ต่อไปนี้เป็นบทความแขกของ Lorren Pettit, MS, MBA, CEO และอธิการบดีที่ Gerotrend Research
“ข้อมูลผู้ป่วยเป็นเหมืองทองคำสำหรับอาชญากรไซเบอร์ดังนั้นจึงไม่น่าแปลกใจที่นักแสดงที่ไม่ดีมุ่งเป้าไปที่องค์กรด้านสุขภาพอย่างจริงจัง” เดวิดฟินน์อธิการบดีแห่งความสมบูรณ์ของสุขภาพไซเบอร์
ล่าสุด Oracle Health Data -เหนือกว่าในกรณีที่ระบบของ Cyber Criminal เป็นผู้ขโมยข้อมูลผู้ป่วยจากผู้ให้บริการด้านการดูแลสุขภาพของสหรัฐอเมริกาหลายรายแสดงให้เห็นถึงตัวอย่างล่าสุดที่น่าทึ่งขององค์กรสุขภาพที่ประสบความสำเร็จในการบุกรุกโดยอาชญากรไซเบอร์
เนื่องจากสาเหตุและผลกระทบที่แน่นอนของการละเมิดสุขภาพของ Oracle กลายเป็นที่รู้จักกันอย่างแพร่หลายมากขึ้นสิ่งหนึ่งที่ชัดเจนถึงฟินน์: การเปลี่ยนแปลงภูมิทัศน์ความเสี่ยงในโลกไซเบอร์ “นักแสดงที่ไม่ดีมีความนิยมมากขึ้นในการใช้ประโยชน์จากช่องโหว่ของซอฟต์แวร์ที่พบในโซลูชั่นภายนอกที่องค์กรสุขภาพใช้เพื่อเข้าถึงข้อมูลผู้ป่วยที่เป็นเจ้าข้าวเจ้าของ”
พิจารณาสิ่งต่อไปนี้
สุขภาพ PIH (ธันวาคม 2567) กลุ่มไอทีของ Ransomware Infiltrated PIH Health Hospital ระบบไอทีของบุคคลที่สามของ PIH Health, ล็อคการเข้าถึงบันทึกของผู้ป่วย 17 ล้านคนทำให้ผู้ป่วยที่ไม่สามารถเข้าถึงการรักษาพยาบาลหรือใบสั่งยาได้
United Health Group (เมษายน 2024) การโจมตีทางไซเบอร์ที่เกิดจากช่องโหว่ในระบบการออกใบแจ้งหนี้ที่สามทำให้แฮกเกอร์สามารถละเมิดระบบของ United Health และเข้าถึงรายการทางการแพทย์ของผู้ป่วยหลายล้านคนซึ่งส่งผลกระทบต่อการจัดหาบริการทางการแพทย์และการรักษาข้อกำหนดการประกันภัย
เปลี่ยนการดูแลสุขภาพ (กุมภาพันธ์ 2024) การใช้ประโยชน์จากการควบคุมการเข้าถึงที่อ่อนแอในระบบผู้ให้บริการที่สามที่ใช้ในการเปลี่ยนการดูแลสุขภาพแฮกเกอร์ได้รับการเข้าถึงบันทึกผู้ป่วย 145 ล้านรายซึ่งส่งผลให้เกิดการหยุดชะงักและการชำระเงินอย่างกว้างขวางในระบบสุขภาพ
กรณีเล็ก ๆ น้อย ๆ เหล่านี้ได้รับการสนับสนุนจากการค้นพบจากปัจจุบันมากที่สุด การละเมิดข้อมูล Verizon ของการศึกษา– ในรายงานปี 2567 นักวิจัยพบการเชื่อมต่อระหว่างโซ่อุปทานซอฟต์แวร์ (ซอฟต์แวร์บุคคลที่สาม) คิดเป็น 15% ของการละเมิดในปี 2567 เพิ่มขึ้นจาก 9% ในปี 2565 และ 2023 และ 4% ในปี 2564
ทำไมตอนนี้?
การละเมิดซอฟต์แวร์ที่สาม -Party มักจะเรียกว่าการโจมตีห่วงโซ่อุปทานเกิดขึ้นเมื่อช่องโหว่ด้านความปลอดภัยหรือการโจมตีทางไซเบอร์ในผู้ให้บริการรายที่สามซัพพลายเออร์ผู้รับเหมาหรือพันธมิตรนำไปสู่การประนีประนอมหรือขโมยข้อมูลที่ละเอียดอ่อนซึ่งเป็นขององค์กรที่ใช้โซลูชันซอฟต์แวร์ของผู้ขายภายนอก แม้ว่าผู้เชี่ยวชาญด้านความปลอดภัยในโลกไซเบอร์ที่ระบุช่องโหว่ของบุคคลที่สามเป็นภัยคุกคามต่อการตรวจสอบและควบคุมเขาชี้ไปที่เหตุผลที่อาจเกิดขึ้นไม่กี่เหตุผลว่าทำไมอาชญากรไซเบอร์จึงมุ่งไปที่ซอฟต์แวร์ของบุคคลที่สามในขณะนี้
การเสริมแรงไซเบอร์ขององค์กรขนาดใหญ่
องค์กรขนาดใหญ่ที่มี “กระเป๋าลึก” ที่อาชญากรไซเบอร์ต้องการเจาะได้รับเงินทุนเพิ่มมากขึ้นโปรแกรมความปลอดภัยในโลกไซเบอร์ที่แข็งแกร่งยิ่งขึ้นเพื่อรวมศูนย์ปฏิบัติการรักษาความปลอดภัยที่ได้รับการจัดการอย่างเต็มที่และการตรวจสอบความปลอดภัยที่มากขึ้น เพื่อหลีกเลี่ยงอุปสรรคเหล่านี้อาชญากรไซเบอร์ได้เปลี่ยนความสนใจไปที่ผู้ให้บริการซอฟต์แวร์ที่สามเพื่อใช้ประโยชน์จากพวกเขาว่าเป็น ‘ม้าโทรจัน’ ที่ไม่รู้ว่าเป็นวิธีการแทรกซึมและประนีประนอม บริษัท ที่มีป้อมปราการขนาดใหญ่
ข้อกำหนดด้านความปลอดภัยตามสัญญาที่ จำกัด จากผู้ให้บริการที่มีความละเอียดที่สาม
ในอดีตองค์กรขนาดใหญ่มีแนวโน้มที่จะวางความเชื่อมั่นตาบอดในกองกำลังรักษาความปลอดภัยของผู้ให้บริการที่สามและล้มเหลวในการประเมินความเสี่ยงที่เกี่ยวข้องกับซัพพลายเออร์เหล่านี้ มีข้อเสนอแนะว่า บริษัท ขนาดใหญ่กำลังก้าวไปสู่ข้อกำหนดด้านความปลอดภัยตามสัญญาที่เข้มงวดเพื่อรวมข้อกำหนดด้านความปลอดภัยทางเทคนิคและข้อกำหนดสำหรับการตรวจสอบอิสระประจำปี อย่างไรก็ตามการปฏิบัตินี้ไม่ได้เป็นสากลและยังคงนำเสนอเป็นเหตุผลที่มีผลสำหรับนักแสดงที่ไม่ดี
ความซับซ้อนที่เพิ่มขึ้นของโซลูชั่นที่สาม
เนื่องจากโซลูชันผู้ให้บริการซอฟต์แวร์มีความซับซ้อนมากขึ้นองค์กรมักเผชิญกับความท้าทายในการติดตามว่าข้อมูลของพวกเขาถูกส่งไปที่ใด ข้อมูลที่เป็นกรรมสิทธิ์หรือละเอียดอ่อนสามารถแบ่งปันได้อย่างง่ายดายกับซัพพลายเออร์และผู้รับเหมาช่วงว่าองค์กรที่ทำสัญญาอาจรู้เพียงเล็กน้อยหรือไม่มีเลยจนกว่าจะสายเกินไป
เพิ่มการรวมพันธมิตรภายนอกเข้ากับโซลูชั่น AI
การปฏิวัติปัญญาประดิษฐ์ (AI) ในการดูแลสุขภาพได้สร้างอุตสาหกรรมฮัทของ บริษัท ซอฟต์แวร์ที่เร่งรีบเพื่อนำผลิตภัณฑ์ของพวกเขาออกสู่ตลาด ในขณะที่นักพัฒนาใน บริษัท เริ่มต้นจัดลำดับความสำคัญของการสร้างและการเปิดตัวผลิตภัณฑ์ของพวกเขามันไม่ใช่เรื่องแปลกสำหรับพวกเขาที่จะละเลยอย่างถูกต้องในการควบคุมหรือจัดเรียงรหัสที่รู้จักกันดี กับองค์กรชั้นนำที่รักษาความชุกของข้อผิดพลาดของรหัส ประมาณ 40%ไม่สามารถหา บริษัท ขนาดเล็กเหล่านี้ได้หลายแห่งที่ต่อสู้กับช่องโหว่รหัสที่รู้จักสองครั้งอัตรานี้ (หรือมากกว่า)
สิ่งที่ผู้นำสามารถทำได้เพื่อป้องกันการละเมิดที่สาม
การควบคุมความเสี่ยงที่มีประสิทธิภาพจากผู้ขายซอฟต์แวร์ของบุคคลที่สามอาจเป็นเรื่องยาก นี่เป็นเรื่องจริงโดยเฉพาะอย่างยิ่งสำหรับองค์กรขนาดใหญ่ที่มีห่วงโซ่อุปทานที่ครอบคลุม ที่กล่าวว่าฟินน์ตั้งข้อสังเกตว่ามีขั้นตอนที่ผู้นำสามารถใช้เพื่อทำความเข้าใจสภาพแวดล้อมความเสี่ยงของพวกเขาได้ดีขึ้นและลดความเสี่ยงของผู้ขายที่สาม
รวมความปลอดภัยของข้อมูลเป็นส่วนหนึ่งของกระบวนการจัดซื้อและการเลือก
เนื่องจากโครงสร้างพื้นฐานจะรวมเข้ากับบุคคลภายนอกมากขึ้นเรื่อย ๆ จึงเป็นสิ่งสำคัญที่การพิจารณาความปลอดภัยของข้อมูลจะได้รับการพิจารณาในระหว่างกระบวนการจัดหาและการคัดเลือกของซัพพลายเออร์ ซัพพลายเออร์จะต้องมอบให้กับซัพพลายเออร์ที่มีฟังก์ชั่นความปลอดภัยข้อมูลที่ตรวจพบได้รวมถึงวิธีการทำงานกับลูกค้าที่มีความต้องการด้านความปลอดภัยของข้อมูลที่ซับซ้อนและวิธีที่พวกเขาปฏิบัติตาม HIPAA, GDPR ฯลฯ
กำหนดให้ซัพพลายเออร์ต้องตรวจสอบการปฏิบัติด้านความปลอดภัยของข้อมูลอย่างอิสระ
เครื่องมือการประเมินความเสี่ยงที่สามและ/หรือการรับรองสามารถเป็นประโยชน์อย่างมากในการพิจารณาว่าซัพพลายเออร์ใช้มาตรการรักษาความปลอดภัยข้อมูลที่เหมาะสมหรือไม่ พิจารณาต้องปฏิบัติตามมาตรฐานภายนอกเช่น SOC 2 หรือ NIST Cybersecurity Framework (CSF– ด้วยข้อผิดพลาดของรหัสการแพร่กระจายในองค์กรสูงมากซัพพลายเออร์จะต้องถูกกดในกระบวนการที่พวกเขามีในสถานที่เพื่อรักษาความปลอดภัย ‘พลัง’ ในการฝึกการเข้ารหัสของพวกเขา
ตรวจสอบบุคคลที่สามอย่างต่อเนื่อง
เมื่อภูมิทัศน์ของพีทพัฒนาช่องโหว่ใหม่และการโจมตีเวกเตอร์สามารถเกิดขึ้นได้อย่างไม่คาดคิด การทบทวนเป็นระยะอาจทำให้เกิดช่องว่างที่สำคัญในการประเมินความเสี่ยง แต่การตรวจสอบโดยตรงนำมาซึ่งการมองเห็นอย่างเต็มที่ในการปฏิบัติด้านความปลอดภัยของผู้ขายและช่องโหว่ที่อาจเกิดขึ้น
ความปลอดภัยในโลกไซเบอร์เป็นความรับผิดชอบร่วมกัน
ในขณะที่อาชญากรไซเบอร์มุ่งเป้าไปที่ช่องโหว่ของซอฟต์แวร์ของผู้ให้บริการที่สามเป็นสิ่งสำคัญที่องค์กรด้านการดูแลสุขภาพยอมรับว่าตำแหน่งความปลอดภัยไซเบอร์ของพวกเขาขยายเกินกว่าโครงสร้างพื้นฐานของตนเองและเข้าสู่สภาพซัพพลายเออร์ของพวกเขา ด้วยการทำงานกับซัพพลายเออร์เพื่อประเมินโปรโตคอลความปลอดภัยเชิงรุกใช้กลยุทธ์การจัดการความเสี่ยงอย่างกว้างขวางและตรวจสอบการเข้าถึงซัพพลายเออร์อย่างต่อเนื่องช่องโหว่ที่อาจเกิดขึ้นสามารถลดได้อย่างมีประสิทธิภาพ
การให้สิ่งสำคัญนี้ไม่สามารถใช้งานได้อีกต่อไปฟินน์เตือน เพื่อลดความเสี่ยงเหล่านี้องค์กรด้านสุขภาพจำเป็นต้องใช้โปรแกรมการจัดการความเสี่ยงที่สามที่แข็งแกร่ง (TPRM) โปรแกรม ซึ่งรวมถึงการประเมินตำแหน่งความปลอดภัยของซัพพลายเออร์การบังคับใช้ข้อกำหนดด้านความปลอดภัยในสัญญาและการรักษาความสามารถในการมองเห็นและการควบคุมการเข้าถึงเครือข่ายของซัพพลายเออร์ สิ่งเหล่านี้เป็นเรื่องยากที่จะบรรลุจากหน้าผู้ให้บริการทุกคนต้องการสิ่งที่พวกเขาต้องการดังนั้นคุณต้องการทุกคนที่เกี่ยวข้องในการซื้อการซื้อหรือการใช้งานฮาร์ดแวร์หรือซอฟต์แวร์ใด ๆ
“บางสิ่งที่องค์กรด้านสุขภาพจำนวนมากสามารถรับรองได้ในปีที่ผ่านมา” ฟินน์กล่าว
เจ็บ Lorren Pettit
Lorren Pettit, MS, MBA, CEO และอธิการบดีของ Gerotrend Research เป็นผู้อำนวยการด้านการศึกษาตลาดสุขภาพดิจิทัล/ผู้อำนวยการฝ่ายบริหารและผู้เขียนตำราสุขภาพดิจิทัลสามเล่ม ด้วยการจ้างงานที่ขยายออกไปในองค์กรที่มีชื่อเสียงที่สุดของการดูแลสุขภาพ (Press Ganey, HIMSS และ CHIME) “ลายนิ้วมือ” ของ Pettit ได้สร้างโปรแกรมและผลิตภัณฑ์ที่สำคัญที่สุดที่ส่งผลกระทบต่อการจัดหาการดูแลสุขภาพในสหรัฐอเมริกา
รับการดูแลสุขภาพใหม่และเรื่องราวไอทีที่ส่งมอบทุกวัน
เข้าร่วมผู้เชี่ยวชาญด้านการดูแลสุขภาพและการดูแลสุขภาพหลายพันคนที่สมัครรับจดหมายข่าวรายวันของเรา