Kariera lekarza może być bardzo satysfakcjonującą ścieżką – dla tych, którzy chcą coś zmienić w społecznościach, którym służą, kursy takie jak Program ABSN w Internecie zapewniają możliwość wysokiej jakości profesjonalnej ścieżki do klinik i szpitali w całej Ameryce.
Często podczas pracy w szpitalach i klinikach konieczne jest ukończenie pewnego poziomu szkoleń w miejscu pracy, takich jak ciągłe uczenie się, znajomość zasad i procedur firmy oraz interakcja i używanie systemów w sieci szpitalnej . Umiejętności te nabywa się zwykle w trakcie pracy, a w ostatnich latach nabierają coraz większego znaczenia, ponieważ cyberataki i włamania stały się normą nawet w przypadku najbezpieczniejszej infrastruktury szpitalnej.
Ponieważ sektor opieki zdrowotnej w dalszym ciągu polega na technologii w celu zapewnienia wysokiej jakości opieki nad pacjentami, w jaki sposób personel szpitala i administratorzy sieci mogą połączyć siły, aby zapewnić całościową, zarządzaną reakcję na zagrożenia cybernetyczne? Odpowiedź, jak się okazuje, może nie być tak prosta, jak początkowo sądzono. Przyjrzyjmy się, w jaki sposób ewolucja w przestrzeni cyberbezpieczeństwa podważa tradycyjne normy dotyczące roli bezpieczeństwa infrastruktury wśród pracowników oraz w jaki sposób połączenie świadomości, technologii i zaangażowania politycznego musi współdziałać, aby stawić czoła wyzwaniom jutra już dziś.
Zagrożenia danych w epoce cyfrowej
Dlaczego cyberbezpieczeństwo jest tak istotnym problemem we współczesnych szpitalach? Zazwyczaj udzielana odpowiedź dotyczy ich roli jako ośrodka aktywności – szpitale są często otwarte dwadzieścia cztery godziny na dobę, siedem dni w tygodniu – od oddziałów ratunkowych po oddziały szpitalne – to tętniące życiem miasto.
Cyberataki mogą mieć niezwykle destrukcyjne skutki – ograniczać zdolność szpitali do przyjmowania nowych pacjentów, zakłócać ich zdolność do zapewnienia właściwej opieki zdrowotnej obecnym pacjentom i ogromnie obciążać sieci szpitali, które i tak znajdują się pod presją.
Niedawny cyberatak na Trójmiejskie Centrum Medyczne w Kalifornii pokazał, jak potężny może być atak. Systemy Trójmiasta, które w ostatnich latach padły wcześniej ofiarą kilku cyberataków, zostały dotknięte atakiem oprogramowania typu ransomware w dniu 9 listopada 2023 r., w wyniku którego wyłączyła większość służb ratunkowych szpitala. Rezultatem był ośmiodniowa przerwa zmusiło to szpital do skierowania ruchu karetek do innych lokalnych szpitali, co stanowiło obciążenie dla szerszego systemu opieki zdrowotnej walczącego o opanowanie ataku.
Niestety istnieje więcej zagrożeń niż zwykłe przełączenie szpitala do trybu offline. Szpitale przechowują mnóstwo danych pacjentów, zazwyczaj z konieczności – aby zrozumieć indywidualne potrzeby pacjentów, mogą przechowywać dane osobowe i wrażliwe, takie jak historie leczenia, szczegóły ubezpieczenia i dokumenty tożsamości.
Chociaż tymczasowe przełączenie szpitala w tryb offline może mieć swoje zalety, możliwość kradzieży danych osobowych pacjentów może potencjalnie otworzyć możliwości szantażu, oszustwa i wyzysku. Na nieszczęście dla pacjentów Trójmiejskiego Centrum Medycznego dane pacjentów, które rzekomo zostały pozyskane podczas listopadowego cyberataku, zaczęły być rozpowszechniane w Internecie mniej niż miesiąc później, otwierając przyszłe ryzyko zarówno dla pacjentów, jak i szpitala.
Zrozumienie zagrożeń cyberbezpieczeństwa
Zrozumienie zagrożeń występujących w każdej infrastrukturze sieciowej może być niezbędne przy wdrażaniu strategii i technik ograniczających ryzyko przyszłych włamań. W szpitalach notorycznie znajduje się ogromna liczba cyfrowo połączonych urządzeń, które często oferują ograniczoną ochronę na poziomie dostawcy.
Od systemów monitorowania, przez platformy diagnostyczne, takie jak aparaty do rezonansu magnetycznego i tomografii komputerowej, po wewnętrzne systemy zarządzania dyspozytorami i personelem – złożona infrastruktura szpitalna może wiązać się ze znacznym ryzykiem. Ponieważ sprzęt szpitalny może być używany przez dziesięć lat lub dłużej, zarządzanie oprogramowaniem sprzętowym starszych systemów może mieć kluczowe znaczenie w zapobieganiu atakom sieciowym.
Ważne jest, aby zrozumieć, że ryzyko nie wynika po prostu ze sprzętu. Ludzie również są z natury podatni na ataki — na przykład dobrze ukierunkowany atak typu phishing może pozwolić złośliwemu podmiotowi na wbudowanie się w sieć szpitalną za pomocą narzędzi społecznych.
Wektory ataku nie zawsze mają podłoże technologiczne – w końcu komputer jest tak mądry, jak człowiek, który go obsługuje, i może być tak samo podatny na manipulację, jak niezabezpieczony system. Szpitale powinny rozważyć rolę, jaką może odgrywać struktura ryzyka przedsiębiorstwa w określaniu potencjalnych zagrożeń i dróg włamań, które mogą pojawić się podczas cyberataków.
Inwestowanie w inicjatywy związane z cyberbezpieczeństwem
Może się wydawać, że inwestowanie w inicjatywy dotyczące cyberbezpieczeństwa jest kosztownym i dodatkowym kosztem w przypadku ochrony infrastruktury szpitalnej. W rzeczywistości cyberbezpieczeństwo stanowi kroplę w morzu w porównaniu z szerszymi wydatkami na opiekę zdrowotną w krajach rozwiniętych.
Badanie przeprowadzone przez wiodącą firmę doradczą Herjavec Group miało na celu zrozumienie względnych kosztów inwestycji w cyberinfrastrukturę w porównaniu z całkowitymi inwestycjami w opiekę zdrowotną. Wynik? Oczekiwano, że globalne wydatki na cyberbezpieczeństwo w opiece zdrowotnej wzrosną do poziomu 125 miliardów dolarów Jak wynika z badania, łącznie w okresie pięciu lat kończącym się w 2025 r. – to mniej niż jedna trzydziesta całkowitych wydatków na opiekę zdrowotną w USA w tym samym czasie.
Inwestycje w cyberbezpieczeństwo, choć znaczne, mogą w dużym stopniu przyczynić się do skrócenia przestojów, które mają miejsce, gdy podmiot świadczący opiekę zdrowotną jest dotknięty zagrożeniem cyberbezpieczeństwa, a także mogą w dużym stopniu pomóc w zachowaniu reputacji organizacji przy następnym włamaniu.
Znaczenie ciągłego kształcenia
Należy zdać sobie sprawę, że wiedza to dopiero połowa sukcesu i że rozwiązanie zagrożeń cybernetycznych często musi oscylować między potrzebami lekarzy a technologią służącą środowiskom szpitalnym.
Przyjęcie sposobu myślenia skupiającego się na ciągłej edukacji i świadomości to świetny sposób na rozpoczęcie ochrony organizacji przed ryzykiem cyberataków. Można to zrobić na kilka sposobów, m.in strategie takie jak mapowanie wektorów ryzyka, blokowanie niepewnych systemów i edukowanie pracowników w zakresie świadomości cyberbezpieczeństwa.
Mapowanie zagrożeń cybernetycznych może czasami być trudne, ale może znacznie pomóc w identyfikacji obszarów, w których standardy cyberbezpieczeństwa przestały obowiązywać, np. przestarzałego oprogramowania sprzętowego sieci. Blokowanie systemów może również pomóc chronić szpitale przed exploitami, takimi jak złośliwe oprogramowanie typu zero-day i innymi szkodliwymi exploitami.
Edukowanie pracowników, w jaki sposób mogą wykazać się higieną cyberbezpieczeństwa, na przykład regularne resetowanie haseł i upewnianie się, że są świadomi typowych zagrożeń bezpieczeństwa, może również znacząco przyczynić się do ochrony systemów przed złośliwymi podmiotami.
Jak widzimy, systemy opieki zdrowotnej stanowią dla złośliwych podmiotów kuszącą okazję do zakłócenia nie tylko infrastruktury szpitalnej, ale także ujawnienia osobistych danych medycznych pacjentów, gdy są oni najbardziej bezbronni. Aby być dobrze przygotowanym do ochrony infrastruktury opieki zdrowotnej przed złośliwymi cyberatakami, takimi jak złośliwe oprogramowanie i phishing, zainteresowane strony na wszystkich poziomach muszą wiedzieć, co mogą zrobić, aby chronić siebie i swoich pacjentów.
Chociaż nie jest to wyraźnie nauczane na kursie, zrozumienie zagrożeń cybernetycznych, na jakie narażony jest personel medyczny, może w znacznym stopniu przyczynić się do pozytywnej zmiany w dzisiejszym wysoce cyfrowym świecie.
Autor wyróżnionego obrazu: Mingwei Lim/Usuń rozpryski.
