Helsearbeidere kan ikke nok om digital sikkerhet

Nils-Ove Gamlem er teknologisjef i Check Point Norge

SYNSPUNKT. Angrep mot helsevesenet har økt med 150 prosent bare den siste måneden. Brno universitetssykehus i Tsjekkia opplevde et lammende cyberangrep der hele IT-nettverket falt sammen den 19. mars.

Optimalisering av sykehusenes cybersikkerhetsposisjon kan ikke vente; det er viktig å handle raskt for å sikre pasientsikkerhet, konfidensiell informasjon og en kontinuerlig helsetjeneste.

I dag er sykehus tilkoblet som aldri før med sky-, mobil- og IoT-teknologier som forbedrer effektiviteten og kvaliteten på tjenesten. Imidlertid har disse endringene slått hull i den gode gamle sikkerhetsmuren, og skapt flere inngangsporter som hackere kan åpne. De norske helsemyndighetene har akkurat lansert Smittestopp-appen som henter personopplysninger fra befolkningen og kanskje kan skape en ny port som hackere kan åpne hvis de vil. Og det vil de.

Med omlag 40 millioner eksponerte pasientjournaler på verdensbasis i 2019, fortsetter antall brudd rettet mot helseorganisasjoner å øke hvert år. Løsepengevirus er også en utbredt trussel; i juni 2019 rapporterte fem amerikanske helseforetak løsepenge-angrep i løpet av en uke.

Pasientjournaler er kronjuvelen for hackere. Stjålne pasientopplysninger kan omsettes på det mørke nettet for opptil 1000 amerikanske dollar. Til sammenligning omsettes personnummer og kredittkortinformasjon vanligvis for mellom 1 og 110 dollar.

Elektroniske pasientjournaler inneholder informasjon som er vanskelig å gjenopprette når de er stjålet (medisinske diagnoser, historikk, forsikring, faktureringsinformasjon). Denne informasjonen blir ofte brukt av svindlere til å opprette falske ID-er, til å kjøpe medisinsk utstyr og medisiner, eller til å fremsette falske forsikringskrav.

Ansatte i helsevesenet mangler bevissthet om nettsikkerhet. Å redde liv og behandle pasienter, er den viktigste oppgaven for sykehusenes arbeidsstyrke. Digital sikkerhet er som oftest ikke det som står i fokus. Mangel på bevissthet rundt digital sårbarhet, kombinert med økende bruk av mobile enheter, nettbrett og bærbare datamaskiner, resulterer ofte i feil håndtering og lagring av pasientfiler, nedlastning og distribusjon av skadelige filer, og at man blir offer for nettfiske-angrep som for eksempel stjeler legitimasjon.

Selv om hackere er en stor trussel, skiller helsesektoren seg ut ved at de fleste sikkerhetsfeilene er menneskelige feil fra medarbeidere. 59 prosent av bruddene skjer internt, mens 42 prosent er assosiert med eksterne aktører, ifølge analyseselskapet Verizon. Tradisjonelle sikkerhetsmetoder er derfor farlig ineffektive for denne sektoren, siden de er basert på den utdaterte antakelsen om at man kan stole på alle innenfor det sikrede området.

Det er selvsagt store fordeler med å ta i bruk skybaserte journalsystemer, nettilkoblet medisinsk utstyr og mobile enheter i helsevesenet. Det bør vi ikke slutte med, men det må gjøres på en trygg måte. Løsningen er en sikkerhetsmodell for nulltoleranse. Den overvåker data effektivt, og flagger om noen har uvanlig eller unødvendig tilgang til data. På den måten kan man fortsette å jobbe smart og smidig, men i et trygt IT-system som er robust mot angrep fra de som ikke ønsker vårt alles beste.