Bezpieczeństwo opieki medycznej: zagrożenia i prognozy

Od kilku lat sektor opieki medycznej doświadcza coraz większej intensywności i złożoności zagrożeń dla cyberbezpieczeństwa. Chociaż organizacje przeznaczają na rzecz zabezpieczeń więcej pieniędzy niż kiedykolwiek wcześniej, hakerzy nieustannie poszukują swoich ścieżek i kradną wrażliwe dane, w tym dokumentację medyczną.

Technologia przeznaczona dla szpitali ewoluuje, podobnie jak przeznaczone dla niej zagrożenia. Szybkie tempo zmian sprawia, że szpitale są pod coraz większą presją — tuż po pojawieniu się nowych technik ochrony cyberprzestępcy przypuszczają ataki kolejnej generacji.

Cele hakera

Niedawno atrakcyjnymi celami dla cyberprzestępców stały się systemy IT stosowane w służbie zdrowia. Powodem takiej sytuacji może być fakt, że organizacje służby zdrowia mają coraz więcej lukratywnych danych pacjentów — w tym informacji osobowych i finansowych, których cyberprzestępcy mogą użyć do kradzieży tożsamości.

Co więcej, ponieważ coraz więcej usług związanych z opieką zdrowotną jest dostępna przez internet, a użycie urządzeń mobilnych wzrasta, hakerzy wykorzystują nowe luki i programy żądające okupu w celu zablokowania systemów. Biorąc pod uwagę to, że stawką jest życie pacjentów, wiele organizacji decyduje się na zapłacenie okupu, aby odzyskać dane i dostęp do usług.

Niestety przyszłość stosunków między bezpieczeństwem służby zdrowia a hakerami daleko wykracza poza grę w kotka i myszkę, przez co rysuje się w nienajlepszych barwach. Ataki na szpitale w Stanach Zjednoczonych i w innych częściach świata nie tylko zwróciły uwagę na potencjalne zagrożenia, ale także na łatwość, z jaką niektóre grupy atakują systemy opieki zdrowotnej, oraz na zarobki hakerów.

Aktualizowanie systemów informatycznych

Istnieje wiele dowodów na to, że cyberprzestępcy atakują mniej nowoczesne systemy. Według prognoz w ciągu następnych 10 lat służba zdrowia zainwestuje w nowoczesną technologię, aby poprawić bezpieczeństwo.

Największym wyzwaniem dla menedżerów IT odpowiedzialnych za ten sektor jest zarządzanie infrastrukturą składającą się ze zróżnicowanej i pokrywającej się technologii, często zawierającą luki między poszczególnymi warstwami, które umożliwiają hakerom uzyskiwanie dostępu.

Zarządzanie takimi systemami jest uciążliwe i trudne. W wielu przypadkach producenci modułów systemu nie wspierają już swoich produktów. Na przykład Microsoft wycofał wsparcie dla systemu Windows XP kilka lat temu, co oznacza, że oprogramowanie to nie otrzymuje już aktualizacji ani łat bezpieczeństwa.

Starsze systemy, zwłaszcza te ponaddziesięcioletnie, są podatne najbardziej. Często też są one zbyt mocno zintegrowane z infrastrukturą organizacji, aby możne je było zastąpić. Lecz wraz ze wzrostem ilości zagrożeń dla bezpieczeństwa w nadchodzących latach priorytetem dla służby zdrowia będzie stawać się zastąpienie takich systemów nowoczesnymi.

Internet Rzeczy Hakowalnych

Ponieważ coraz więcej urządzeń medycznych oraz tych o znaczeniu krytycznym może łączyć się z Siecią, ich bezpieczeństwo ma bardzo wysoką cenę — ataki polegające na ich przechwytywaniu i kontrolowaniu mogą mieć śmiertelne konsekwencje.

Przypomina mi się podobna historia sprzed kilku lat, gdy lekarz ówczesnego wiceprezydenta USA Dicka Cheney’a wyłączył możliwość bezprzewodowego sterowania jego rozrusznikiem, aby uniemożliwić ewentualną próbę zamachu. Ludzkie życie w coraz większym stopniu zależy od urządzeń medycznych, które mogą łączyć się z internetem, dlatego na znaczeniu szybko nabiera bezpieczeństwo Internetu Rzeczy (IoT).

Jeśli problem ten nie zostanie skutecznie rozwiązany, obawy związane z bezpieczeństwem mogą utrudnić tworzenie urządzeń mobilnych oraz przeznaczonych do noszenia, które w ostatnich latach masowo opanowują rynek zdrowotny. Wszechobecność inteligentnych urządzeń mobilnych i dostępność pamięci masowej online mogą pomóc takim narzędziom zmienić rynek opieki profilaktycznej i ambulatoryjnej.

Niestety wielu z tych problemów z urządzeniami medycznymi nie można wyeliminować poprzez zwykłe zastosowanie łaty dla oprogramowania — konieczne jest tutaj ich przebudowanie, a to wymaga czasu. Bezpieczniejsze urządzenia dla szpitali i pacjentów mogą pojawić się dopiero za kilka lat.

Ochrona danych

Wielkie zbiory danych i ich analiza umożliwią rozwój medycyny precyzyjnej, poprawę zdrowia społeczeństwa i godziwą opiekę. Niestety kwestie te są często zaniedbane z powodu kiepskich procedur zarządzania w zakresie ochrony danych. Szpitale muszą ulepszyć swoje praktyki: duża część wycieków danych jest wynikiem błędu ludzkiego. Większość systemów szpitali korzysta z wielu współdzielonych stacji roboczych i haseł, a zjawisko takie nie występuje w żadnej innej branży.

Szpitale musza również poradzić sobie z mnożeniem się danych pochodzących z wielu źródeł — od urządzeń mobilnych po dane generowane przez czujniki monitorujące zdrowie. W efekcie szpitale są zmuszone utrzymywać liczne izolowane zasoby informatyczne, a także dbać o przechowywane na nich dane.

Do czasu rozwiązania problemu z danymi osobowymi informatycy medyczni będą musieli radzić sobie ze sporymi barierami utrudniającymi przyjęcie nowych technologii w szerszym zakresie. Dlatego spodziewamy się, że w ciągu kolejnych pięciu lat służba zdrowia podejmie wymagane kroki na rzecz zwiększenia poziomu bezpieczeństwa w postaci stosowania niezawodnych procedur zarządzania dostępem i odpowiednich systemów. Poza tym należy zadbać o aktualność systemów operacyjnych, przeglądarek i aplikacji, czyli włączyć silne zabezpieczenia przed dostępem.

Zmiany w technologii wykorzystywanej w opiece zdrowotnej nadchodzą szybko i mają charakter chaotyczny. Czas, w którym organizacje opieki zdrowotnej miały podjąć działania w celu zabezpieczenia swoich systemów, kończy się. Zwalczając zagrożenia bezpieczeństwa w zarodku poprzez stosowanie systemów, które są od początku zbudowane z myślą o zarządzaniu i ochronie danych, możemy sprawić, że w przyszłości technologia opieki zdrowotnej zmieni nasze życie na lepsze.