Zoals elk groot bedrijf, een modern ziekenhuis heeft honderden – zelfs duizenden – werknemers die talloze computers gebruiken, smartphones en andere elektronische apparaten die kwetsbaar zijn voor beveiligingsinbreuken, gegevensdiefstal en ransomware-aanvallen. Maar ziekenhuizen zijn op twee belangrijke manieren anders dan andere bedrijven. Ze houden medische dossiers bij, die tot de meest gevoelige gegevens over mensen behoren. En veel ziekenhuiselektronica helpt patiënten in leven te houden, het bewaken van vitale functies, medicatie toedienen, en zelfs ademen en bloed rondpompen voor mensen in de meest erbarmelijke omstandigheden.

Een datalek in 2013 bij de medische groep van de University of Washington Medicine bracht ongeveer 90, 000 patiëntendossiers en resulteerde in een $ 750, 000 boete van federale toezichthouders. in 2015, het UCLA-gezondheidssysteem, waaronder een aantal ziekenhuizen, onthulde dat aanvallers toegang hadden tot een deel van zijn netwerk dat informatie verwerkte voor 4,5 miljoen patiënten. Cyberaanvallen kunnen medische apparaten onderbreken, sluit spoedeisende hulp en annuleert operaties. De WannaCry-aanval, bijvoorbeeld, verstoorde een derde van de Britse National Health Service-organisaties, met als gevolg geannuleerde afspraken en operaties. Dit soort problemen vormen een groeiende dreiging in de zorg.

Het beschermen van de computernetwerken van ziekenhuizen is cruciaal voor het behoud van de privacy van patiënten – en zelfs het leven zelf. Toch toont recent onderzoek aan dat de gezondheidszorgsector achterblijft bij andere sectoren in het beveiligen van haar gegevens.

Ik ben systeemwetenschapper aan de MIT Sloan School of Management, geïnteresseerd in het begrijpen van complexe socio-technische systemen zoals cybersecurity in de gezondheidszorg. Een oud-leerling, Jessica Keizer, en ik interviewde ziekenhuisfunctionarissen die verantwoordelijk zijn voor cyberbeveiliging en experts uit de industrie, om vast te stellen hoe ziekenhuizen omgaan met cyberbeveiligingsproblemen. We ontdekten dat ondanks wijdverbreide bezorgdheid over het gebrek aan financiering voor cyberbeveiliging, Twee verrassende factoren bepalen meer direct of een ziekenhuis goed is beschermd tegen een cyberaanval:het aantal en de verscheidenheid aan elektronische apparaten die in gebruik zijn en hoe de rollen van medewerkers aansluiten bij de inspanningen op het gebied van cyberbeveiliging.

Een breed scala aan apparaten

Een grote uitdaging in de cybersecurity van ziekenhuizen is het enorme aantal apparaten met toegang tot het netwerk van een faciliteit. Zoals bij veel bedrijven, deze omvatten mobiele telefoons, tabletten, desktopcomputers en servers. Maar ze hebben ook grote aantallen patiënten en bezoekers die met hun eigen apparaten komen, ook – inclusief genetwerkte medische apparaten om hun gezondheid te bewaken en te communiceren met medisch personeel. Elk van deze items is een potentiële oprit voor het injecteren van malware in het ziekenhuisnetwerk.

Ziekenhuisfunctionarissen kunnen software gebruiken om ervoor te zorgen dat alleen geautoriseerde apparaten verbinding kunnen maken. Maar zelfs dan, hun systemen zouden kwetsbaar blijven voor software-updates en nieuwe apparaten. Een andere belangrijke zwakte komt van medische apparatuur die als gratis monsters wordt aangeboden door fabrikanten van apparaten die actief zijn in een concurrerende markt. Ze worden vaak niet getest op goede beveiliging voordat ze worden aangesloten op het ziekenhuisnetwerk. Een van onze geïnterviewden zei:"In ziekenhuizen … is er een heel ondergronds inkoopproces waarbij verkopers van medische hulpmiddelen clinici benaderen en hen veel spullen gratis geven die uiteindelijk op onze verdiepingen terechtkomen, en dan een jaar later krijgen we er een rekening voor."

Wanneer nieuwe technologieën de reguliere processen voor aankoop en risicobeoordeling omzeilen, ze worden niet gecontroleerd op kwetsbaarheden, dus introduceren ze nog meer aanvalsmogelijkheden. Natuurlijk, ziekenhuisbeheerders moeten deze zorgen afwegen tegen de verbeteringen in de patiëntenzorg die nieuwe systemen kunnen brengen. Ons onderzoek suggereert dat ziekenhuizen sterkere processen en procedures nodig hebben voor het beheer van al deze apparaten.

Personeel buy-in

Ziekenhuisbeheerders het belang van cyberbeveiliging laten inzien is vrij eenvoudig:ze vertelden ons dat ze zich zorgen maken over de kosten, institutionele reputatie en wettelijke sancties. Medisch personeel aan boord krijgen kan veel moeilijker zijn:ze zeiden dat ze zich richten op patiëntenzorg en geen tijd hebben om zich zorgen te maken over cyberbeveiliging.

Mensen beschouwen cyberbeveiligingsbeveiliging doorgaans als secundair aan wat ze proberen voor elkaar te krijgen. Een persoon die we hebben geïnterviewd, beschreef waarom sommige medewerkers de grootste zonde begaan op het gebied van cyberbeveiliging door een wachtwoord te delen:"Om een ​​ultrasone machine te gebruiken [u hebt een wachtwoord nodig, die] elke 90 dagen moet veranderen. [Personeel] wil gewoon de ultrasone machine gebruiken. Het bevat niet veel patiëntgegevens ... dus maken ze een gedeelde login aan zodat ze patiëntenzorg kunnen bieden."

De behoeften kunnen per ziekenhuis sterk verschillen, op manieren die verrassend kunnen zijn, zoals toegang tot sites die waarschijnlijk schadelijke software bevatten. Een chief information officer van een onderzoeksziekenhuis vertelde ons, "Persoonlijk geloof ik dat hardcore pornografie geen doel heeft op apparaten die door ziekenhuizen worden ondersteund. Wat heb ik vijf jaar geleden gedaan? Ik heb filters voor internetinhoud geplaatst die voorkomen dat mensen naar pornografie gaan. Binnen vijf minuten, de directeur van de psychiatrie belt om me te vertellen dat we een beurs hebben om pornografie in een medische context te bestuderen [dus moesten we onze filters aanpassen]."

Deze ervaringen zijn de reden waarom we hebben geconcludeerd dat budgetbeperkingen niet zo cruciaal zijn voor de cyberbeveiliging van ziekenhuizen als de betrokkenheid van werknemers. Een ziekenhuis kan zoveel hardware en software kopen als het wil. Als werknemers de organisatorische procedures niet volgen, de technologie zal ziekenhuizen niet veilig houden. Ons onderzoek suggereert dat cyberbeveiliging net zoveel gaat over het managen van mensen als over technologie.

Naleving is geen beveiliging

De dreiging is landelijk, en het wordt steeds moeilijker om je tegen te verdedigen, zoals een chief information security officer ons vertelde:"De aard van aanvallen wordt steeds geraffineerder. Vroeger was mijn grootste bedreiging … studenten. het zijn door de staat gesponsorde aanvallen, terrorisme en georganiseerde misdaad. Het zijn meer bedreigingen dan ooit van een ernstiger aard."

Helaas, veel ziekenhuisbeheerders lijken te geloven dat het beschermen van gegevens net zo eenvoudig is als het voldoen aan nationale en federale regelgeving. Maar dat zijn minimumnormen die de dreiging niet adequaat aanpakken. Zoals een van onze geïnterviewden zei:"Compliance is een lage lat. Ik garandeer dat kleine zorgorganisaties en ziekenhuizen niets zouden doen (zonder regelgeving). Ze zouden een stuk papier op een plank hebben liggen dat hun beveiligingsbeleid wordt genoemd. Het is nodig als een vangnet om bedrijven op zijn minst aan het denken te zetten Maar compliant zijn lost het grotere probleem van risicobeheer niet op."

Uit ons onderzoek blijkt dat ziekenhuizen verder moeten denken dan alleen compliance. Ook, met zo weinig ziekenhuizen goed verdedigd tegen cyberaanvallen, alle ziekenhuizen lijken aantrekkelijker als potentiële doelwitten. In ons zicht, het is niet genoeg voor ziekenhuizen om hun eigen verdediging te verbeteren, en ook niet voor regelgevers om de normen te verhogen. Ze moeten beheren, en evalueren van de veiligheid van, de apparaten op hun netwerken en zorg ervoor dat medisch personeel begrijpt hoe goede cyberhygiëne een goede patiëntenzorg kan ondersteunen. Verder, beleidsmakers, leiders in de gezondheidszorg en ziekenhuizen zelf moeten samenwerken om de sector als geheel minder vatbaar te maken voor aanvallen die de privacy van mensen en hun leven bedreigen.

Dit artikel is oorspronkelijk gepubliceerd op The Conversation. Lees het originele artikel.