Brudd på data innen helsevesenet betyr store penger for kriminelle. Mens vanlig PII (personlig identifiserbar informasjon) selges for rundt US $ 2,00 per stykk, innehar PHI (personlig helseinformasjon) den heftige prislappen på over US $ 360 per stk!
PII er informasjon som kan brukes til å personlig identifisere (kontakte eller lokalisere) en person, enten alene eller i kombinasjon med andre data – data som en e-postadresse, en fysisk adresse, et telefonnummer osv.
Personlig helseinformasjon er PII som spesifikt samles inn av helsepersonell, et helsestasjon eller en helseplanoperatør.
Ved å bruke PHI kan svindlere lage falske forsikringskrav, ulovlig kjøpe medisinsk utstyr for videresalg, eller kjøpe reseptbelagte medisiner som de kan selge på gata som narkotika. PHI brukes ofte også i phishing-angrep for å presse penger av individer ved å demonstrere kunnskap om disse individenes underliggende (og angivelig konfidensielle) helsemessige forhold.
Den potensielle inntjeningen ved å utnytte PHI er enorm, noe som gjør det til et innbringende mål for organiserte kriminelle syndikater og enkeltkriminelle.
Etter hvert som verden blir mer digital og pasientjournaler lagres i digitalt format, forbedres muligheten for hackere til å få tilgang til store lagre med PHI. Hackere gjør dette ved hjelp av forskjellige metoder, inkludert:
- Manipulering av enkeltpersoner
- Å utnytte feil i selve systemet
- Fysisk tyveri av enheter (eller tilgang til tapte enheter som er dårlig sikret)
Omfanget av tyveri av PHI som har funnet sted de siste årene, er utrolig. For eksempel ble American Medical Collection Agency (AMCA) hacket over en periode på flere måneder, noe som resulterte i at mer enn 20 millioner helseregistre over amerikanere ble lagt ut for salg online.
Det Virginia-baserte forsikringsselskapet og helseplanadministratoren, Dominion National, opplevde et databrudd på 2,9 millioner poster over en periode på ni år.
UW Medicine feilkonfigurerte en database, noe som førte til potensielt brudd på 974 000 pasientjournaler.
En menneskelig feil forårsaket brudd på 1,6 millioner poster hos Inmediata Health Group.
Og listen fortsetter.
Herding av IT-systemer er en kjerneoppgave for alle selskaper som er involvert i programvareutvikling, men spesielt innen helseteknologi.
Vi tror at den beste måten å sikre høyest mulig sikkerhet for et helseteknologisk programvaresystem på, er å ansette et pålitelig eksternt selskap som tar seg av det for deg.
Her er tre grunner til hvorfor:
1. Økonomiske og menneskelige ressurser
Systemsikkerhet er et helt emne i seg selv.
I et svært konkurranseutsatt felt som helseteknologi, må CTO-er bruke så mange ressurser som mulig på utvikling av kjerneproduktfunksjoner som kan bety forskjellen mellom å være i drift eller ikke.
Healthtechs IT-ledere er meget klar over risikoen som er involvert hvis det skulle forekomme brudd på dataene. Men å håndtere disse risikoene i koden kan kreve å trekke noen ressurser fra produktets kjerneutvikling.
Stilt overfor dette problemet, tar IT-ledere vanligvis ett av to valg:
- Ressurser blir trukket vekk fra kjerneutviklingen og omfordeles for å herde sikkerhetsaspektene av programvaren i stedet, noe som bremser utviklingen av selve produktet.
- Eller ledere krever at utviklingsteamene gir full gass på de essensielle funksjonene og hopper over sikkerhet, og lar dermed muligens viktige sikkerhetsaspekter forbli uprøvd til det er for sent.
Begge disse tilnærmingene er like feil.
Det som kreves er evnen til å vie så mye arbeidskraft som nødvendig til sikkerhetsaspektene ved programvaren uten å ofre nøkkelressurser som jobber med viktige komponenter og uten å koste organisasjonen halvparten av budsjettet.
Den enkleste måten å gjøre dette på er med et pålitelig eksternt selskap som bruker en rask tilnærming til utvikling og grundige tester for å sikre at sikkerhetsaspektene ved systemet er uknuselige.
Selv om IT-ledere klarer å balansere teamet tilstrekkelig slik at tilstrekkelige ressurser er dedikert til både sikkerhet og kjernefunksjoner, kan det ofte forekomme at teamet blir så vant til å se på koden at de rett og slett går glipp av viktige sikkerhetsproblemer.
Dette betyr ikke at utviklingsteamet er inhabilt. Det betyr at ett nytt sett med øyne er verdt tjue trette.
Uavhengige vurderinger er avgjørende for å identifisere underliggende problemer som ellers kan gå ubemerket hen.
2. Høy kompleksitet = flere mulige feil
Helsevesenet og helseteknologien drives av programvare som ofte går til millioner av kodelinjer, arbeidet med av alt fra noen få programmerere til flere hundre.
Disse millionene kodelinjer resulterer i et integrert system med en enorm grad av kompleksitet.
Spesialisert ekspertise er viktig for å vurdere systemer av slik kompleksitet, ved å bruke en nyansert tilnærming som er spesifikk for en dyktig cybersikkerhetsingeniør.
Et spesialisert selskap kan utføre regelmessige simulerte cyberangrep- og andre sikkerhetsvurderingsarbeider mens de bygger den komplekse løsningen. Simulerte cyberangrep og sikkerhetsvurderinger kan hjelpe et helseteknologisk selskap med å unngå store tekniske sårbarheter, prioritere risiko, oppfylle organisasjonens krav og spare deg for penger!
3. Spesialisert kunnskap og ferdigheter
Tredjeparts-sikkerhetsrådgivere vil undersøke en organisasjons sikkerhetsstrategi mot bransjestandarder og beste praksis. De er spesialister på å identifisere hull som kan utgjøre en unødvendig risiko for organisasjonen.
Det kreves inngående kunnskap om forskjellige reguleringsorganers innspill og mengder med forskrifter og lover disse organene har publisert.
Denne kunnskapen er ikke begrenset til helsespesifikke forskrifter som HIPAA og MDR, men også til ting som Payment Card Industry Data Security Standard, lokale og statlige personvernlover (GDPR, CPRA – California Privacy Rights Act), samt andre forskrifter.
Unnlatelse av å overholde alle nødvendige regler kan føre til "brudd" av en annen art, for eksempel ved utilsiktet deling av PII utenfor organisasjonen, selv om hensikten ikke var kriminell. Dette kan være både en menneskelig feil eller en mangel på risikoprioritering ved utviklingen av et helseteknologisk produkt. Derfor er det nødvendig å ikke bare legge til sikkerhet i programvaren, men også utdanne og begrense brukere om hvordan de skal overholde sikkerhetsstandardene.
Å sørge for at brukerne overholder sikkerhetsstandardene, vil ikke bare kreve en sikker programvare, men også brukeropplæring og et optimalt brukergrensesnitt og brukeropplevelse. Produktets grensesnitt må bygges av en spesialist på en måte som sørger for at alle brukernes opplæring er automatisert og sikrer at sluttbrukere som leger, sykepleiere, sekretærer osv. blir lært opp i mulige konsekvenser av en feil (selv om de er uskyldige).
Så både sikkerhets- og personvernbestemmelser må undersøkes grundig når vi utvikler helseteknologiske løsninger, og dette gjøres best av sikkerhets- og regeleksperter med bred erfaring innen feltet.
Et eksempel på et selskap som spesialiserer seg på å bygge sikre helseteknologiske løsninger er Thorgate. Thorgate har over 10 års erfaring med å bygge helseprodukter som muliggjør høyere effektivitet, forbedrede tjenester, nye løsninger og mer pasientengasjement.
For å lese mer om arbeidet vi har gjort, kan du se case- studiene våre her
Hvis du leter etter råd om hvordan du kan sikre datasikkerhet for det helseteknologiske produktet ditt, kan du gjerne sende meg en e-post på taavi.uudam@thorgate.eu
Read related articles:
Fremskynde digital transformasjon i helsevesenet