Prema Proofpointu, 92% zdravstvenih organizacija doživjelo je najmanje jedan cybernapad u posljednjih 12 mjeseci, što je povećanje sa 88% u 2023. godini, a 69% je prijavilo poremećaj u brizi o pacijentima kao rezultat toga.
Zdravstvene organizacije se bore da ublaže rizike od cybernapada
Među organizacijama koje su pretrpjele četiri najčešće vrste napada – kompromis u oblaku, ransomware , lanac nabavke i kompromitacija poslovne e-pošte (BEC) – 56% je prijavilo loše rezultate pacijenata zbog kašnjenja u procedurama i testovima, 53% je zabilježilo porast medicinskih komplikacije procedure, a 28% kaže da su se stope smrtnosti pacijenata povećale – povećanje od pet procentnih poena u odnosu na prošlu godinu. Ovi nalazi pokazuju da se zdravstvene organizacije i dalje bore s ublažavanjem rizika koji ovi napadi predstavljaju za sigurnost i dobrobit pacijenata.
Izvještaj, koji je anketirao 648 praktičara informatičke tehnologije i sigurnosti u zdravstvenim organizacijama Sjedinjenih Država, otkrio je da će napadi na lanac nabavke najvjerovatnije utjecati na brigu o pacijentima. 68% ispitanika reklo je da su njihove organizacije imale napad na njihove lance nabavke, od kojih je 82% reklo da je to poremetilo brigu o pacijentima, što je povećanje sa 77% u 2023.
BEC predvodi grupu napada koji će najvjerovatnije rezultirati lošim ishodima zbog odloženih procedura i testova (69%), a zatim slijedi ransomware (61%), što je takođe najvjerovatnije rezultiralo dužim boravkom (58%) i povećanjem kod pacijenata koji su preusmjereni ili prebačeni u druge ustanove (52%).
“Naš treći godišnji izvještaj je napravljen kako bismo utvrdili da li zdravstvena industrija napreduje u smanjenju rizika cyber sigurnosti usmjerenih na čovjeka i poremećaja u brizi o pacijentima”, rekao je Larry Ponemon , predsjednik i osnivač Ponemon instituta.
“Treću godinu zaredom otkrili smo da četiri analizirana tipa napada pokazuju direktan negativan utjecaj na sigurnost i dobrobit pacijenata. Dobra vijest je, međutim, da se čini da zdravstvena industrija sve više prepoznaje važnost koju cyber sigurnost igra u ishodima pacijenata; u prosjeku, IT budžeti su se povećali, a manje IT praktičara ukazuje na to da budžet predstavlja izazov u održavanju potpunog funkcionisanja sajber-sigurnosti njihove organizacije”, dodao je Ponemon.
Najveća prijetnja cyber sigurnosti u zdravstvu
54% ispitanika vjeruje da su njihove organizacije ranjive ili vrlo ranjive na napade ransomware-a , što je pad sa 64% u 2023. Organizacije koje su imale ransomware napade (59% ispitanika) doživjele su u prosjeku četiri takva napada u posljednje dvije godine. Dok je manje organizacija platilo otkupninu (36% u 2024. u odnosu na 40% u 2023.), otkupnina je porasla za 10% na prosječnih 1.099.200 USD u poređenju sa 995.450 USD u prethodnoj godini.
Zabrinutost zbog nesigurnih mobilnih aplikacija (eHealth) porasla je i postala najveća prijetnja cyber sigurnosti u zdravstvu, povećavši se sa 51% u 2023. na 59% ispitanika u 2024. Kompromis u cloud-u/nalogu bio je druga najveća briga (55%), a razmjena tekstualnih poruka bio je najnapadniji alat za saradnju (61%), a slijedi e-mail (59%). Organizacije su manje zabrinute za mobilne uređaje u vlasništvu zaposlenih ili BYOD.
Više od devet od deset anketiranih organizacija imalo je najmanje dva incidenta gubitka podataka ili eksfiltracije koji su uključivali osjetljive i povjerljive podatke u posljednje dvije godine. 51% je reklo da je gubitak podataka ili incident eksfiltracije uticao na brigu o pacijentima ; od njih, 50% je iskusilo povećanu stopu mortaliteta, a 37% je vidjelo kašnjenja u procedurama i testovima koja su rezultirala lošim ishodima.
U protekle dvije godine, organizacije su doživjele u prosjeku 20 takvih incidenata sa zaposlenima kao primarnim uzrokom. Nemar zaposlenih zbog nepoštovanja pravila (31%), slučajni gubitak podataka (26%) i zaposleni koji šalju PII i PHI neželjenom primaocu putem e-pošte (21%) bili su prva tri.
Nedostatak jasnog rukovodstva je rastući problem
Dok 55% ispitanika kaže da nedostatak interne stručnosti u njihovim organizacijama predstavlja primarni faktor odvraćanja od postizanja snažnog položaja cyber sigurnosti, nedostatak jasnog vodstva kao izazova se značajno povećao od 2023. sa 14% na 49% ispitanika. Nedostatak budžeta smanjio se sa 47% na 40% ispitanika u 2024.
Nemarni zaposleni predstavljaju značajan rizik za zdravstvene organizacije. Dok više organizacija (71% 2024. naspram 65% ispitanika 2023.) poduzima korake za rješavanje rizika nedostatka svijesti zaposlenih o prijetnjama cyber sigurnosti, da li su one efikasne u smanjenju rizika? Gotovo tri od pet ispitanika (59%) navodi da sprovode redovne programe obuke i podizanja svijesti.
Po prvi put je proučavan uticaj koji vještačka inteligencija ima na sigurnost i brigu o pacijentima. 54% ispitanika kaže da su njihove organizacije ugradile vještačku inteligenciju u cyber sigurnost (28%) ili je ugradile i u cyber sigurnost i brigu o pacijentima (26%). 57% ovih ispitanika kaže da je vještačka inteligencija veoma efikasna u poboljšanju položaja cyber bezbednosti u organizacijama, a 36% koristi vještačku inteligenciju i mašinsko učenje da razume ljudsko ponašanje.
“Efikasan pristup cyber sigurnosti usmjeren na zaustavljanje napada usmjerenih na ljude ključan je za zdravstvene ustanove, ne samo za zaštitu povjerljivih podataka o pacijentima, već i za održavanje najvišeg kvaliteta medicinske njege,” rekao je Ryan Witt , predsjednik Savjetodavnog odbora zdravstvenih korisnika u Proofpointu.
“Ovaj izvještaj naglašava da je cyber sigurnost sigurnost pacijenata; zaštita zdravstvenih sistema i medicinskih podataka od cyber napada je ključna za osiguranje kontinuiteta u brizi o pacijentima i izbjegavanje prekida kritičnih usluga. I dok je svijest o sigurnosti temeljna, poticanje održive promjene ponašanja kroz programe prilagođene specifičnim ulogama i odgovornostima pomoći će podržati sigurnost organizacije i pacijenata,” zaključio je Witt.
Izvor:Help Net Security