Serangan siber terhadap infrastruktur layanan kesehatan semakin meningkat dalam jumlah dan kualitas dan semakin berhasil, sehingga mengedepankan kebutuhan untuk meningkatkan strategi pencegahan dan penanggulangan. Kami akan menjelaskan secara singkat bidang teknologi dan organisasi utama yang perlu segera diperhatikan dan diambil tindakan juga di tingkat anggaran.
Instrumentasi medis sekarang diliputi oleh digital dan oleh karena itu menjadi sasaran serangan yang semakin berbahaya karena alasan ini, harus dilindungi dengan tepat. Di sektor kesehatan, sebagian besar data yang diproses dapat diklasifikasikan sebagai sensitif dan digunakan dengan cara yang berbeda oleh jenis pengguna yang berbeda, dan untuk itu, data tersebut harus dikelola dan dilindungi dengan tindakan pencegahan dan perlindungan. Di bawah ini, kami juga akan membahas masalah layanan keamanan terkelola yang dapat menentukan dalam membantu organisasi kesehatan untuk meningkatkan efektivitas mereka dalam mencegah dan menanggapi risiko keamanan siber, keterampilan tinggi, sulit diperoleh tanpa dampak yang terlalu membebani struktur itu sendiri.
Evolusi dan gambaran terkini tentang risiko Cyber
Pada 2019, seorang wanita Alabama menggugat rumah sakit setempat karena gagal memberi tahu dia bahwa dia telah menerima serangan dunia maya sehari sebelumnya. Menurut wanita tersebut, selama persalinan, staf kesehatan tidak memiliki ketersediaan penuh alat digital yang diperlukan selama intervensi dan ini akan menyebabkan kerusakan sebelum dan sesudah kematian bayi baru lahir. Rumah sakit mengatakan serangan itu terjadi sehari sebelum kelahiran. Penuntut berpendapat bahwa wanita itu, jika dia diberitahu tentang serangan itu, dapat mengubah keputusannya, memilih struktur lain.
Episode penting lainnya, yang terjadi pada September 2020, melihat kematian seorang wanita akibat serangan dunia maya di Jerman. Serangan jenis ransomware membuat layanan penerimaan digital tidak tersedia dan oleh karena itu wanita tersebut terpaksa dipindahkan ke rumah sakit lain. Penundaan itu menyebabkan kematiannya.
Di Italia, keadaan seni tampaknya tidak jauh lebih menguntungkan bahkan jika sampai saat ini tidak ada kasus semacam ini.
Tepatnya, sepanjang tahun 2021 terdapat sebanyak 30 insiden, serangan, dan pelanggaran privasi yang berdampak pada dunia kesehatan, sebagaimana dilaporkan secara grafis oleh laporan 3Q 2021 dariObservatorium Keamanan Siber Exprivia. Banyak serangan yang tercatat di awal tahun, sementara insiden (serangan yang berhasil) pada tingkat yang lebih rendah.
Meski ada data positif dari segi keamanan, kabar baiknya berakhir di sana. Faktanya, selama 2Q 2021 dan 3Q 2021 kesenjangan antara serangan dan kecelakaan telah menyempit secara drastis.
Menganalisis data secara mendetail, peningkatan insiden keamanan ini mau tidak mau menunjukkan perhatian yang lebih besar dari para penjahat dunia maya dalam melakukan serangan yang semakin canggih dan, kedua, kurangnya perhatian dari pihak pengguna dan operator yang menjadi korban.
Selain kejahatan dunia maya, pelanggaran privasi yang dilaporkan oleh Penjamin cukup penting. Ada 12 laporan di paruh pertama tahun ini dan aspek ini, yang tentunya tidak dapat dilacak kembali ke kegiatan kriminal, menunjukkan refleksi yang kuat dari sudut pandang organisasi dan struktural.
Pertimbangan terakhir pada data di Italia yang dikumpulkan dan dianalisis olehObservatorium Keamanan Siber di Eksprivia, itu menyangkut teknik serangan yang digunakan terhadap struktur dan sistem kesehatan; teknik yang menyediakan eksploitasi kerentanan yang diketahui dan untuk mengikuti kampanye phishing dengan hasil yang fatal mendominasi.
Sementara di satu sisi kesejahteraan masyarakat tidak dapat mengabaikan kebutuhan untuk berinvestasi dalam perawatan kesehatan, membuatnya semakin efektif dari sudut pandang organisasi, membuat penggunaan terbaik dari teknologi yang disediakan pasar, di sisi lain tidak terpikirkan bahwa manfaat ini mungkin tidak melalui proses digitalisasi agresif yang disertai dengan penilaian berkelanjutan terhadap risiko TI yang terkait dengannya.
Semakin besar penggunaan layanan digital, semakin besar paparan layanan ini terhadap serangan dan insiden yang diakibatkannya.
Mengingat data yang kami miliki, oleh karena itu, bidang perhatian terbesar dan saran terkait mengikuti.
Kesadaran akan risiko yang terkait dengan serangan dunia maya
Meskipun penyerang memiliki kesempatan untuk mengeksploitasi teknik yang sangat canggih, insiden tersebut sering kali disebabkan oleh menjadi korban jebakan yang dilakukan melalui kampanye phishing yang sangat sepele bagi para profesional, tetapi mungkin kurang jelas bagi personel dengan tugas dan spesialisasi yang berbeda. Secara khusus, staf yang berspesialisasi dalam TI adalah persentase minimum dari mereka yang bekerja dalam kontak langsung atau tidak langsung dengan pasien (dokter, perawat ...). Oleh karena itu, tidak mengherankan bahwa phishing menyumbang sebagian besar metodologi serangan yang digunakan dalam perawatan kesehatan.
Oleh karena itu perlu untuk berinvestasi dalam program kesadaran. Firewall manusia seringkali menjadi penghalang paling efektif melawan kejahatan dunia maya.
Verifikasi tingkat kesadaran
Langkah selanjutnya, setelah meningkatkan kesadaran dan memperoleh kesadaran, adalah berinvestasi dalam mengendalikan kualitas pendekatan, oleh karena itu mengevaluasi bagaimana berbagai program kesadaran telah memperkenalkan perbaikan.
Sertifikasi
Sertifikasi keterampilan adalah praktik terbaik industri yang tidak dapat diabaikan bahkan di bidang perawatan kesehatan. Membuat program kesadaran mencapai sertifikasi pada platform yang sesuai (misalnya Open Badge 2.0) adalah konsekuensi dari ini.
Jangkauan dunia maya
Untuk memverifikasi seberapa tinggi kesadaran individu dan seberapa siap organisasi kesehatan untuk mengelola serangan dunia maya, dimungkinkan untuk membuat simulasi dan mengamati perilaku populasi. Praktik ini, yang dikenal sebagai jangkauan dunia maya, adalah umum di lingkungan TI dan di industri lain yang dapat menggunakan kerangka kerja yang dikembangkan secara ad hoc (misalnya TIBER-EU), tetapi harus dan dapat disesuaikan dengan dunia perawatan kesehatan.
Pembaruan perangkat dan kepercayaan nol
Sebagian besar serangan yang berhasil di industri perawatan kesehatan dapat dilacak ke kerentanan yang diketahui dan oleh karena itu merupakan insiden yang dapat dihindari. Ini seharusnya tidak mengejutkan karena batas dalam perawatan kesehatan sangat luas dan kontrol fisik sulit untuk dipantau karena perangkat TI individu sering digunakan. Memiliki satu manajemen infrastruktur yang mengidentifikasi dan menegakkan kebijakan, karena keragaman layanan yang ditawarkan, heterogenitas staf yang mengakses layanan, sangat sulit dan kompleks.
Kami juga harus menambahkan bahwa digitalisasi menyiratkan interkoneksi yang kuat antara layanan dan perangkat dan, oleh karena itu, kegagalan fungsi dapat menyebabkan masalah bagi pasien yang tampaknya tidak terlibat dalam kecelakaan.
Di Jerman, kematian pasien adalah akibat dari penyerangan terhadap layanan penerimaan pasien, yang tampaknya tidak terlalu kritis karena bersifat reversibel.
Perlindungan perangkat kesehatan digital
Perawatan kesehatan dan obat-obatan secara lebih umum, melihat semakin banyak alat elektronik untuk mendukung diagnostik, terapi, dan manajemen pasien. Penggunaan perangkat cerdas (IoT) adalah buktinya.
Alat-alat ini, yang semakin banyak jumlahnya di rumah sakit dan sering dipercayakan langsung kepada pasien, di satu sisi menawarkan kesempatan untuk meningkatkan kinerja petugas kesehatan secara kualitatif dan kuantitatif, di sisi lain, sayangnya, mereka mengekspos fasilitas kesehatan ke jenis cyber. serangan yang bisa sangat berbahaya dan menyebabkan kerusakan signifikan pada orang dan benda.
Perangkat IoT sangat menarik bagi penjahat dunia maya karena dapat digunakan sebagai dasar untuk serangan Distributed Denial of Service (DDoS). Tidak hanya itu, sering terjadi kasus di mana penjahat mengganggu layanan seluruh bangsal rumah sakit untuk meminta satu atau lebih uang tebusan (disebut ekstrorsi ganda).
Oleh karena itu, tidak dapat dihindari dan perlu untuk mulai merancang TI dan struktur jaringan sesuai dengan faktor-faktor risiko ini dan untuk memperkirakan instrumen pertahanan yang sesuai.
Mengadopsi kebijakan zero-trust juga menggunakan teknik segmentasi mikro jaringan diperlukan untuk mencegah perangkat yang tidak dilindungi secara memadai bersentuhan dengan orang dan perangkat lain yang memiliki kebijakan keamanan berbeda.
Privasi dan perlindungan data
Ketika kita berbicara tentang keamanan siber, kita sering merujuk pada kemungkinan suatu layanan terganggu. Namun, kita tidak bisa melupakan bahwa di Italia telah terjadi pelanggaran data yang berkaitan dengan privasi melebihi insiden keamanan di dunia kesehatan.
Ditambah lagi fakta bahwa penjahat sering tidak tertarik untuk mengganggu layanan, tetapi mencuri data (akhir-akhir ini, teknik pemerasan ganda juga berkembang di mana pertama data dicuri dan kemudian database dienkripsi sehingga Anda dapat memeras korban untuk mengembalikan data, tetapi juga untuk mengembalikan data).
Faktanya, jika data sangat penting untuk pelaksanaan layanan, dalam perawatan kesehatan, itu sangat penting dan menarik di pasar gelap. Secara umum, data bersifat "kritis" karena membantu mesin membuat pasien hidup, tetapi juga "sensitif". Jika di satu sisi data harus dilindungi dari kemungkinan gangguan berbahaya, di sisi lain perlu untuk menjamin tingkat perlindungan privasi yang tinggi.
Untuk alasan ini, diperlukan tingkat perlindungan yang berbeda, seperti penerapan teknik enkripsi yang sesuai baik dalam penyimpanan maupun selama transmisi, pembuatan profil yang cermat dari pengguna/sistem dan peran yang dapat mengaksesnya, dan terakhir, kontrol berkelanjutan atas aktivitas yang dapat mengidentifikasi tindakan curang baik dari aktor eksternal maupun internal organisasi.
Keunikan data pribadi di sektor kesehatan menyarankan strategi manajemen tertentu
Data kesehatan dicirikan oleh pemrosesan simultan oleh setidaknya tiga kategori makro pengguna dan layanan yang berbeda pada saat yang sama:
- mereka jelas dapat digunakan dari sudut pandang klinis untuk mendukung staf medis untuk mengelola kegiatan diagnostik dan terapeutik;
- sekaligus data tersebut juga digunakan untuk mendukung struktur operasional rumah sakit agar mampu mengelola operasional, biaya dan peralatan dengan baik;
- akhirnya, data kesehatan sering menjadi perhatian penelitian untuk tujuan statistik atau analitis, juga dalam hal ini dengan karakteristik penggunaan yang spesifik.
Ketiga pendekatan yang konvergen pada data yang sama pada kenyataannya tidak selalu memiliki kebutuhan untuk mengakses seluruh rangkaian informasi yang ada, juga tidak melakukannya dengan cara yang sama.
Misalnya pengobatan untuk kepentingan ilmiah mungkin tidak pernah perlu mengakses data identitas pribadi orang-orang yang penting untuk jenis pengobatan lain, sebaliknya pengobatan manajemen dan operasional umumnya tidak perlu masuk ke detail khusus pada aspek-aspeknya. analitik medis dari informasi yang berkaitan dengan orang tertentu, tetapi lebih sering berhenti pada faktor kuantitatif, seperti jumlah dan jenis tes yang berbeda, terlepas dari hasil tes itu sendiri.
Pertimbangan ini menyarankan untuk segera mengadopsi perlindungan data dan strategi akses yang memperhitungkan perbedaan penggunaan ini dan yang memungkinkan segmentasi data dan tingkat akses yang efisien dan efektif.
Oleh karena itu disarankan bahwa dari tahap perencanaan database, strategi untuk perlindungan informasi rahasia dan granular harus dipertimbangkan, justru karena tidak semua penggunaan memerlukan semua informasi secara keseluruhan. Meskipun ini mungkin tampak lebih kompleks pada awalnya daripada manajemen enkripsi monolitik, sebenarnya dengan mempertimbangkan seluruh siklus hidup data dan kebutuhan untuk kontrol akses, ini tidak terjadi karena profil akses individu lebih mudah untuk melindungi dan mengekspos lebih sedikit data. .
Segregasi preventif dan granularity dari cryptographic masking merupakan faktor penting dalam merancang strategi retensi perlindungan sendiri sesuai dengan penggunaan yang berbeda, memaparkan lebih sedikit informasi selama penggunaan dan kemudian menyederhanakan semua bagian kontrol dan perlindungan hasil pemrosesan. .
Organisasi keselamatan kesehatan
Struktur perawatan kesehatan bercita-cita untuk perlindungan dan kesejahteraan individu, oleh karena itu mereka adalah organisasi yang tersebar luas dan terstruktur di wilayah tersebut. Ini menyiratkan bahwa mereka pada dasarnya harus didistribusikan di wilayah dan gesit.
Fitur ini tentu saja menimbulkan beberapa tantangan dalam konteks manajemen keamanan siber, terutama karena keterampilan dan struktur keamanan yang diperlukan untuk dapat memenuhi peran dan melindungi dengan efektivitas terbaik, sulit diatur pada skala kecil dan kecil. struktur teritorial ukuran sedang, baik karena kurangnya keterampilan intrinsik di sektor keamanan saat ini, tetapi juga dan terutama karena pertimbangan ekonomi dan organisasi yang jelas.
Oleh karena itu dianggap tepat untuk mengevaluasi penerapan strategi organisasi yang mendukung berbagi dan kegunaan keterampilan yang sangat khusus yang lebih penting untuk sektor Cyber sehingga mereka dapat dibagikan oleh lebih banyak struktur dengan efisiensi dan ekonomi yang lebih besar.
Pendekatan berdasarkan layanan terkelola oleh karena itu harus dilihat dengan minat yang besar karena memungkinkan akses ke keterampilan terbaik pada banyak dan sektor spesifik yang berbeda dari sektor keamanan, bila dan bila perlu, tanpa mengambil beban ekonomi yang berlebihan dan tanpa memaksa tokoh internal. untuk kursus pelatihan komitmen yang berlebihan dalam hal pengetahuan dan keterampilan.
Keamanan Cyber secara struktural terus berkembang, dengan pendekatan baru dan strategi baru karena adopsi teknologi baru. Tidak terpikirkan bahwa itu adalah struktur yang gesit seperti rumah sakit yang dapat melengkapi dirinya dengan semua keterampilan Keamanan Cyber yang sekarang sangat diperlukan dalam struktur TI-nya.
Fabiano Vincenzo Malerba (Peneliti Keamanan Exprivia)
