4 неща, които трябва да знаете за кибератаките в здравеопазването

Неотдавнашната кибератака срещу колоса за фактуриране и плащане Change Healthcare разкри колко сериозни са уязвимостите в цялата здравна система на САЩ и предупредиха лидерите в индустрията и политиците за спешната нужда от по-добра дигитална сигурност.

Болници, здравни застрахователи, лекарски клиники и други в индустрията все по-често стават цели на значителни хакове, кулминация в нападението срещу Change, подразделение на гигантската UnitedHealth Group, на 21 февруари.

Атаката с ransomware срещу най-голямата клирингова къща в страната, която обработва една трета от всички досиета на пациенти, имаше широко разпространен ефект. Корекциите и заобиколните решения облекчиха някои проблеми, но доставчиците все още не могат да събират плащания за милиарди долари. Много по-малки болници и медицински кабинети все още имат проблеми с получаването на плащания повече от месец след като Change за първи път беше принуден да затвори много от своите системи.

Дори сега, много малко информация за точния характер и обхват на атаката е разкрит. UnitedHealth заяви, че е отпуснала повече от 3 милиарда долара на затруднени доставчици и че очаква повече от услугите на Change да бъдат достъпни през следващите седмици, след като върне системите онлайн.

често срещано в индустрията на здравеопазването. Ransomware атаките, при които престъпниците изключват компютърни системи, освен ако собствениците не платят на хакерите, са засегнали 46 болнични системи миналата година спрямо 25 през 2022 г., според фирмата за сигурност на данните Emsisoft. През последните години хакери също свалиха компании, които предоставят услуги като медицинска транскрипция и таксуване.

Колко голям е проблемът?

Консултантите по киберсигурност и правителствени служители последователно идентифицират здравеопазването като сектор от икономиката на САЩ, който е най-податлив на атаки, и също толкова част от критичната инфраструктура на нацията, колкото енергията и водата.

„Всички трябва да сме ужасени“, каза Д. Дж. Патил, ръководител на технологиите в застрахователната компания Devoted Health и бивш главен учен по данни на Федералната служба за политика в областта на науката и технологиите. Той и други подчертаха неадекватните защити в здравните системи на САЩ, въпреки драматични събития като атаката с ransomware през 2017 г., която заключи медицински досиета в Националната здравна служба във Великобритания, което доведе до масивни смущения за пациентите.

„Целият сектор е със силно недостиг на ресурси, що се отнася до киберсигурността и информационната сигурност“, каза Ерол Вайс, главен служител по сигурността на Центъра за споделяне и анализ на здравна информация, който той описа като виртуален квартален наблюдател за индустрията.

болничната смъртност нараства след нападение. Лекарите не могат да проверят предишни медицински грижи, да съобщават бележки на колеги или да проверяват алергиите на пациентите, например.

близките болници са принудени да приемат допълнителни пациенти.

„Киберсигурността се е превърнала във въпрос за безопасността на пациентите“, каза Стив Кейгъл, главен изпълнителен директор на Clearwater, фирма за спазване на правилата за здравеопазване.

В някои случаи хакерите са направили чувствителни пациенти публични здравни данни. Lehigh Valley Health Network отказа да плати откуп, който беше поискан от същото образувание, заподозряно в атаката срещу Change Healthcare. След това хакерите публикуваха онлайн голи снимки на пациенти, лекувани от рак на гърдата, според съдебно дело, заведено от една от жертвите. Стотици снимки на пациенти бяха откраднати.

Защо здравната индустрия е цел?

Медицинските досиета могат да определят многократно по-голяма сума пари, отколкото една открадната кредитна карта. И за разлика от кредитната карта, която може бързо да бъде анулирана, медицинската информация на дадено лице не може да бъде променена.

„Не можем да отменим вашата диагноза и да ви изпратим нова, ”, каза Джон Риги, национален съветник по киберсигурност и риск за Американската болнична асоциация, търговска група.

Wired.

Защо нима болниците и лекарите не правят повече?

Въпреки риска, по-малките болници и лекарски практики често нямат пари да плащат за повишени мерки за сигурност или експертиза за изследване на сериозни заплахи.

И по-старите технологии рядко са съвместими с най-новите стандарти за киберсигурност; смесица от свързани продукти и доставчици оставя дигиталните странични врати отворени, примамвайки хакери. Тъй като хаковете до голяма степен са били насочени към индивидуални болнични системи, преди промяната да бъде затруднена, групите са подценили риска си.

преразглеждане на разпоредбите за това как се споделят здравни данни и може да наложи по-ясни правила за цифрови мерки за сигурност за болниците.

>

Сенатор Рон Уайдън от Орегон, демократът, председател на финансовата комисия на Сената, изрази интерес към установяването на по-строги нови правила.

Актуализиране на системи навсякъде може да бъде скъпо, особено за по-малки организации, работещи с ограничени бюджети. Когато преди 20 години правителството изиска от болниците да отговарят на стандартите за киберсигурност, за да създадат електронни здравни досиета, то комбинира строги правила със сериозни финансови стимули.

Администрацията на Байдън поиска първоначални 800 милиона долара за подобряване на болничните системи като част от последното предложение за бюджет. Но не е ясно дали Конгресът ще може или желае да осигури финансиране за модернизацията днес.

Някои болници ще продължат да харчат пари за най-новия M.R.I. технологии или повече медицински сестри над строги цифрови защити.

„Без допълнителни ресурси за вдигане на летвата, тези доставчици на здравни услуги и тези платци на здравни услуги ще продължат да правят избор на плащат за лечение или за киберсигурност“, каза Илиана Питърс, бивш федерален здравен служител, специализиран в сигурността на данните, който сега е адвокат в Polsinelli, адвокатска кантора във Вашингтон, окръг Колумбия.