En af de absolut vigtigste grundpiller i et samfund er dets sundhedsvæsen – fejler det, sender det chokbølger hele vejen op igennem samfundet.

Heldigvis har de fleste it-kriminelle og hackere et kodeks, som forbyder dem at ramme hospitaler – særligt hvis der er børn, men vi begynder at se en ændring: Geopolitiske bølger, såsom krigen i Ukraine, har rykket på grænserne for, hvad der er i orden at ramme, hvilket blandt andet førte til DDoS-angreb mod de danske regioner og hospitaler/svenske sundhedsvæsen i foråret, og et amerikansk hospital lukkede to år efter en ransomware-hændelse, hvilket understreger alvoren.

Det bekræftes kun af konkollegaers ENISA's trusselsbillede: Sundhedssektoren og IBM's omkostninger ved en rapport om databrud 2023.

Her topper sundhedsvæsenet topper IBM's liste over omkostninger ved en dataovertrædelsesrapport for 12. år i træk med $ 10.93 millioner i gennemsnit per brud i 2023.

Ransomware er den største trussel i sektoren (54% af alle rapporterede angreb), og de største trusselsaktører er cyberkriminelle, der rammer mål for økonomisk gevinst ved at gå efter patientjournaler og andre følsomme data. Kan du sige GDPR-brud – og de omkostninger, som følger med?

For sundhedssektoren er en stærkt reguleret sektor. Det betyder, at omkostningerne ved et databrud stiger betydeligt 12 måneder efter bruddet på grund af både genopretning og eventuelle retslige efterdønninger. De langsigtede omkostninger er betydelige.

Ingen at sende en regning til

Dette er særligt bekymrende, da sundhedssektoren ikke vil være i stand til at vælte omkostningerne over på kunderne, som det er almindelig praksis i andre sektorer. Det betyder, at institutionerne vil lide på lang sigt og mangle evnen til at investere i ny beskyttelse og i at forbedre processer.

Alligevel er der meget, der kan gøres for at afhjælpe situationen. ENISA fremhæver, at 95 procent af organisationerne kan overvinde udfordringer med at gennemføre risikovurderinger, mens 46 procent aldrig har foretaget en risikoanalyse.

IBM fremhæver, at detektion og eskalering er særligt dyrt, en bekymrende tanke i betragtning af manglen på ordentlig risikovurdering. Med kun 27% af organisationer, der har et dedikeret ransomware-forsvarsprogram, og 40% mangler sikkerhedsbevidsthedsprogrammer for ikke-it-personale, er der et presserende behov for handling.

Sektoren skal forberede sig på fremtiden

Organisationer har ikke længere råd til ikke at have et forsvarsprogram og ikke at uddanne deres medarbejdere, især ikke når NIS2-direktivet vil holde topledelsen ansvarlig for deres organisations sikkerhed.

Der er også et presserende behov for en omfattende sikkerhedsvurdering som angreb på forsyningskæden (rettet mod hardware og software). Sårbarheder i software er ofte de grundlæggende årsager til angreb. Med integrationen af OT og IT i sundhedsvæsenet må dette ikke undervurderes.

Organisationer i sektoren kæmper ofte også for at vedtage nye teknologier, der tilbyder automatisering på grund af strenge lovkrav. Ældre IT og skygge-it er deraf følgende udfordringer. Det betyder, at organisationer sandsynligvis ikke vil drage fordel af omkostningsbesparelser gennem automatisering, fremhæver IBM-rapporten.

Tid er af afgørende betydning, når man opdager og afhjælper angreb. Virkninger på patientplejen bliver mere almindelige, som ENISA fremhæver. Skadestuer lukkes, og kirurgiske operationer suspenderes. Tidskritiske behandlinger er forsinket. Patienter kan blive omdirigeret til andre hospitaler. Nylige rapporter fremhæver også cyberhændelser hos leverandører, der påvirker organisationer.

Indførelse af en sikkerhedskultur for bedre beredskab

Rapporter viser, at organisationer med bedre sikkerhedskulturer opdager, afhjælper og kommer sig hurtigere efter cyberangreb. De sparer penge ved at træne deres medarbejdere til at reagere hensigtsmæssigt og hurtigt.

En kompetent arbejdsstyrke udstyret med de rigtige værktøjer og viden samt drevet af en sikkerhedstankegang og en fælles ansvarsfølelse er et tegn på en god sikkerhedskultur. Aktiv deltagelse er beviset og resultatet.

Succesfulde organisationer sætter pris på værdien af sikkerhedsbevidsthedstræning for at forbedre sikkerhedskulturen, og de følger strategiske tilgange til at opbygge bæredygtige programmer til at forme deres kultur.