bedre sikkerhetskulturer oppdager, avhjelper og kommer seg raskere tilbake etter cyberangrep. De sparer penger gjennom å lære opp sine medarbeidere til å reagere riktig og raskt.
En kompetent arbeidsstyrke utstyrt med riktige verktøy og kunnskap, som er drevet av en sikkerhetstenking og en felles ansvarsforståelse er et tegn på en god sikkerhetskultur. Aktiv deltakelse er beviset og resultatet.
Vellykkete organisasjoner verdsetter trening på sikkerhetsbevissthet for å forbedre sikkerhetskulturen, og de bruker strategiske tilnærminger for å bygge opp bærekraftige programmer for å forme sin kultur.