ככל שהאיומים הופכים מהותיים יותר, ארגוני בריאות, בתי החולים וייצרני הפארמה חייבים להסתגל ללא הפוגה ל-"יצירתיות" הבלתי נדלית של ההאקרים [7]. התקפות כופר הפכו מאפיין קבוע בנוף איומי הסייבר, והן גדלות במספרן ובתחכומן. למרות שספקי תוכנות כופר כשירות (RaaS) משתדרגים ומתייעלים ללא הרף, יש בידיהם גם שיטות פשוטות יותר, שאינן דורשות ידע טכני נרחב בכדי לתקוף מטרות. הפרדיגמה החדשה מורכבת מקבוצת ליבה של מפתחים שמקימים ומתחזקים אתרי כופר ותשלומים, וכן שותפים שמגויסים על מנת לפרוץ את הרשתות של הקורבנות ומצפיני המכשירים. בגלל שכיחות תוכנות הכופר, סוכנות הסייבר והתשתית של ארצות הברית פרסמה את הנחיותיה בנושא [8].

התקפות על חברות בתחום מדעי החיים וספקי שירותי הבריאות, לרבות חברות טכנולוגיות בריאות, תרופות, ביוטכנולוגיה ומכשור רפואי, גדלו משמעותית בשנים האחרונות. זה כלל התקפות על ארגון הבריאות העולמי (WHO), שדיווח על עלייה של פי חמישה בהתקפות ב-2020 [9]. הגידול באובדן נתונים והתקפות ממוקדות חושף חברות וארגונים ועלול להשבית ציוד ומכשור רפואי. הסיכונים עלולים להוביל לתוצאות קטסטרופליות, הכוללות:

• סיכון בטיחות החולה / מוות
• גניבת קניין רוחני
• תביעת אחריות משפטית
• עונשים וקנסות רגולטוריים
• פגיעה במוניטין החברות/ארגונים

על כן, יש לנקוט בצעדים, על בסיס מתמשך, כדי להפחית את סיכוני אבטחת הסייבר והפרטיות [10]. אלו הם הצעדים:

• הערכות סיכוני פרטיות או אבטחה על מנת לקבוע אם קיימים סיכונים ופגיעות פוטנציאליות, וכן עבודה עם יועצים חיצוניים בכדי להפחית סיכונים ופגיעות שזוהו;
• הערכת מדיניות הפרטיות והאבטחה ווידוא כיסוי ביטוחי אבטחת הסייבר - טיפול בפערי הכיסוי הקיימים;
• הערכת נוהלי איסוף ושמירת המידע האישי בכל מחלקות הארגון כדי להבטיח עמידה בחוקי איסוף נתונים ממלכתיים, פדרליים ובינלאומיים;
• הדרכה לכל הצוותים והמחלקות, לא רק על טכנולוגיית מידע אלא גם על שיטות עבודה מומלצות ולמודעות לסיכונים ולפעולות שנעשות על ידי תוכנות פישינג ותוכנות כופר (למשל, כיצד התוקפים מתנהלים, איך נראה איום שכזה, מיצד לזהות ולפעול ועצות מעשיות נוספות לאיתור ודיווח).

העתיד של ה-"רפואה המקושרת": סיכוני אבטחת סייבר פוטנציאליים

אנו מאמינים שהעתיד של שירותי הבריאות הוא רפואה מקושרת. הפוטנציאל למוצרים פרמצבטיים/ביוטק משולבים ומכשור רפואי הוא אינסופי. זה כולל חידושים לרבות שתלי ברכיים שמתחברים לניידים על מנת לעקוב אחר ה-pH או הערכים, ושביכולתה לאותת ​​למטופל או לרופא על זיהום או סיבוך אפשרי. דוגמאות נוספות הן מסתמי לב שיכולים לספק משוב אבחנתי לרופא שיכול לעזור לייעל את הטיפול התרופתי או שבב שהושתל מתחת לעור שיכול לדווח אם חולה סרטן בהפוגה מראה סממנים לחזרת המחלה. 

מה שמשותף לכל אלה, הוא התלות בתוכנה ותקשורת IT מתאימה, ועל כן בסופו של דבר הם דורשים או ידרשו רמה גבוהה של אבטחת סייבר. עד כה, רוב דאגות אבטחת הסייבר התמקדו בהגנה על חולים ומידע מוסדי (שהוא קריטי ובעל השפעות יקרות). עם זאת, ככל שהטכנולוגיה ממשיכה להתקדם, איומי סייבר עלולים לעלות לארגונים ולחברות ברווחים, בסיכון המוניטין מוניטין ולפני הכל בחיי אדם.

על כל אותם הארגונים והחברות לתכנן את המוצרים שלהן עם אמצעי אבטחת סייבר מובנים וחזקים, ובמקביל לבצע הערכת סיכונים מתאימה לאבטחת סייבר בתמיכת מומחים. ככל שהטכנולוגיות ממשיכות להתפתח, יש צורך קריטי באנשי מקצוע לזיהוי הסיכונים המדויקים בהתאם לכל מוצר ומוצר. כמו בכל מטריצת סיכון, לא ניתן להפחית את הסיכון אם אינך יודע את הנזק הפוטנציאלי שלו.

סיכום

עסקים בתחום הבריאות הופכים ליותר ויותר מודאגים מהאפשרות של מתקפות סייבר כתוצאה מהעלייה החדה במתקפות כופר בשנים האחרונות. בטיחות החולה, גניבת קניין רוחני, השלכות משפטיות, קנסות מסוכנויות רגולטוריות ופגיעה במוניטין החברה הם רק חלק מההשפעות הפוטנציאליות של התקפות אלו. לכן, יש לנקוט בפעולות מנע לרבות הערכות סיכוני פרטיות ואבטחה, סקירות של מדיניות פרטיות ואבטחה, הדרכת הצוותים והכללת סעיפי פיצוי בהסכמי הספקים.

חברות שירותי בריאות חייבות לשלב אמצעי הגנה חזקים של אבטחת סייבר בתכנון המוצרים על מנת להגן מבעוד מועד מפני מתקפות אפשריות. הצורך במומחה בתחום אבטחת סייבר כדי לזהות ולהפחית סיכונים, הוא חיוני ככל שנוף האיומים משתנה.

מומחי קבוצת PQE מבטיחים לחברות רבות מערכות IT מוגנות ובטוחות מפני תוכנות כופר, האקרים ואיומי סייבר אחרים. שיתוף פעולה עם קבוצת PQE תבטיח פיתוח מוצר בטוח ושמירה על תאימות לרגולציה של ה-FDA (וסוכנויות רגולטוריות אחרות)

References 

1. Number of malware attacks per year 2022 | Statista 
2. Number of ransomware attacks per year 2022 | Statista
3. Phishing attack statistics 2022 (cybertalk.org)  
   (https://www.techrepublic.com/article/top-cybersecurity-threats/)
4. Cybersecurity Tops the CIO Agenda as Threats Continue to Escalate - WSJ 
5. Title (hhs.gov)Title (hhs.gov) 
   mandiant cyber security forecast 2023 - Search (bing.com)Title (hhs.gov) 
   
6. CISA MS-ISAC Ransomware
7. Guide2020: The Year the COVID-19
8. Crisis Brought a Cyber Pandemic (govtech.com) 
   
9. 2020: The Year the COVID-19 Crisis Brought a Cyber Pandemic (govtech.com)
10. Cybersecurity and Privacy Threats and Risks for Life Sciences and Healthcare Companies (orrick.com)