Medvetenhet om cybersäkerhet är en kritisk affärsfråga för alla organisationer. Det är dock helt enkelt nödvändigt inom hälso- och sjukvårdssektorn, där uppgifterna är särskilt känsliga.
De stora volymerna konfidentiella data, i kombination med ofta sårbara säkerhetssystem och ett omfattande nätverk av anslutna medicinska apparater gör sjukvårdssektorn till ett utmärkt mål för cyberbrottslingar.
Hälso- och sjukvårdsbranschen är en av de mest utsatta branscherna och plågas av en mängd cybersäkerhetsrelaterade problem, t.ex. säkerhetsincidenter, organisatoriska intrång och datastölder som härrör från interna och externa källor.
Cyber-säkerhet inom hälso- och sjukvården i kritiskt tillstånd
Förra året kostade dataintrång och attacker med utpressningstrojaner sjukvården uppskattningsvis 4 miljarder dollar. Faktum är att 67 % av sjukvårdsorganisationerna har drabbats av en cybersäkerhetsincident under de senaste tolv månaderna.
Den kanske mest ökända incidenten inträffade 2017, när en förödande global cyberattack lamslog datorer på sjukhus i Storbritannien. Konsekvenserna av WannaCry-cyberattacken var betydande, eftersom cyberincidenten störde tjänsterna i en tredjedel av sjukhusförvaltningarna och cirka 8 % av de allmänna läkarmottagningarna. Den uppskattade totala kostnaden för att återställa de drabbade systemen uppgick till 92 miljoner pund, enligt Department of Health & Social Care.
På senare tid har vårdgivare och medicinska forskningsorganisationer upplevt en ökning av antalet nätfiskeattacker i samband med den pågående Covid-19-krisen. Universitetssjukhuset i Brno i Tjeckien, som är ett av landets testcenter för Covid-19, drabbades av utpressningstrojaner som ledde till att alla operationer sköts upp.
Mitt i en kraftig ökning av antalet nätfiskeattacker med anknytning till coronavirus världen över drabbades det amerikanska ministeriet för hälsa och sjukvård (HHS) också av en DDoS-attack (Distributed Denial of Service), som syftade till att störa organisationens svar på Covid-19-pandemin.
Storbritanniens National Cyber Security Centre (NCSC) och USA:s Cybersecurity and Infrastructure Security Agency (CISA) har rapporterat om en rad attacker mot medicinska organ, särskilt de som har deltagit i insatserna mot pandemin.
Cyber-säkerhetsproblem inom hälso- och sjukvårdssektorn
Det är uppenbart att hackare kommer att fortsätta att genomföra cyberattacker mot hälso- och sjukvården så länge det finns vinster att göra, oavsett om de säljer stulna patientuppgifter eller håller sjukvårdssystemen som gisslan tills de kriminella uppfyller sina krav.
Hälsosektorn har genomgått en betydande förändring under de senaste åren i och med anpassningen av ny teknik för att underlätta dataintegration, patientengagemang och kliniskt stöd.
Med denna övergång från traditionella pappersbaserade metoder kommer en mängd möjligheter för cyberbrottslingar, t.ex. skadlig kod som äventyrar patientuppgifternas integritet och DDoS-attacker (distributed denial of service) som stör möjligheten att tillhandahålla patientvård.
Organisationer är dock ofta alltför upptagna med att försvara sig mot externa hot för att ta itu med de mycket verkliga och farliga risker som kan finnas inom de egna leden.
Hotet från insider
Med en mängd mycket konfidentiell och skyddad hälsoinformation (PHI) inom räckhåll har vårdpersonal tillgång till stora mängder patientdata som måste vara tillgängliga för personalen, både på plats och på distans, och på flera enheter.
Det är allmänt känt att cyberbrottslingar riktar in sig på den svagaste punkten i en organisations försvar och alltför ofta är det de anställda. Förra året avslöjade den brittiska informationskommissionärens kontor (ICO) att 90 procent av dataskadorna beror på mänskliga fel.
I slutändan är vårdpersonalen dataskyddare och cyberhot utgör nu ett stort folkhälsoproblem.
För att minska risken måste säkerhetsmedvetenhet bli en integrerad del av sjukvårdsbranschens övergripande säkerhetsstrategi för att förhindra potentiella cyberattacker.
Förebyggande åtgärder framför receptbelagda läkemedel
Eftersom cyberattacker blir mer sofistikerade och målinriktade än någonsin tidigare är medvetenhet om cybersäkerhet inom hälso- och sjukvårdssektorn det mest kraftfulla vapnet mot dessa hot och tekniker som ständigt utvecklas. Trots att man har flera säkerhetslager på plats är medvetenheten om cybersäkerhet fortfarande en viktig utmaning för många organisationer. Ofta används en ad hoc-strategi, men det är viktigt att inse att medvetenhet om cybersäkerhet är mer än bara simulerad nätfiske.
För att verkligen förändra beteendena för cybersäkerhet måste organisationer engagera sig i ett program för medvetenhet om cybersäkerhet som gör det möjligt för personalen att inse och acceptera den viktiga roll de spelar för att skydda känsliga organisationsdata.
Eftersom sjukvårdsbranschen är alltmer utsatt för skadliga cyberattacker är nyckeln till att förbättra medvetenheten om cybersäkerhet i denna sektor att genomföra en effektiv kampanj för cybermedvetenhet och skapa en kultur av cybermedvetenhet.
Genomföra en effektiv kampanj för medvetenhet om cyberfrågor
- Börja med ledarskapsledarskapet
Cybersäkerhet är allas ansvar, men stabila organisationer har ett starkt VD-ledarskap. Om vd:n tar cybersäkerheten på allvar kommer detta att genomsyra hela organisationen och bidra till att skapa en kultur av ökad medvetenhet om cybersäkerhet.
- Känn till dina organisationstoleranser
Om du tar dig tid att identifiera riskerna på ett korrekt sätt kan det hjälpa dig att utforma budskapet, leveransen och den effektiva inriktningen på ditt program för medvetenhet om cybersäkerhet.
- Skydda dina informationstillgångar
Du måste fastställa vilka dina mest värdefulla informationstillgångar är, var de finns och vem som har tillgång till dem. Varje tillgång bör klassificeras (t.ex. offentlig, privat eller konfidentiell) och skyddas utifrån sitt värde. Att göra detta är avgörande när man identifierar risker och prioriterar de områden som behöver försvaras.
- Fokus på högriskgrupper
Nyckeln till ett effektivt program för säkerhetsmedvetenhet är att se till att rätt utbildning riktas till rätt personer. Alla användare är mottagliga för cyberhot, men vissa anställda har en högre hotbild än andra. Till exempel kommer dina HR- och ekonomiavdelningar ofta att utsättas för nätfiskehot på grund av deras privilegierade tillgång till värdefulla data.
- Gör det engagerande med effektiv storytelling
Berättelser är ett av de mest kraftfulla sätten att blåsa liv i din kampanj för medvetenhet om cybersäkerhet. Cyber-säkerhet kan vara ett torrt ämne, men det är viktigt att du hittar sätt att engagera din personal om du vill påverka beteendet i din organisation positivt. Budskapet är alldeles för viktigt för att gå förlorat i formell företagskommunikation.
- Uppdatera din policyhantering
Policyer är viktiga för att fastställa gränser för beteende för individer, processer, relationer och transaktioner inom din organisation. De ger ett ramverk för styrning, identifierar risker och hjälper till att definiera efterlevnad, vilket är viktigt i dagens alltmer komplexa regelverk.
- Börja förbereda dig för ett dataintrång nu
Det handlar inte längre om "om" din organisation kommer att attackeras, utan "när". Du måste börja förbereda dig för det oundvikliga och upprätta en plan som garanterar lämpliga åtgärder i rätt tid när säkerheten kränks.
- Anlita mästare i cybersäkerhet
Att utse cybersäkerhetsmästare är ett utmärkt sätt att ge personalen befogenheter och ge dem de färdigheter som behövs för att förhindra en cyberattack.
- Tänk på din försörjningskedja
Varje leverantör och tredje part som ansluter till ditt företag utgör en potentiell risk, så det är viktigt att du utför detaljerade riskbedömningar av tredje part för att ta itu med alla problem som kan utgöra ett hot mot din säkerhet. Genom att göra det kan du avgöra vilka säkerhetsåtgärder som behöver vidtas för att hålla dina data säkra.
- Genomföra lämplig tillsyn och regelbundna granskningar
Hotbilden utvecklas ständigt, så ditt program för medvetenhet om cybersäkerhet måste utvecklas med den. Det är viktigt att regelbundet granska personalens beredskap för att identifiera svaga områden och fastställa om nuvarande policyer och utbildning behöver uppdateras.
Skapa en mer säkerhetsmedveten personalstyrka
Cyber Security Awareness for Dummies är en oumbärlig resurs för att genomföra beteendeförändringar och skapa en kultur av cybermedvetenhet.
I den här guiden får du lära dig:
- Vad medvetenhet om cybersäkerhet innebär för din organisation
- Hur man genomför en kampanj för medvetenhet om cyberrisker
- Politikens avgörande roll för att fastställa säkra baslinjer
- Hur man upprätthåller drivkraften och personalens engagemang
- 10 bästa metoder för medvetenhet om cybersäkerhet
Klicka här för att hämta ditt gratisexemplar av Cyber Security Awareness for Dummies.