Miksi sote-alan yritykset ovat kiinnotavia verkkorikollisuudelle?

Terveydenhuollon teollisuudella on valitettavan synkkä historia tietomurroista ja verkkohyökkäyksistä. Miljoonia henkilökohtaisia ​​tiedostoja on vuotanut viime vuosina. Numerot vaihtelevat 500 tiedostosta 79 miljoonaan potilastietueeseen, jotka ovat vuotaneet yhdellä kertaa. USA:n terveydenhuoltoala ilmoitti vuoden 2017 aikana 344 rikkomusta.

Haavoittuvat potilastietojärjestelmät

Sairaaloiden tietojärjestelmien hakkerointi on tuottoisa liiketoiminta. Täydellinen potilastiedosto, jossa on vakuutusnumero, osoite, sosiaaliturvatunnus ja nimi, on nettomarkkinoilla arvoltaan 50–500 dollaria. Paljon enemmän kuin yksi luottokorttinumero. Niitä myydään alle 15 senttiä kappaleelta. Täysi potilastietue tarjoaa hakkereille paljon enemmän tietoa ja mahdollisuuksia.

Joskus lääketieteellistä tietoa tarjotaan myytäväksi sairaalaan, josta se varastettiin. Tällöin hakkerit pitävät tietoja ”panttivankinaan”. Ennen kuin lunnaat on maksettu, kukaan ei pääse kiinni potilastiedostoihin. Vuonna 2017 Wannacry-haittaohjelma hyökkäsi Ison-Britannian terveydenhuollon tietojärjestelmään vakavin seurauksin. Hyökkäys johti häiriöihin 34 prosentissa Iso-Britannian potilastietoja, jonka seurauksen tuhansia tapaamisia ja toimenpiteitä peruttiin. Se oli suurin Ison-Britannian kansanterveyshuoltoon koskaan tehty hyökkäys.

Hyvin henkilökohtaista tietoa

Maailmassa ei ole toista toimialaa, joka käsittelee niin paljon henkilötietoja kuin sosiaali- ja terveydenhuollon alalla. Lääkärien lisäksi sairaanhoitajilla, vakuutusyhtiöillä, apteekkareilla ja muilla terveydenhuollon ammattilaisilla on pääsy tietoihin. Myös kolmannet osapuolet tarvitsevat henkilökohtaisia ​​dataa, jotta potilaalle voidaan taata paras mahdollisen hoito. Terveydenhuollossa nopea toiminta on joskus elämän ja kuoleman kysymys. Hätätilanteessa ei lääkärillä ole aikaa vähintään kahdeksan eri merkin salasanaan ja kaksivaiheiseen tunnistukseen.

Inhimillisen tekijän merkitys

Myös terveydenhuollon alalla on tapahtunut suuria edistysaskelia tietoturvan saralla. Mutta huolimatta suurista investoinneista virustentorjuntaohjelmistoon, verkkoturvallisuuden kehittämiseen ja parempaan tietoturvaan, rikkomuksia esiintyy edelleen. Ihmiset ovat osittain syyllisiä tähän ongelmaan. Lääketieteellinen henkilökunta on koulutettu tunnistamaan sairaus, ei uhkaavaa haittaohjelmaa. Koulutuksella, tiedottamisella ja ohjeistuksella saadaan huomio kiinnittymään myös organisaatiota kohtaaviin tietoturvauhkiin ja tietojenkalasteluviesteihin. Näin pienennetään inhimillisen tekijän riskiä.

IoT

Kyse ei ole ihmisen epäonnistumisesta. Toinen haavoittuva osa terveydenhuoltoa on lääketieteelliset laitteet. Esineiden internet kasvaa jokaisen MRI-skannerin ja IV:n myötä. Tiedot ovat helposti saatavilla jokaisesta laitteesta, mutta myös hakkerin on helppo paljastaa tiedot. Useimmiten lääketieteelliset laitteet toimivat vanhentuneilla ohjelmilla ja tavallisilla salasanoilla. Kun lääketieteellisiä laitteita käytetään intensiivisesti, on vaikea löytää aikaa ohjelmiston korjausten suorittamiseen. Kuvittele sairaalan verkkojärjestelmänvalvoja, joka päivittää MRI-skannerin ja ottaa sen pois käytöstä muutaman tunnin ajaksi. Kallis aika, jota olisi voitu käyttää toisin.

ISO 27001

ISO 27001 -standardia käytetään maailmanlaajuisesti tietoturvan perustana. Tämä standardi sisältää vaatimukset ja ohjeet tietoturvan jäsentämiseksi, mikä takaa tietojen luottamuksellisuuden, saatavuuden ja eheyden organisaation sisällä.

Lisätietoja Kiwan ISO 27001 -sertifioinnista.