Перегляд директиви ЄС щодо підвищення рівня кібербезпеки для критично важливих інфраструктур (NIS2) ще більше привернув увагу багатьох закладів охорони здоров’я до питання кібербезпеки. Тому що вони вважаються особливо гідними захисту.
Конфіденційність, цілісність і доступність даних мають центральне значення в секторі охорони здоров'я. Тут документуються всі процеси здоров’я та діагнози, включаючи плани терапії. Оскільки кожна прогалина в безпеці несе в собі ризик маніпулювання планами лікування або потрапляння інформації до третіх осіб, кібербезпека є важливою. Конфіденційні дані є надзвичайно популярною мішенню для злочинців, як показав нещодавній напад на лікарню в Зусті. Завдання галузі: завдяки прогресуючій цифровізації медичні пристрої все частіше об’єднуються в мережу, а дані все частіше зберігаються та передаються в електронному вигляді. Це збільшує потенційну поверхню атаки для кіберзлочинців. Законодавча влада розглядає цю подію через NIS2, підвищуючи вимоги до кібербезпеки в компаніях. Інгошуленберг, керівник відділу продажів – Спеціальні операції OT та IT-безпека в Axians IT-Security, дає чотири поради щодо того, як слід діяти закладам охорони здоров’я, на які поширюється дія директиви.
Оцінка кібербезпеки
Запаси обладнання в лікарнях часто зростали з часом і все більше взаємопов’язувалися. Для ефективного підвищення безпеки ІТ оптимальною відправною точкою є оцінка існуючих заходів безпеки. Тут експерти перевіряють безпеку встановленого середовища, визначають вразливі місця на існуючих пристроях і які вимоги до безпеки є для нових пристроїв. Також важливо визначити, які сфери компанії повинні спілкуватися між собою. Особливо в медичних установах часто є важливі машини та пристрої, які, наприклад, не слід підключати до однієї мережі. Під час оцінки кібербезпеки організації визначають, які активи є особливо критичними та заслуговують на захист, щоб визначити їх пріоритет у своїй стратегії безпеки та захистити їх належним чином. Під час оцінки безпеки досвідчені постачальники послуг ІКТ, такі як Axians, можуть допомогти вам правильно оцінити рівень безпеки ІТ-інфраструктури, а потім розробити цілісну стратегію безпеки.
Навчання з кібербезпеки
Найбільший ризик для безпеки в галузі охорони здоров’я, як і в інших галузях, – це люди. Він залишається популярною мішенню для хакерів. За допомогою добре розроблених фішингових атак кіберзлочинці можуть обманом змусити співробітників надати дані для входу або завантажити шкідливе програмне забезпечення з Інтернету. Оманлива готовність допомогти - наприклад, коли працівники підключають USB-накопичувачі до свого робочого комп'ютера, щоб дізнатися власника - часто призводить до серйозних збитків. Заряджання приватних стільникових телефонів на медичних пристроях із USB-портом також становить потенційний ризик для закладів охорони здоров’я через скомпрометовані пристрої. Компанії повинні запобігти цьому, навчаючи всіх співробітників, щоб вони могли розвинути краще відчуття ризиків безпеки. Це важливо, оскільки працівники закладів охорони здоров’я часто працюють у дефіциті часу та мають велике навантаження. Щоб не стати жертвою цілеспрямованих фішингових атак у напруженому повсякденному житті, необхідні регулярні тренінги з безпеки та підвищення обізнаності.
Найкращі практики кібербезпеки
Щоб побудувати ефективну кібербезпеку, інституції повинні спочатку почати з впровадження технічних основ. У секторі охорони здоров’я це включає сегментацію мережі за допомогою внутрішніх брандмауерів. Сегментація мережі дає можливість відокремити медичні пристрої від основної мережі. Машини та пристрої часто мають застарілі операційні системи, уразливості яких неможливо виправити, інакше вони втратять схвалення. Якщо повторна сертифікація неможлива, ці пристрої можна заблокувати в безпечних сегментах мережі, а зв’язок із цими пристроями можна регулювати та контролювати через IPS. Потім базовий захист можна постійно розширювати за модульним принципом у межах бюджету. Оскільки ландшафт загроз стає дедалі складнішим, запобіжні заходи необхідно постійно вдосконалювати.
Розширте основи за допомогою SOC та ISMS
Загрози необхідно виявляти цілодобово та в режимі реального часу, щоб мати можливість негайно відреагувати в надзвичайних ситуаціях. З цієї причини закладам охорони здоров’я, наприклад лікарням, доцільно створити Центр безпеки (SOC). Усі потоки кібербезпеки об’єднуються в SOC – саме тут фахівці з використанням новітніх технологій цілодобово контролюють інфраструктуру ІТ-безпеки лікарні, миттєво ідентифікують атаки та ініціюють захист. Набутий досвід дозволяє постійно адаптувати стратегію захисту. Закладам охорони здоров’я не обов’язково керувати SOC самостійно, але вони можуть отримати підтримку від керованого постачальника послуг.
Крім основ безпеки, рекомендується створити систему управління інформаційною безпекою (СУІБ). Це не фізична система, а скоріше процедура, визначена вказівками, яка постійно визначає, контролює, контролює, підтримує та постійно покращує інформаційну безпеку в компанії. СУІБ впроваджується та впроваджується індивідуально для компанії.
Підвищуйте безпеку поступово
Щоб успішно захистити компанії та установи в секторі охорони здоров’я від кібератак, потрібно більше, ніж просто інвестувати в апаратне та програмне забезпечення. Метою має бути комплексна стратегія кібербезпеки, яку можна впроваджувати крок за кроком. Організації можуть спочатку почати з проведення аудитів безпеки, а потім, на основі цього, запровадити технічні рішення, такі як внутрішні та зовнішні брандмауери, запобігання вторгненням, сегментація мережі, ISMS та SOC. У той же час тренінги для підвищення обізнаності співробітників окупаються. Поки компанії дотримуються цих найкращих практик, вони постійно підвищують безпеку своїх систем і, отже, даних пацієнтів. Співпраця із зовнішніми партнерами та використання керованих служб може допомогти уникнути додаткового навантаження на ІТ-відділи медичних закладів.
Більше на Axians.com
Про аксіян
Група компаній Axians у Німеччині є частиною глобальної мережі ІКТ-рішень VINCI Energies. Маючи цілісне портфоліо ІКТ, група підтримує компанії, муніципалітети та державні установи, мережевих операторів і постачальників послуг у модернізації їхніх цифрових інфраструктур і рішень.
Статті по темі