Hospitals should prepare for downtime of a month or more, according to new cybersecurity guidelines from the Joint Commission / Больницы должны подготовиться к простою на месяц или более, согласно новым рекомендациям Объединенной комиссии по кибербезопасности.
от Автора: By Catherine Stupp Aug. 25, 2023 10:07 am ET|WSJ Pro
Крупнейший орган по аккредитации здравоохранения в США опубликовал рекомендации по кибербезопасности, призывающие больницы готовиться к кибератакам, которые могут вывести из строя критически важные системы на месяц или дольше — меры, которые потребуют значительных инвестиций.
Больницы должны внедрить инструменты и процессы, которые позволяют предвидеть, что критически важные для жизни и безопасности технологии могут выйти из строя, и найти альтернативные способы работы без этих систем, заявила Некоммерческая объединенная комиссия.
В последние годы участились кибератаки на поставщиков медицинских услуг, причем некоторые удары становятся более целенаправленными, сказал Дэвид Бейкер, исполнительный вице-президент Объединенной комиссии по оценке и улучшению качества здравоохранения. В частности, по его словам, фишинг является наиболее распространенным способом проникновения хакеров в больничные системы. “Если только несколько сотрудников отреагируют на фишинговую атаку, — сказал он, “ последствия могут быть разрушительными”.
По словам Бейкера, Объединенная комиссия оценивает планы управления чрезвычайными ситуациями организаций здравоохранения, в которых подробно описываются процессы реагирования на стихийные бедствия и другие чрезвычайные ситуации и включаются планы реагирования на кибератаку. Организация призывает больницы прислушаться к ее руководству по кибербезопасности, хотя рекомендации не являются обязательными к исполнению. По его словам, комиссия не планирует оценивать готовность к кибербезопасности.
К настоящему времени в этом году медицинские данные более чем 61 миллиона человек были украдены или раскрыты в результате более чем 400 кибератак, о которых сообщили в Министерство здравоохранения и социальных служб США. Базирующаяся в Лос-Анджелесе Prospect Medical Holdings, частная акционерная компания, управляющая 16 больницами и десятками медицинских центров в Калифорнии, Коннектикуте, Пенсильвании, Род-Айленде и Техасе, подверглась атаке хакеров в начале этого месяца.
Пресс-секретарь Prospect Нина Крузе сказала, что больницы продолжают лечить пациентов, а отделения неотложной помощи открыты, но некоторые технологии не работают. Нападение привело к задержкам в приеме на работу и оказании таких услуг, как забор крови.
“У нас пока нет окончательного графика того, сколько времени пройдет, прежде чем все наши системы будут восстановлены”, — сказала она.
Больницам часто требуется не менее трех-четырех недель для восстановления критически важных систем, а некритическим требуется больше времени, сказал Джон Ригги, национальный советник по кибербезопасности и рискам Американской ассоциации здравоохранения.
Реагирование на инциденты более сложное, чем в других секторах, поскольку больницы должны работать круглосуточно, даже когда технические системы отключены. “Мы просто не можем прекратить принимать пациентов, пока происходит восстановление”, — сказал он.
Руководящие принципы Объединенной комиссии рекомендуют больницам поддерживать доступ к записям пациентов и результатам, а также чтобы лаборатории, службы радиологии и патологии по-прежнему могли делиться результатами анализов с врачами, даже если обычно используемые технологии недоступны. Комиссия заявила, что варианты включают инвестиции в зашифрованные автономные резервные копии критически важных данных или “отказоустойчивые” компьютерные терминалы, которые могли бы обрабатывать клиническую информацию во время простоев.
Кибератаки нанесли финансовый ущерб этому сектору. Согласно отчету International Business Machines, опубликованному в июле, стоимость утечек данных в здравоохранении выросла на 53% с 2020 года и сейчас обходится дороже, чем в любом другом секторе.
По данным IBM, в среднем утечка медицинских данных обходится в 10,9 миллиона долларов по сравнению с 5,9 миллионами долларов в финансовом секторе, где кибератаки являются следующими по стоимости. Подсчеты включают расходы на судебно-медицинских экспертов, поддержку на стороне, внутренние расследования и стоимость потерь клиентов.
Point32Health, некоммерческая медицинская группа, которая управляет Tufts Health Plan и Harvard Pilgrim Health Care, на прошлой неделе сообщила о чистых убытках в размере 51,4 миллиона долларов за первую половину 2023 года, в основном связанных с кибератакой, о которой она сообщила в апреле. В феврале больничная группа CommonSpirit Health заявила, что атака программ-вымогателей в 2022 году обошлась ей примерно в 150 миллионов долларов в виде технологических исправлений и упущенной выгоды.
По словам Бейкера, больницам, стремящимся выполнить рекомендации комиссии, потребуется приложить “значительные усилия и расходы”. Тем не менее, по словам отраслевых аналитиков, многим больницам, особенно небольшим удаленным, с трудом удается оплачивать средства защиты от кибербезопасности.
В условиях экономической неопределенности лидеры в области кибербезопасности во всех секторах стремятся сократить расходы. В сфере здравоохранения 47% киберпрофессионалов заявили, что их бюджеты увеличились в период с 2022 по 2023 год, по сравнению с 52% годом ранее, согласно апрельскому опросу 159 специалистов из Общества информационных систем здравоохранения и систем управления, некоммерческой организации, специализирующейся на медицинских технологиях.
Правительственные инициативы и некоммерческие организации, занимающиеся охраной здоровья, активизируют усилия по оказанию помощи больницам с помощью рекомендаций и грантов, сказал Эррол Вайс, директор по безопасности Центра обмена медицинской информацией и анализа, который облегчает обмен информацией об угрозах между членами.
“Безусловно, большое внимание [уделяется] небольшим сельским больницам и их потребностям, когда речь заходит о дополнительных ресурсах, связанных с кибербезопасностью”, — сказал Вайс.
На прошлой неделе Агентство перспективных исследовательских проектов в области здравоохранения, входящее в состав Министерства здравоохранения и социальных служб США, запустило программу по выявлению и финансированию технологий кибербезопасности для медицинских компаний. В настоящее время программа финансирования принимает предложения от исследователей.
Write to Catherine Stupp at catherine.stupp@wsj.com / Напишите Кэтрин Ступп по адресу catherine.stupp@wsj.com