Derfor er helsesektoren et yndet mål for hackere
Det engelske ordtaket sier at et eple om dagen holder doktoren borte. Epler kan være bra for helsen, men hva må til for å holde borte hackere som stjeler personlig helseinformasjon? Helsesektoren har lenge hatt utfordringer med cyberangrep og brudd på datasikkerheten. Mange millioner pasientjournaler har sluppet ut de siste årene. Antallet varierer fra 500 til 79 millioner pasientjournaler ved ett enkelt brudd på sikkerheten. Helsesektoren i USA rapporterte om 344 brudd på datasikkerheten i 2017. Det er nesten én hendelse hver eneste dag.
Sårbare sykehus
Det er lukrativt å hacke sykehus. En komplett pasientjournal, med forsikringsinformasjon, adresse, personnummer og navn, er verdt fra 50 til 500 dollar på det kriminelle markedet på nett. Mye mer enn bare et kredittkortnummer. De selges for mindre enn 15 cent per stykke. Med en pasientjournal får hackeren mye informasjon – og mange muligheter.
Av og til forsøker hackere å selge medisinsk informasjon til sykehuset den ble stjålet fra. Da holder hackerne opplysningene som gissel med et såkalt «løsepengevirus». Ingen får tilgang til journalene før løsepengene er betalt. I 2017 rammet den ondsinnede programvaren Wannacry den britiske helsesektoren. Angrepet førte til problemer ved 34 % av stiftelsene i England, og mange tusen avtaler og operasjoner ble kansellert. Det var det hittil største cyberangrepet mot offentlig helsesektor i Storbritannia.
Personopplysninger
Det er ingen annen sektor som behandler så store mengder personopplysninger som helsesektoren. Leger, sykepleiere, forsikringsselskaper, farmasøyter, annet helsepersonell og tredjepart trenger tilgang til dine personopplysninger for å kunne gi deg best mulig pleie. I helsevesenet kan rask reaksjon utgjøre forskjellen mellom liv og død. I en nødssituasjon har ikke legen tid til å få innsyn i opplysningene dine ved hjelp av et passord som består av minst åtte tegn – og tofaktorautentisering.
Den menneskelige faktoren
Med drøssevis av personer som har tilgang til personopplysninger, og begrenset sikkerhet, blir helsevesenet nesten som lokkeduer å regne når det kommer til cyberangrep. Men det stemmer ikke helt. Bransjen har kommet langt sammenlignet med andre bransjer når det kommer til cybersikkerhet. Men til tross for store investeringer i antivirus, avansert nettverkssikkerhet og generelt bedre cybersikkerhet, vil det fortsatt oppstå brudd på datasikkerheten. Og det har menneskene bare delvis skylden for. Medisinsk personell er opplært til å gjenkjenne sykdommer, ikke til å gjenkjenne det neste angrepet med ondsinnet programvare. Så nok en rutine for hvordan de skal håndtere phishing-eposter eller ondsinnet programvare er nok en belastning for dem.
IoT
Det handler ikke bare om menneskelig svikt. Medisinsk utstyr er et annet sårbarhetsaspekt i helsesektoren. Internet of Things («tingenes internett») vokser med hver eneste MRI-skanner og intravenøse pumpe. Det gjør det enkelt å hente informasjon fra hvert eneste apparat, men samtidig blir denne informasjonen enkelt tilgjengelig for hackere. I de fleste tilfeller har medisinsk utstyr utdatert programvare og standardpassord. Med intensiv bruk av medisinske enheter er det vanskelig å finne tid til å oppdatere programvaren. Se for deg at sykehusets nettverksadministrator oppdaterer MRI-skanneren, slik at den ikke kan brukes på noen timer. Dyrebar tid som kunne ha blitt brukt på en bedre måte.
ISO 27001
Så hva kan vi gjøre for å unngå at flere personopplysninger havner på dypnettet? Hver eneste organisasjon, store som små, og offentlige som private, må ivareta data og annen informasjon. Hvis du vil ta tak i risikoer knyttet til informasjonssikkerhet, kan ISO 27001 være et godt hjelpemiddel – også i helsesektoren. Ved å definere krav til et administrasjonssystem for informasjonssikkerhet kan du beskytte informasjonen.