Vårdsektorn är en av de sektorer som är allra känsligast för cyberangrepp.
Förra året var inget undantag då aktörer och leverantörer inom vården fortsatte att vara huvudmål för skadliga aktörer, varav flera även tvingades uppleva omfattande dataintrång.
Att vårdsektorn kommer att vara en utsatt bransch även i framtiden är ingen djärv gissning.
Därför är det avgörande för professionella inom säkerhet- och IT i vården att lära av tidigare erfarenheter för att bättre positionera sina organisationer i det ständigt föränderliga hotlandskapet.
Även om det kommer att vara en utmaning tror jag, och hoppas, att säkerhetsexperter tillsammans med lagstiftare och partners inom cybersäkerhet kommer att göra stora framsteg under året. Nedan listar jag hur cybersäkerhetsläget för vårdsektorn sannolikt kommer att utvecklas inom fem olika områden och vad man som företag kan göra för att ligga steget före hackarna.
1. Tillvägagångssätten från cyberkriminella blir snabbt mer sofistikerade och cyberattacker kommer att ske med högre frekvens, något som ytterligare komplicerar hotlandskapet för aktörer inom vårdsektorn.
Även om lösenordsattacker som tjänst, kallat Ransomware as a Service (RaaS), och ”enklare” lösenordsattacker kommer att fortsätta att dominera, kommer vi att se en ökning av mycket mer komplexa lösenordsattacker i kombination med andra cyberattacker som särskilt riktar sig mot de största vårdaktörerna. Generativ AI är också högst aktuellt för de som arbetar med säkerhet och IT inom vården och ett antal organisationer inrättar även kommittéer för att granska AI-kapaciteter för såväl offensiva – och defensiva – som kliniska vårdändamål. I takt med att vårdbranschen integrerar och utvecklar tjänster och lösningar med Generativ AI kommer angriparna att göra detsamma. Allt som är tillgängligt för säkerhets- och IT-professionella är också tillgängligt för skadliga aktörer – ransomware är ett bra exempel på vad som kan hända när en säkerhetsåtgärd – i det här fallet kryptering – används som vapen. Den teknologi som är tänkt att blockera hot och skadliga aktörer används istället för att blockera den andra parten från att komma åt sina filer.
AI kommer att bidra till att förbättra patientvården, men vi kommer också att börja se att tekniken används alltmer för att driva mer frekventa och sofistikerade attacker. Det kommer därför att vara avgörande att säkerhets- och IT-ansvariga börjar använda tekniken i allt större utsträckning och även ser över dess styrning och säkerhet för att bättre skydda sina organisationer.
2. Ett ökat fokus på säkerheten för medicintekniska enheter kommer att leda till globala regleringar.
Vi har sett den amerikanska livsmedels- och läkemedelsadministrationen (FDA) utfärda mandat som RTA (Refusal to Accept)-policyn samt den brittiska nationella hälso- och sjukvårdstjänsten (NHS) med sin lagstiftning om datasäkerhet och skydd (DSPT). Även andra länder i Europa utvecklar liknande riktlinjer. Jag tror att vi också kommer att se ett förnyat fokus på mjukvaruförteckningar för en ökad förståelse av de mjukvarukomponenter som används för att bygga olika tillgångar. Vi kommer även att se fortsatt utveckling och specificitet gällande säkerheten för medicintekniska enheter i takt med införandet av allt fler cybersäkerhets- och kritisk infrastrukturcentrerade regler.
Även om arbete och utförande behöver ses över, är dessa regler ett stort steg framåt för att kräva att cybersäkerhet integreras i produkter och tjänster och att organisationer regelbundet bedömer cybersäkerhetsläget för sina enheter. Trots att det, som med alla nya regler, är svårt i början är det något som är nödvändigt att göra. En plan är trots allt bara effektiv i den mån den genomförs och i det här fallet rör det sig om en extremt kritisk sådan.
3. Vårdleverantörer kommer att fortsätta att förnya sina säkerhetsstrategier och prioritera segmentering samt försvar.
Segmentering kommer att fortsätta vara en av de primära metoderna för att öka cybersäkerheten inom vårdsektorn. De säkerhets- och IT-proffs som arbetar inom branschen kommer därför att se till att förnya sina strategier för att börja segmentera sina nätverk – om de inte redan har gjort det. Det är ett stort och svårt projekt som kan ta fler år. Det är emellertid ett projekt som kommer att åstadkomma den i särklass största riskreduceringen inom vårdmiljön och samtidigt utgöra en viktig ingrediens i en proaktiv riskreduceringsstrategi. Själva nyckeln är en korrekt planering och en förståelse för att ett segmenteringsprojekt kan liknas vid en resa med flera faser: identifikation/inventering, beteende- och kommunikationskartläggning, policyskapande, prioritering, test/pilot, implementering och automation. Riskbaserad prioriteringsordning är en växande trend där, i motsats till en traditionell metod med segmentlistor som skapas efter tillverkare eller typ, uppnår en mycket snabbare ROI. Detta genom att identifiera och prioritera segmenteringen av kritiska sårbara enheter först – särskilt enheter som är patientnära – för att uppnå maximal och omedelbar riskreducering.
Lars Hermind, Regional Manager Nordics, Armis
Säkra system kommer dessutom, genom flera lager av säkerhet – så kallad defense in depth – att bli tillgängligt för nyare medicintekniska enheter. Tydligare definierad säkerhetsdokumentation och tydligare definierade beteenden, inbyggda säkerhetsfunktioner, stöd för säkerhetsprogramvara samt utfasning av äldre system kommer att bana väg för nyare och säkrare enheter. Segmentering kommer, som ett resultat av detta, att kompletteras med andra säkerhetsfunktioner som i nuläget stöds på nyare medicintekniska enheter, såsom mer frekvent mjukvarupatchning och uppdateringar.
4. Tillverkare av medicintekniska enheter kommer att erbjuda fler tjänster gällande cybersäkerhet.
Hur effektivt detta kommer att vara är svårt att säga i nuläget, men oavsett om det sker genom professionella tjänster, tekniska funktioner eller nya enheter, ser vi att medicintekniska tillverkare börja fokusera på cybersäkerhetsinitiativ för sina nya produkter. Jag tror därför att leverantörer av medicintekniska enhets och hanteringstjänster kommer att lägga ytterligare fokus på att tillhandahålla åtgärdstjänster för medicintekniska säkerhetsråd. Vårdorganisationer kommer också att utnyttja MSSP:er och partner- eller leverantörstjänster i allt större utsträckning för att kunna skala upp sina verksamheter. Att använda detta tillvägagångssätt kan hjälpa till med avlastning av uppgifter, snabbare riskreduktion samt informationsdelning.
5. Kompetensgapet gällande cybersäkerhet kommer att vidgas.
AI integreras allt mer i teknologistackar, det vill säga en kombination av tekniska verktyg och applikationer, särskilt när cybersäkerhetsleverantörer strävar efter att utnyttja innovationskraften i dessa. Det kommer att underlätta arbetsuppgifter, men organisationer – särskilt mindre vårdorganisationer med mindre resurser – kommer fortfarande att märka av kompetens- och erfarenhetsbristen inom cybersäkerhet. Detta gäller inte bara inom specifika teknikområden, utan omfattar även förmågan att implementera och systematiskt förbättra ett cybersäkerhetsprogram som är relevant för vårdsektorn. Att fylla dessa gap och söka hjälp av externa partners för att stödja sina säkerhetsprogram är i högsta grad avgörande för företag inom vårdsektorn. En grundläggande rekommendation här är att utnyttja säkerhetsramverk för att bygga en systematik som förbättrar företagets övergripande säkerhet med prioriterade säkerhetsinsatser. Nyckeln till detta är att förankra programmet i en ramverksbaserad ansats, som NIST Cyber Security Framework (CSF), med regelbundna granskningar och bristanalyser för att utforma en prioriterings- och insatsplan.
