Počet kybernetických útoků na zdravotnická zařízení každým rokem narůstá. Před dvanácti lety podle informací společnosti Black Book Market Research došlo k padesáti veřejně známým událostem tohoto typu. V roce 2018 již šlo o 477 útoků, nikoli úniků dat, za nimiž může stát i prosté lidské pochybení, jež vede například k dočasnému zveřejnění údajů.
Dobrou zprávou v této souvislosti je, že 94 procent bezpečnostních profesionálů oslovených v průzkumu State of the Healthcare Cybersecurity Industry si rizika spojená s kybernetickými útoky uvědomuje. Špatnou zprávou je, že jen 19 procent dotazovaných zdravotnických zařízení řadí kybernetickou bezpečnost mezi hlavní priority dalšího rozvoje IT. V tomto ukazateli navíc došlo k velkému poklesu. Před dvěma roky prioritizovalo bezpečnost 82 procent poskytovatelů zdravotní péče. A zjevně na tom nic nemění ani skutečnost, že v posledních dvou letech (2019 a 2020) došlo k úniku dat u téměř devíti desetin zdravotnických zřízení.
Bezpečnostní specialisté, kteří na těchto typech pracovišť působí, si uvědomují, že ve srovnání s jinými obory a odvětvími představují pro útočníky atraktivní cíl. Vloni s tímto tvrzením souhlasilo 87 procent respondentů, předloni 69 procent. Zdá se, že bezpečnostním specialistům vedení zdravotnických zařízení příliš nenaslouchají.
Průměrný náklad na uniklý zdravotní záznam v závěru loňského roku činil 612 dolarů. Podle informací společnosti Black Book více než čtyřnásobně převyšoval odvětvový průměr. Ten ve čtvrtém kvartálu 2020 činil 150 dolarů na záznam. Zdravotnictví s výší tohoto specifického nákladu vede již devět let v řadě.
Predikce vývoje globálního trhu bezpečnostních řešení pro zdravotnictví naznačuje vlnu masivního růstu investic. Letos by podle predikce analytiků společnosti Black Book mělo jít o 18 miliard dolarů. Za pět let se výdaje na bezpečnost v odvětví navýší na 37 miliard dolarů. Mezi roky 2021 až 2026 světové zdravotnictví na kybernetickou bezpečnost vynaloží 134 miliard dolarů.
Zdravotní záznam jako cenná trofej
Cena zdravotních záznamů na černém trhu převyšuje cenu údajů o platebních kartách. Podle starších, ale údajně stále aktuálních informací odborníků společnosti Experian záleží na kompletnosti nabízené informace. Za úplnou sadu zdravotní dokumentace jedné osoby jsou kriminální živly ochotné zaplatit až tisíc dolarů. Pro srovnání dodejme, že číslo amerického sociálního pojištění se prodává za dolar, údaje z kreditních karet za pět až 110 dolarů. Tento rozdíl experti vysvětlují pomocí dvou specifik zdravotní dokumentace. Obvykle obsahuje mnoho dalších údajů, jejichž zneužitelnost nesnižuje ani rychlé, či naopak pomalé odhalení daného úniku dat. V případě informací z platebních karet může jít o pouhé minuty a kupující strana riskuje, že si pořizuje již zneplatněné údaje.
Zdravotnická zařízení ovšem nejsou pro kybernetické útočníky zajímavá jen kvůli shromažďování osobních údajů. Vyřazení informačních systémů nebo techniky v podstatě znemožňuje výkon plánovaných zákroků a nabourává i elementární poskytování péče. To využívají ransomwarové útoky, které v případě úspěšné realizace ohrožují jak data, tak provoz.
Význam ochrany vysoce citlivých údajů si uvědomují nejen zdravotnická zařízení a jejich klientela, ale také příslušné regulační orgány. Kromě oborových norem, jako jsou americké HIPAA nebo HITECH, s nimi počítají i obecněji zaměřené regulace. Podle predikce společnosti Gartner budou již v příštím roce zdravotní záznamy poloviny světové populace chráněné lokálními předpisy na ochranu soukromí. Předloni šlo díky čerstvé účinnosti GDPR o desetinu obyvatel planety.
Výzvy zdravotnické kyberbezpečnosti
Stejně jako jiná odvětví se i zdravotnictví potýká s nedostatkem kvalifikovaných odborníků. Podle zjištění analytiků společnosti Black Book zabere zdravotnickým zařízením obsazení kyberbezpečnostní role ve srovnání s ostatními IT pozicemi v průměru o více než dvě třetiny delší čas. V mezioborovém srovnání jde v průměru o trojnásobný časový úsek, konkrétně o 118 dnů.
Tři čtvrtiny vloni dotazovaných specialistů na pozici CISO – Chief Information Security Officer, kteří působí ve zdravotnických zařízeních, se domnívají, že zkušený profesionál v oboru kybernetické bezpečnosti si jejich odvětví velmi pravděpodobně nevybere. Na jedné straně má obrovskou zodpovědnost za data, která chrání, a za případné finanční a reputační dopady úspěšného útoku. Na druhé straně disponuje jen velmi omezenými pravomocemi v oblasti řízení technologií a implementace pravidel.
Devět desetin zdravotnických zařízení dotazovaných v loňském průzkumu State of the Healthcare Cybersecurity Industry nijak nezareagovalo na pandemii onemocnění covid-19 a změny, jež si vynutila v pracovních modelech. Jejich podfinancovaná a nedostatečně personálně obsazená oddělení kybernetické bezpečnosti neefektivně balancují mezi požadavky na vzdálené služby a rychle rostoucími riziky. Dvě pětiny zaměstnanců zdravotnických zařízení v roce 2020 neprošly žádným školením, jež by zvyšovalo jejich povědomí v oblasti kybernetické bezpečnosti nad rámec vstupního poučení o přístupu a autentizaci. A ani to zjevně nestačí. 53 procent poskytovatelů zdravotních služeb se potýká s problémem odcizených nebo jinak kompromitovaných přihlašovacích údajů. Útočníci je ve zvýšené míře získávají prostřednictvím chybných konfigurací cloudových služeb.
Na zhoršující se bezpečnostní situaci reagují vedení zdravotnických zařízení zvýšenou poptávkou po relevantních službách a konzultacích. Do jisté míry tím samozřejmě kompenzují nedostatek vlastních specialistů a interního know-how. Analogicky řeší také problém se stanovováním rozpočtů na kybernetickou bezpečnost, pro něž jim obvykle chybějí spolehlivá historická data. Nedostatek interních odborníků a bezpečnostních technologií kompenzují outsourcingem. Služby, řízené, konzultační i outsourcing, nakupují v pětkrát větším rozsahu než bezpečnostní produkty a software. O jejich dostupnosti a parametrech, jak dokládá výzkum společnosti Black Book, často nemají dostatečné informace.
Kybernetická bezpečnost ve zdravotnictví je historicky podfinancována. Svědčí o tom i každoroční přibližně dvacetiprocentní nárůst výdajů na produkty a služby v odvětví, jež analytici sledují od roku 2017. Obecně platí, že větší zařízení disponují většími zdroji a dosahují vyšší míry zabezpečení. Také ale chrání větší množství údajů a infrastruktury. I přesto jsou na tom lépe než menší zařízení, která velmi často indikují, že nejsou díky omezeným zdrojům ani zdaleka schopná určitou míru bezpečnosti zajistit. Na tomto stavu se podepisuje hned celá řada faktorů: zastaralé systémy, nedostatečná bezpečnostní opatření, chybějící specialisté. V kombinaci s bohatými záznamy o klientech se tak zdravotnictví stává velmi atraktivním cílem útočníků.
Pouze 14 procent respondentů z řad zástupců zdravotnických zařízení se domnívá, že v roce 2021 dojde ke zvýšení úrovně kybernetické bezpečnosti jejich pracoviště.
Zajímají vás informační technologie a chcete získat nadhled?
Odebírejte náš Newsletter, který posíláme zpravidla dvakrát do měsíce a který obsahuje výběr unikátních článků nejen našich autorů, ale také ze sítě mezinárodního vydavatelství IDG.
» Přihlaste se zdarma! [Odběr můžete kdykoli zrušit]