การดูแลสุขภาพมีความสามารถที่จะเพิกเฉยต่อความปลอดภัยในโลกไซเบอร์หรือไม่?

By Posted on

ต่อไปนี้เป็นบทความแขกของ Dr. Guru Gurushankar, SVP & GM, วิทยาศาสตร์การดูแลสุขภาพและชีวิต โคเร็คเก้น

ภารกิจหลักของการดูแลสุขภาพคือเพื่อให้แน่ใจว่ามีความปลอดภัยของผู้ป่วยและให้การดูแลผู้ป่วยอย่างต่อเนื่อง อย่างไรก็ตามเนื่องจากการละเมิดข้อมูล UnitedThealthcare เมื่อเร็ว ๆ นี้มีผลกระทบต่อผู้ป่วยกว่า 190 ล้านคนตอนนี้จำเป็นต้องมีมากขึ้นกว่าเดิมสำหรับองค์กรด้านสุขภาพในการประเมินกลยุทธ์ความปลอดภัยของพวกเขา

คนเดียว 2024 อยู่ที่นั่น 387 เอกสารการโจมตีทางไซเบอร์ที่โรงพยาบาลด้วย 69% ของสิ่งอำนวยความสะดวกด้านสุขภาพที่ประสบปัญหาการหยุดชะงักในการดูแล การศึกษาจากมหาวิทยาลัยมินนิโซตาก็พบหนึ่ง การเสียชีวิตเพิ่มขึ้น 35% ในบรรดาผู้ป่วยที่ได้รับการยอมรับเป็นผลโดยตรงจากการโจมตีทางไซเบอร์ นอกจากนี้ระหว่างปี 2566 ถึง 2567 การบริหารอาหารและยาของสหรัฐอเมริกา (FDA) รายงานความทรงจำทั้งหมด 68 ความทรงจำเกี่ยวกับอุปกรณ์การแพทย์ที่เกี่ยวข้องกับช่องโหว่ความปลอดภัยทางไซเบอร์

การเรียกคืนเหล่านี้เริ่มต้นขึ้นเพื่อรับมือกับความเสี่ยงที่อาจเกิดขึ้นเช่นการเข้าถึงที่ไม่ได้รับอนุญาตการละเมิดข้อมูลและความผิดปกติของการทำงานของอุปกรณ์ที่อาจส่งผลต่อความปลอดภัยของผู้ป่วย การเปิดเผยเหล่านี้เน้นช่องว่างด้านความปลอดภัยในอุตสาหกรรมสุขภาพที่ผู้นำขององค์กรด้านสุขภาพจำเป็นต้องจัดการอย่างรวดเร็ว มาตรการรักษาความปลอดภัยในโลกไซเบอร์ที่เหนื่อยล้าไม่ได้เป็นเพียงแค่ “น่ารักไปยังสวน” อีกต่อไป แต่เป็นฟังก์ชั่น “ต้องมี” ที่ทำให้มั่นใจได้ถึงความปลอดภัยของผู้ป่วยและการทำงานของระบบโรงพยาบาลอย่างต่อเนื่อง

ในอดีตภาคการเงินเป็นจุดสนใจหลักสำหรับนักแสดงที่ไม่ดีเพื่อผลประโยชน์ทางการเงินที่รวดเร็วและตรงไปตรงมา ตอนนี้แฮกเกอร์ได้หันมาสนใจอุตสาหกรรมสุขภาพ เหตุผลคือ:

  • สิ่งอำนวยความสะดวกด้านสุขภาพไม่สามารถ ‘หยุดพัก’ พวกเขาไม่สามารถกำจัดเพื่อกู้คืนหลังจากเจ้าสาวและกลับมาหลังจากหน้าต่างเล็ก ๆ
  • พวกเขาเกี่ยวข้องกับการดูแลผู้ป่วยที่สำคัญซึ่งไม่สามารถขัดจังหวะได้
  • พวกเขาเกี่ยวข้องกับข้อมูลสุขภาพส่วนบุคคล (PHI) ที่ไม่มีใครต้องการถูกขัดผิว

ระบบการดูแลสุขภาพได้ จำกัด ภาคการเงินเมื่อมาถึงกฎระเบียบและการลงทุนด้านความปลอดภัยของไซเบอร์ทำให้เป็นเป้าหมายหลักสำหรับอาชญากรไซเบอร์ ปีที่แล้ว ค่าใช้จ่ายเฉลี่ยของการละเมิดการดูแลสุขภาพ สูงถึงเกือบ 10 ล้านเหรียญสหรัฐสูงกว่าการละเมิดข้อมูลในภาคการเงินซึ่งโดยเฉลี่ยอยู่ที่ 6.1 ล้านดอลลาร์ ด้วยโรงพยาบาลที่ต้องเผชิญกับข้อ จำกัด ทางการเงินและ ผลกำไรได้ กด Pandemic post-covid-19 ทำให้เกิดผลกระทบของการโจมตีทางไซเบอร์ที่มีราคาแพงเพียงแค่ความท้าทายเหล่านี้ ผู้เชี่ยวชาญด้านการดูแลสุขภาพจะต้องสามารถมุ่งเน้นไปที่การให้การดูแลผู้ป่วยอย่างต่อเนื่องโดยไม่ต้องมีภาระพิเศษของภัยคุกคามความปลอดภัยในโลกไซเบอร์

ความคิดริเริ่มของรัฐบาลในการปรับปรุงความมั่นคงทางไซเบอร์

รัฐบาลได้สังเกตและเริ่มต้นมาตรการรักษาความปลอดภัยที่แข็งแกร่งมากขึ้นในสถานพยาบาล โดยเฉพาะ กรมอนามัยและบริการมนุษย์ (HHS) ได้แนะนำการอัปเดตเมื่อเร็ว ๆ นี้ สำหรับกฎความปลอดภัย HIPAA ที่ต้องการการอัพเกรดความปลอดภัยเฉพาะรวมถึงการตรวจสอบการปฏิบัติตามกฎระเบียบการวิเคราะห์ความเสี่ยงและการใช้การแบ่งส่วนเครือข่ายระหว่างคนอื่น ๆ เพื่อปกป้องข้อมูลผู้ป่วยได้ดีขึ้น

ในปี 2566 องค์การอาหารและยายังได้แนะนำกฎระเบียบใหม่เพื่อปรับปรุงความปลอดภัยทางไซเบอร์ของอุปกรณ์การแพทย์ สิ่งนี้ต้องการให้อุปกรณ์การแพทย์ได้รับการออกแบบพัฒนาและบำรุงรักษาด้วยมาตรการรักษาความปลอดภัยไซเบอร์ที่เฉพาะเจาะจงเพื่อป้องกันการโจมตีทางไซเบอร์ที่อาจเกิดขึ้น แม้ว่าสิ่งนี้จะปรับปรุงการพัฒนาและความปลอดภัยของอุปกรณ์การแพทย์ในอนาคต แต่ก็ไม่ได้ใช้กับหน่วยที่เก่ากว่าในโรงพยาบาล ความคิดริเริ่มเหล่านี้เป็นขั้นตอนที่สำคัญในการเสริมสร้างการดูแลสุขภาพต่อภัยคุกคามทางไซเบอร์เพื่อให้มั่นใจว่าการปกป้องข้อมูลผู้ป่วยและโครงสร้างพื้นฐานทางการแพทย์ที่ดีขึ้น

จะเป็น “การละเมิด” ได้อย่างไร

เกือบทุกองค์กรได้ดำเนินการเพื่อหยุดการละเมิด องค์กรด้านสุขภาพทั้งหมด 387 แห่งที่ถูกทำลายภายในปี 2567 ได้ลงทุนหลายร้อยล้านดอลลาร์ในการรักษาความปลอดภัยในโลกไซเบอร์ อย่างไรก็ตามเรื่องนี้พวกเขาแตกอย่างไร/ทำไม?

วิธีการที่ใช้เส้นรอบวง (ไฟร์วอลล์, EDRs, NACs ฯลฯ ) ได้รับการปรับใช้เพื่อให้แน่ใจว่ามีเพียงคนที่เหมาะสมที่ได้รับอนุญาตที่เหมาะสมเท่านั้นที่สามารถเข้าถึงได้ (การจราจรทางเหนือ-ใต้) อย่างไรก็ตามเมื่อการเข้าถึง (การเข้าถึงที่ไม่ได้รับอนุญาตได้รับโดยใช้ข้อมูลรับรองที่ได้รับอนุญาต) แฮ็กเกอร์สามารถย้ายได้อย่างอิสระภายในเครือข่าย (การรับส่งข้อมูลตะวันออก-ตะวันตก)

จากปี 2023 ภัยคุกคามภายในมีหน้าที่รับผิดชอบประมาณ 31% ของการละเมิดข้อมูลทั้งหมดแสดงให้เห็นว่าเกือบหนึ่งในสามของการละเมิดมาจากข้อมูลรับรองที่ได้รับอนุญาตสำหรับบุคคลในองค์กรเช่นพนักงานผู้รับเหมาหรือผู้ร่วมธุรกิจ นอกจากนี้ 55% ของเหตุการณ์ที่เกี่ยวข้องกับคนวงในมาจากความล้มเหลวของพนักงานรวมถึงการกระทำเช่นข้อมูลที่ละเอียดอ่อนที่ผิดพลาดหรือตกเป็นเหยื่อของการโจมตีด้วยฟิชชิ่งที่การโจมตีที่แข็งแกร่งที่สุดของเส้นรอบวงจะไม่สามารถหยุดได้

สิ่งนี้เน้นชิ้นส่วนสำคัญที่ขาดในปัจจุบันในองค์กรส่วนใหญ่ ในขณะที่เครื่องมือขั้นสูงหลายอย่างอยู่ในสถานที่เพื่อตรวจสอบและอนุญาตให้มีการจราจรทางทิศเหนือ-ใต้ไม่มีอะไรที่จะป้องกันการจราจรทางตะวันออก-ตะวันตก (เช่นการเคลื่อนไหวด้านข้าง) มีการลงทุนเพื่อป้องกันการละเมิด แต่พวกเขาจะต้องได้รับการเสริมด้วยการลงทุนที่รวมถึงการละเมิด – เช่น การป้องกันการเคลื่อนไหวด้านข้างผ่าน microsegationation วิธีการป้องกันปริมณฑลแบบดั้งเดิมหยุดการละเมิดในขณะที่การเกิด microseging มีการละเมิด

การรวมกันของการหยุดนี้ และ มีการละเมิดส่งผลให้เกิดการละเมิดซึ่งอนุญาตให้มีการรับส่งข้อมูลเครือข่ายตะวันออก-ตะวันตกเท่านั้นและการรับส่งข้อมูลที่ไม่ได้รับอนุญาตอื่น ๆ ทั้งหมดจะถูกปฏิเสธสถานะความน่าเชื่อถือที่แท้จริง การรวมกันของโซลูชัน EDR กับโซลูชั่น microsegmentation เป็นวิธีที่ง่ายและสง่างามในการบรรลุความไว้วางใจเป็นศูนย์ โซลูชั่นดังกล่าวทำให้มั่นใจได้ว่าองค์กรต่างๆจะได้รับผลตอบแทนจากการลงทุน EDR ของพวกเขาโดยการรวมการรวมตัวกันของการรวมตัวกันซึ่งส่งผลให้เกิดการละเมิดอย่างเต็มรูปแบบ

องค์กรต้องสมมติว่าเครือข่ายของพวกเขาจะถูกทำลายในที่สุดและย้ายโฟกัสจาก การป้องกันการละเมิด ถึง การละเมิดเช่นการดำเนินงานอย่างต่อเนื่องและการจัดตั้งความต่อเนื่องทางธุรกิจแม้ในแง่ของการละเมิด ผ่านความคิดนี้ของ การละเมิด CIO/CISO/CFO/CEO จะได้รับความอุ่นใจและให้แน่ใจว่าโรงพยาบาลให้การดูแลผู้ป่วยอย่างต่อเนื่อง

ความปลอดภัยด้านสุขภาพเป็นความท้าทายที่ไม่เหมือนใครสำหรับผู้นำด้านไอทีและผู้นำธุรกิจเนื่องจากผู้ให้บริการจะต้องรักษาความปลอดภัยระบบ EHR อุปกรณ์การแพทย์และเทคโนโลยีที่สำคัญอื่น ๆ จากการคุกคามภายนอกและภายใน เช่น เป็นระบบมหากาพย์ที่ใช้กันอย่างแพร่หลายในการควบคุมการลงทะเบียนสุขภาพอิเล็กทรอนิกส์ (EHRs) และข้อมูลผู้ป่วยเป้าหมายหลักสำหรับการโจมตีทางไซเบอร์

เพื่อปกป้องระบบมหากาพย์และโมดูลต่าง ๆ ที่เป็นบ้านข้อมูลผู้ป่วยองค์กรด้านสุขภาพจะต้องลดผลกระทบของการโจมตีและป้องกันการเคลื่อนไหวด้านข้างของมัลแวร์ภายในเครือข่ายของพวกเขา ซึ่งอาจรวมถึงการแบ่งส่วนของ vertebrae ข้อมูลโฮสติ้งโมดูลมหากาพย์และเซิร์ฟเวอร์แอปพลิเคชันฐานข้อมูลแคชเวิร์กโหลดและระบบเสริมในกลุ่ม/กลุ่มที่ได้รับการป้องกันน้อยลงจัดระเบียบอย่างเป็นระบบตามบทบาทฟังก์ชันตำแหน่งและคุณลักษณะอื่น ๆ สิ่งนี้จะสร้างเครือข่ายความน่าเชื่อถือที่ไม่มีอยู่โดยธรรมชาติมีการละเมิดการละเมิด

นอกเหนือจากแอพพลิเคชั่นหลักอุปกรณ์การแพทย์อุปกรณ์ IOMT เวิร์กสเตชันที่ใช้ร่วมกันและระบบ Windows รุ่นเก่าจะต้องได้รับการปกป้องโดยไม่มีการรบกวนในเวิร์กโฟลว์ประจำวันและการดูแลผู้ป่วย ไปเป็นวันที่การแบ่งส่วน OT microse ไม่เคยได้ยินมาก่อน ทุกวันนี้การแบ่งส่วน OT microsis สามารถทำได้ผ่าน Portguard และการดำเนินการควบคุมแบบไม่เป็นตัวแทนของการควบคุมทางการเมืองที่ขับเคลื่อนด้วยทางการเมืองสำหรับสินทรัพย์ที่สำคัญเหล่านี้โดยไม่คำนึงถึงวินเทจของพวกเขา สิ่งนี้จะช่วยป้องกันไม่ให้นักแสดงที่ไม่ดีขยายมัลแวร์เกินจุดเริ่มต้นแรกของพวกเขาในขณะที่ช่วยให้อุปกรณ์การแพทย์พูดคุยกับซัพพลายเออร์ OEM ของพวกเขาสำหรับแพตช์การอัปเดตซอฟต์แวร์การอัปเดตความปลอดภัย ฯลฯ

การละเมิดเครือข่ายให้ความยืดหยุ่นในการดำเนินงานของโรงพยาบาล

ในกรณีของการดำเนินการตามนโยบายของศูนย์ความมั่นใจและการสร้างเครือข่ายองค์กรด้านสุขภาพสามารถยกระดับความปลอดภัยของพวกเขาและในขณะเดียวกันก็ปฏิบัติตามและปฏิบัติตามเอกสารการปฏิบัติตามกฎ HIPAA ใหม่ แม้ในกรณีที่ไม่มีกฎระเบียบวิธีการที่ไม่เหมาะสมเช่นนี้ทำให้มั่นใจได้ว่าสถานพยาบาลดำเนินการอย่างราบรื่นให้การดูแลทางคลินิกอย่างต่อเนื่อง การป้องกันและมีความผิดทางไซเบอร์ของโรงพยาบาลส่งผลให้เกิดการรบกวนในการดูแลทางคลินิกความผิดปกติทางธุรกิจการสูญเสียทางการเงินและความเสียหายต่อชื่อเสียง – เป็นสิ่งจำเป็นที่องค์กรด้านสุขภาพไม่สามารถเพิกเฉยได้อีกต่อไป

ในที่สุดการดูแลสุขภาพไม่สามารถเพิกเฉยต่อความปลอดภัยในโลกไซเบอร์ ด้วยการโจมตีที่เพิ่มขึ้นเกี่ยวกับการดูแลสุขภาพเป็นเวลาที่จะดำเนินการในขณะนี้ ด้วยความพร้อมใช้งานที่เพิ่มขึ้นของโซลูชั่นการสร้างสรรค์ microsegational ที่เป็นนวัตกรรมและ/หรือการรวมกันของ EDR และโซลูชั่น microstments จึงมีโอกาสที่ดีต่อหน้าลูกค้าด้านสุขภาพ เวลาในการแสดงคือตอนนี้!

เกี่ยวกับ Guru Gurushankar

Dr. Guru Gurushankar เป็นผู้นำระดับโลกด้านการดูแลสุขภาพและวิทยาศาสตร์เพื่อชีวิตที่มีประสบการณ์ 30 ปีในอุตสาหกรรมสุขภาพ ปัจจุบันเขาให้บริการที่ Colortokens โดยมุ่งเน้นที่การใช้ความรู้ด้านสุขภาพที่กว้างขวางของเขาเพื่อสนับสนุน บริษัท ในการให้บริการแนวดิ่งอุตสาหกรรมโดยเฉพาะอย่างยิ่งการมุ่งเน้นไปที่การดูแลสุขภาพและลูกค้าวิทยาศาสตร์เพื่อชีวิตทั่วโลก ก่อนหน้านี้เขาเป็นผู้นำการพัฒนา บริษัท ที่ Royal Philips, การดูแลกลยุทธ์, M&A และการเป็นหุ้นส่วน นอกจากนี้เขายังเป็นผู้นำการปฏิบัติของอุปกรณ์การแพทย์ของ AWS Healthcare และทำหน้าที่เป็น VP & GM ที่ Cardinal Health ก่อนหน้านี้เขามีบทบาทสำคัญที่ Johnson & Johnson และ GE Healthcare Dr. Gurushankar มีปริญญาเอก จากมิชิแกนและ MBA จาก Wharton

ดูแหล่งที่มา

Leave a Reply

Your email address will not be published. Required fields are marked *