Tietoverkkoturvallisuustietoisuus on kriittinen liiketoimintakysymys jokaiselle organisaatiolle. Se on kuitenkin yksinkertaisesti välttämätöntä terveydenhuoltoalalla, jossa tiedot ovat erityisen arkaluonteisia.
Luottamuksellisten tietojen suuri määrä yhdistettynä usein haavoittuviin turvajärjestelmiin ja laajaan verkostoon kytkettyjä lääkinnällisiä laitteita tekevät terveydenhuoltoalasta ensisijaisen kohteen tietoverkkorikollisille.
Terveydenhuoltoala on yksi altteimmista toimialoista, jota vaivaavat lukuisat kyberturvallisuuteen liittyvät ongelmat, kuten tietoturvaloukkaukset, organisaatiomurrot ja sisäisistä ja ulkoisista lähteistä peräisin olevat tietovarkaudet.
Terveydenhuollon kyberturvallisuus kriittisessä tilassa
Viime vuonna tietomurrot ja lunnasohjelmahyökkäykset maksoivat terveydenhuollon tarjoajille arviolta 4 miljardia dollaria. Itse asiassa 67 prosenttia terveydenhuollon organisaatio ista on kokenut tietoturvaloukkauksen viimeisten 12 kuukauden aikana.
Ehkä pahamaineisin tapaus sattui vuonna 2017, kun tuhoisa maailmanlaajuinen verkkohyökkäys lamautti sairaaloiden tietokoneet eri puolilla Yhdistynyttä kuningaskuntaa. WannaCry-verkkohyökkäyksen vaikutukset olivat huomattavat, sillä se häiritsi palveluja kolmasosassa sairaaloita ja noin 8 prosentissa yleislääkärin vastaanotoista. Terveydenhuolto- ja sosiaalihuoltoministeriön mukaan vahinkoa kärsineiden järjestelmien palauttamisen kokonaiskustannukset olivat arviolta 92 miljoonaa puntaa.
Viime aikoina terveydenhuollon tarjoajat ja lääketieteelliset tutkimusorganisaatiot ovat kokeneet Covid-19-kriisiin liittyvien phishing-hyökkäysten lisääntymisen. Brnon yliopistollinen sairaala Tšekissä, joka on yksi maan Covid-19-testauskeskuksista, joutui lunnasohjelman uhreiksi, minkä vuoksi kaikkia leikkauksia lykättiin.
Koronavirukseen liittyvien phishing-hyökkäysten lisääntyessä maailmanlaajuisesti myös Yhdysvaltain terveysministeriö (HHS) joutui DDoS-hyökkäyksen (Distributed Denial of Service) kohteeksi, jonka tarkoituksena oli häiritä organisaation toimintaa Covid-19-pandemiaa vastaan.
Yhdistyneen kuningaskunnan kansallinen kyberturvallisuuskeskus (NCSC) ja Yhdysvaltain kyberturvallisuus- ja infrastruktuuriturvallisuusvirasto (CISA) ovat raportoineet useista hyökkäyksistä lääketieteellisiä elimiä vastaan, erityisesti niitä vastaan, jotka ovat osallistuneet pandemian torjuntaan.
Terveydenhuoltoalan kyberturvallisuusongelmat
On selvää, että hakkerit jatkavat terveydenhuoltoalaan kohdistuvia verkkohyökkäyksiä niin kauan kuin niistä on hyötyä, olipa kyse sitten varastettujen potilastietojen myynnistä tai terveydenhuoltojärjestelmien pitämisestä panttivankeina, kunnes rikollisten vaatimukset täyttyvät.
Terveydenhuoltoala on kokenut viime vuosina merkittävän muutoksen, kun uusia teknologioita on mukautettu tietojen integroinnin, potilaiden sitoutumisen ja kliinisen tuen helpottamiseksi.
Siirtyminen perinteisistä paperipohjaisista menetelmistä tuo mukanaan runsaasti mahdollisuuksia verkkorikollisille, kuten haittaohjelmia, jotka vaarantavat potilastietojen yksityisyyden, ja DDoS-hyökkäyksiä (Distributed Denial of Service), jotka häiritsevät potilaan hoitoa.
Organisaatiot ovat kuitenkin usein liian keskittyneitä puolustautumaan ulkoisilta uhkilta puuttumatta hyvin todellisiin ja vaarallisiin riskeihin, jotka voivat olla niiden omissa riveissä.
Sisäpiirin uhka
Terveydenhuollon työntekijöillä on käytettävissään runsaasti erittäin luottamuksellisia ja suojattuja terveystietoja, ja heillä on pääsy suuriin potilastietomääriin, joiden on oltava henkilöstön saatavilla sekä paikan päällä että etänä ja useilla laitteilla.
On laajalti tunnustettu, että verkkorikolliset kohdistavat hyökkäyksensä organisaation heikoimpaan kohtaan, ja aivan liian usein se tarkoittaa työntekijöitä. Yhdistyneen kuningaskunnan tietosuojavaltuutetun toimisto (ICO) paljasti viime vuonna, että inhimilliset virheet ovat syynä 90 prosenttiin tietomurroista.
Terveydenhuollon työntekijät ovat viime kädessä tietojen vartijoita, ja kyberuhat ovat nyt merkittävä kansanterveysongelma.
Riskien vähentämiseksi turvallisuustietoisuudesta on tultava olennainen osa terveydenhuoltoalan yleistä turvallisuusstrategiaa mahdollisten verkkohyökkäysten estämiseksi.
Ennaltaehkäisy yli reseptin
Koska verkkohyökkäykset ovat kehittyneempiä ja kohdennetumpia kuin koskaan aiemmin, tietoisuus verkkoturvallisuudesta terveydenhuoltoalalla on tehokkain ase näitä jatkuvasti kehittyviä uhkia ja tekniikoita vastaan. Vaikka käytössä on useita tietoturvakerroksia, tietoisuus kyberturvallisuudesta on edelleen monien organisaatioiden keskeinen haaste. Usein omaksutaan tilapäinen lähestymistapa, mutta on tärkeää ymmärtää, että tietoverkkotietoisuus on muutakin kuin vain simuloitua tietojenkalastelua.
Jotta tietoturvakäyttäytyminen todella muuttuisi, organisaatioiden on sitouduttava tietoturvatietoisuusohjelmaan, jonka avulla henkilöstö voi tunnistaa ja omaksua tärkeän roolinsa arkaluonteisten organisaatiotietojen suojaamisessa.
Terveydenhuoltoala on yhä alttiimpi pahantahtoisille verkkohyökkäyksille, joten avaintekijä alan verkkoturvallisuustietoisuuden parantamisessa on tehokkaan verkkotietoisuuskampanjan toteuttaminen ja verkkotietoisuuden kulttuurin luominen.
Tehokkaan kybertietoisuuskampanjan toteuttaminen
- Aloita toimitusjohtajan johtamisesta
Kyberturvallisuus on kaikkien vastuulla, mutta joustavilla organisaatioilla on vahva toimitusjohtajan johto. Jos toimitusjohtaja suhtautuu kyberturvallisuuteen vakavasti, se leviää koko organisaatioon ja auttaa luomaan tietoisuutta kyberturvallisuudesta lisäävän kulttuurin.
- Organisaation toleranssien tunteminen
Riskien asianmukainen tunnistaminen voi auttaa muokkaamaan tietoverkkoturvatietoisuusohjelman viestien välittämistä, toimittamista ja tehokasta kohdentamista.
- Suojele tietovarantojasi
Sinun on määritettävä, mitkä ovat arvokkaimmat tietovarantosi, missä ne sijaitsevat ja kenellä on pääsy niihin. Jokainen omaisuuserä on luokiteltava (esimerkiksi julkinen, yksityinen tai luottamuksellinen) ja suojattava sen arvon perusteella. Tämä on ratkaisevan tärkeää, kun tunnistetaan riskejä ja priorisoidaan alueet, joita on puolustettava.
- Keskittyminen riskiryhmiin
Avain tehokkaaseen tietoturvatietoisuusohjelmaan on varmistaa, että oikea koulutus kohdistetaan oikeille henkilöille. Kaikki käyttäjät ovat alttiita kyberuhkille, mutta tietyillä työntekijöillä on kuitenkin suurempi uhkaprofiili kuin toisilla. Esimerkiksi henkilöstö- ja talousosastot joutuvat usein phishing-uhkien kohteeksi, koska heillä on etuoikeutettu pääsy arvokkaisiin tietoihin.
- Tee siitä mukaansatempaava tehokkaalla tarinankerronnalla
Tarinankerronta on yksi tehokkaimmista tavoista herättää henkiin tietoturvatietoisuuskampanja. Kyberturvallisuus voi olla kuiva aihe, mutta on tärkeää löytää keinoja, joilla sitouttaa henkilöstö, jos haluat vaikuttaa myönteisesti organisaatiosi käyttäytymiseen. Viesti on liian tärkeä, jotta se voisi hukkua muodolliseen yritysviestintään.
- Päivitä politiikkasi hallinta ajan tasalle
Toimintaperiaatteet ovat ratkaisevan tärkeitä, kun asetetaan organisaation yksilöiden, prosessien, suhteiden ja liiketoimien käyttäytymisrajat. Ne luovat hallintokehyksen, tunnistavat riskit ja auttavat määrittelemään vaatimustenmukaisuuden, mikä on tärkeää nykyisessä yhä monimutkaisemmassa sääntely-ympäristössä.
- Aloita valmistautuminen tietomurtoon nyt
Enää ei ole kyse siitä, hyökätäänkö organisaatiota vastaan, vaan siitä, milloin. Sinun on alettava valmistautua väistämättömään ja laadittava suunnitelma, jolla varmistetaan asianmukaiset ja oikea-aikaiset toimet, kun tietoturvaa rikotaan.
- Kyberturvallisuuden mestareiden värvääminen
Tietoverkkoturvallisuuden mestareiden nimeäminen on hyvä tapa antaa henkilöstölle valtuudet ja tarvittavat taidot verkkohyökkäysten estämiseksi.
- Harkitse toimitusketjuasi
Jokainen toimittaja ja kolmas osapuoli, joka on yhteydessä yritykseesi, on potentiaalinen riski, joten on tärkeää, että teet yksityiskohtaisen kolmannen osapuolen riskinarvioinnin, jotta voit puuttua kaikkiin turvallisuuttasi uhkaaviin ongelmiin. Näin voidaan määrittää, mitä turvatoimia on toteutettava, jotta tietosi pysyvät turvassa.
- Asianmukaisen valvonnan ja säännöllisten tarkastusten toteuttaminen
Uhkakenttä kehittyy jatkuvasti, joten tietoverkkoturvatietoisuusohjelman on kehityttävä sen mukana. On tärkeää tarkistaa säännöllisesti henkilöstön valmiudet, jotta voidaan tunnistaa heikkoudet ja selvittää, onko nykyisiä toimintatapoja ja koulutusta tarpeen päivittää.
Luo turvallisuustietoisempi työvoima
Cyber Security Awareness for Dummies on korvaamaton apuväline käyttäytymismuutoksen toteuttamisessa ja tietoverkkotietoisuuden kulttuurin luomisessa.
Tässä oppaassa opit:
- Mitä tietoverkkoturvallisuustietoisuus tarkoittaa organisaatiollesi
- Miten toteutetaan tietoverkkoriskien tiedostamiskampanja
- Politiikkojen ratkaiseva rooli turvallisten perusarvojen luomisessa
- Miten ylläpitää vauhtia ja henkilöstön sitoutumista
- 10 parasta käytäntöä tietoverkkoturvallisuustietoisuuden parantamiseksi
Klikkaa tästä saadaksesi ilmaisen kopion Cyber Security Awareness for Dummies -kirjasta.