Obrazy BSIP/Getty
(niepewny to cotygodniowa kolumna poświęcona szybko narastającemu tematowi cyberbezpieczeństwa.
Jeśli chodzi o naruszenia cyberbezpieczeństwa, zwykle myślimy o dużych korporacjach lub instytucjach rządowych, które przechowują ogromne ilości danych osobowych. Jednakże szpitale i ośrodki medyczne to organizacje przechowujące tysiące danych osobowych. Kiedy dotkną ich epidemie, takie jak tegoroczna epidemia grypy, stają się całkowicie podatni na cyberatak, który może naruszyć cenną dokumentację medyczną ich pacjentów.
Polecane filmy
Rozmawialiśmy z Shane’em Whitlatchem, dyrektorem firmy zajmującej się cyberbezpieczeństwem Uczciwe ostrzeżenie, której klientami są szpitale, które były lub mogą kiedyś stać się ofiarami ataków cyberbezpieczeństwa. Według ich informacji coś tak nieszkodliwego jak wizyta w szpitalu kiedy masz grypę może mieć ogromne konsekwencje dla Twojego cyberbezpieczeństwa — i nawet byś o tym nie wiedział.
Trendy cyfrowe: tegoroczna epidemia grypy była szczególnie dotkliwa. Jakie zdarzenia dzieją się w szpitalu podczas epidemii grypy, co może mieć tak negatywny wpływ na cyberbezpieczeństwo szpitala?
Shane Whitlatch: Epidemia grypy to po prostu kolejny kryzys. Może być wiele różnych typów sytuacji, ale w czasie kryzysu ważne jest niekoniecznie to, co dzieje się w trakcie rzeczywistego wydarzenia. Ważne jest, czy [szpital] planował na długo przed kryzysem. Czy posiadałeś procesy, programy i elementy działania, które przygotowały Cię na to, że w przypadku kryzysu… niezależnie od tego, czy jest to epidemia grypy, atak terrorystyczny czy wypadek kolejowy – nie jesteś narażony na cyberbezpieczeństwo atak.
„Czy są jakieś kroki, które mogę pominąć, aby szybciej zająć się opieką nad pacjentem i przywiązywać mniejszą wagę do bezpieczeństwa?”
To przeoczenie. Ludzie zaczynają pomijać kroki. Jeśli normalnie przyjmuję 10 pacjentów na godzinę, ale teraz mam zamiar to dwukrotnie zwiększyć, muszę działać szybciej, jeśli mam przyjmować tych pacjentów. Czy mogę po prostu pozostać zalogowany? Czy muszę się meldować? Czy są jakieś kroki, które mogę pominąć, aby szybciej zająć się opieką nad pacjentem i przywiązywać mniejszą wagę do bezpieczeństwa?
Przestępcy szukają okazji — a podczas epidemii grypy wiedzą, że uwaga skupi się na tych wydarzeniach. Może więc będzie dla nich szansa, gdy pracownicy będą dłużej logować się na komputerach, ponieważ są zajęci przyjmowaniem większej liczby pacjentów niż zwykle. Być może oznacza to, że częściej udostępniają dane uwierzytelniające, ponieważ skupiają się na opiece nad pacjentem. To po prostu szansa. Jeśli nie przeszkolisz swoich pracowników i nie będziesz przygotowany, dotknie Cię nie tylko kryzys, ale także przestępcy, którzy chcą wykorzystać te możliwości.
Czy istnieje precedens w przypadku włamań lub ataków cyberprzestępców na szpitale? Czy jest to coś, co dzieje się regularnie?
Jeśli jeszcze się to nie wydarzyło, prawdopodobnie po prostu jeszcze o tym nie wiedzą. Odpowiedź brzmi: tak.
https://twitter.com/Merck/status/879716775021170689
Mamy przykład – który znajduje się w rejestrze publicznym – Hurley Medical Center w Flint Michigan. Miały miejsce ataki haktywistów na dokumentację medyczną związaną z kryzysem wodnym. Myślę, że odpowiedź brzmi „tak”, ale chciałbym, aby osoby trzecie były w tym przypadku punktami odniesienia.
W przypadku czegoś takiego jak włamanie, czym powinni się martwić ludzie jako pacjenci?
Są rzeczy, które są oczywiste, i takie, które są mniej. Najbardziej oczywistą rzeczą są informacje o Twoim ubezpieczeniu. To właśnie jest cenne. Nie kradliby danych, gdyby nie były cenne. Mogą pobrać informacje o Twoim ubezpieczeniu, zmienić adres pocztowy i sprzedać je osobie, która nie może uzyskać ubezpieczenia. To pierwsza rzecz — zwracaj więc uwagę na listy EOB (wyjaśnienie świadczeń), które otrzymujesz pocztą. Jeśli jest napisane, że skorzystałeś z leczenia w związku z czymś objętym ubezpieczeniem, a którego nigdy nie otrzymałeś, jest to problem. To mogłoby zmaksymalizować Twoje świadczenia i trafić do Twojego odliczenia, a Ty nawet nie dostałbyś opieki. To są te oczywiste.
Nie kradliby danych, gdyby nie były cenne.
Te, które nie są tak oczywiste, jak słyszeliśmy od naszych klientów, dotyczą sytuacji, w których ludzie zmienili informacje na temat skradzionej dokumentacji medycznej. Jeśli posługuję się kradzionym dowodem osobistym i idę gdzieś do lokalnego szpitala – i powiedzmy, że nie byłem tam leczony wcześniej i mam fałszywy dowód — aby uzyskać pomoc w przypadku złamanej ręki lub czegoś gorszego, co to zwykle jest. Jeśli jednak moja grupa krwi różni się od grupy krwi osoby, której skradziono, szpital może zmienić Twoją grupę krwi w Twojej dokumentacji medycznej, ponieważ założył, że dana osoba nie zna jej grupy krwi. Być może w tej chwili nie ma to dla ciebie znaczenia, ale jeśli będziesz miał wypadek samochodowy i będziesz potrzebować transfuzji krwi lub czegoś podobnego, mogą podać niewłaściwą krew. To mniej oczywista konsekwencja – a może być śmiertelna.
Czy masz obecnie wrażenie, że szpitale są świadome, jak ważne jest cyberbezpieczeństwo?
Na pewno teraz bardziej niż wcześniej. Nasi klienci oczywiście są tego świadomi i toczą dobrą walkę. To, co słyszę od nich i od samej kadry kierowniczej, napawa optymizmem, to fakt, że zarząd staje się coraz bardziej świadomy.
Jose Luis Pelaez Inc/Getty Images
Częściowo wynika to z edukacji i bardzo publicznych naruszeń. Naruszenie Anthem było poważne. Istnieją bardzo poważne naruszenia, które trafiają do wiadomości tam, gdzie członkowie zarządu je widzą i zaczynają zadawać pytania. Staje się coraz bardziej znany poza bezpieczeństwem IT, ale wszyscy specjaliści ds. bezpieczeństwa IT są tego świadomi.
Czy jest coś, co pacjenci mogą zrobić, aby chronić swoje dane medyczne podczas rejestracji w szpitalu lub w jakikolwiek sposób kontaktując się ze swoją dokumentacją medyczną?
Wypowiem się osobiście – staram się nie udostępniać numeru ubezpieczenia społecznego najlepiej, jak potrafię. Prawdopodobnie i tak został już skradziony. Inną rzeczą, którą zawsze możesz zrobić, jest poproszenie o rozliczenie ujawnień, co pozwoli ci uzyskać rejestr wszystkich osób, które miały kontakt z twoimi danymi – i jest to część prawa federalnego.
Inną rzeczą jest po prostu zachowanie czujności w kwestii tego, gdzie udajesz się po pomoc, co robisz ze swoimi informacjami i komu się nimi dzielisz. Zwróć uwagę na formularze, które każesz podpisać. Kiedy zapytają, czy mogą udostępnić Twoje dane, nie podpisuj ich wszystkich na ślepo. Zadawaj pytania na ten temat. Bądź czujny. A kiedy to zrobisz, będzie to kolejna forma edukowania personelu szpitala, że kwestie prywatności mają znaczenie. To nie tylko plakat na ścianę.
Zalecenia redaktorów
- Nie mogę uwierzyć, że moja ulubiona nowa klawiatura pochodzi od firmy telefonicznej
- Dlaczego nowe monitory do gier OLED wciąż nie mogą pobić tego, co najlepsze z zeszłego roku?
- Zaskakujący powód, dla którego Twój potężny komputer wciąż nie radzi sobie z najnowszymi grami
- Oto, jak możesz bezpłatnie zdobyć The Last of Us od AMD
- Wersja przeglądarki Chrome na Nvidia DLSS ma zostać uruchomiona, ale nie można jeszcze z niej korzystać
Ulepsz swój styl życiaDigital Trends pomaga czytelnikom śledzić szybko rozwijający się świat technologii dzięki najnowszym wiadomościom, zabawnym recenzjom produktów, wnikliwym artykułom redakcyjnym i jedynym w swoim rodzaju zajawkom.