Согласно новому отчету Kroll о готовности к кибербезопасности, здравоохранение — это отрасль, которая, скорее всего, будет оценивать себя как имеющая «очень зрелую безопасность». Но это также один из наиболее пострадавших секторов: он возглавил список в 2022 году и занял второе место в прошлом году.
Это несоответствие можно объяснить многими факторами – не в последнюю очередь тем, что организации здравоохранения уже давно среди главные цели киберпреступников и злоумышленников.
Но это также отражает некоторые уникальные факторы, связанные с тем, как системы здравоохранения подходят и оценивают свою собственную готовность к кибербезопасности, согласно новому исследованию консультативной фирмы, в котором рассматриваются возможности обнаружения и реагирования, разведка угроз, наступательная безопасность и другие факторы в здравоохранении.
Среди других выводов отчета: организации здравоохранения должны быть готовы к росту киберугроз, когда первоначальный доступ к сети был получен через внешние удаленные службы, что приводит к растущей потребности в улучшенной безопасности конечных точек.
Кроме того, даже как осведомленность и расходы И то, и другое растет, руководители систем здравоохранения должны быть готовы к более тщательному контролю со стороны правительства и большей ответственности за надзор за киберзащитой.
Закрытие «пробела в самодиагностике»
У организаций здравоохранения на 65% меньше шансов полностью передать на аутсорсинг свои услуги по кибербезопасности, чем у организаций в других секторах, говорят исследователи Kroll в новом отчете. отчет«Состояние киберзащиты: диагностика киберугроз в здравоохранении».
Их исследование отображает ландшафт угроз кибербезопасности, в котором в настоящее время работает сектор здравоохранения, уделяя внимание обнаружению и реагированию, разведке киберугроз и наступательной безопасности.
По словам Девона Акермана, глобального руководителя отдела реагирования на инциденты Kroll, реалии здравоохранения: сложности ИТ в здравоохранении, «не говоря уже о крайне нехватке времени для персонала, которому требуется как максимальное удобство, так и безопасность ИТ-операций», затрудняют защиту отрасли. и киберриск.
«Разрыв в самодиагностике между уверенностью здравоохранения в своей безопасности и ее реальными возможностями безопасности вызывает особую тревогу, учитывая, что киберинцидент может нарушить работу больницы и иметь разрушительные последствия для ухода и лечения пациентов, даже подвергая опасности человеческие жизни», — сказал он. Об этом говорится в заявлении, сопровождающем новый отчет.
Независимый опрос руководителей высшего звена в области ИТ-безопасности по всему миру, который был объединен с данными Kroll, полученными при обработке 3000 киберинцидентов ежегодно для отчета, показал, что более четверти респондентов из сферы здравоохранения (26%) имеют незрелые процессы кибербезопасности, в то время как почти 50% считают, что их процессы «очень зрелые».
По словам исследователей, несмотря на такой уровень уверенности в себе, только 3% опрошенных организаций здравоохранения имеют зрелые киберпроцессы.
Удаленный доступ – слабое место
Ранее Кролл заявил, что четвертый квартал 2023 года задает тон для требовательного 2024 года, требуя от компаний во всех секторах принятия последовательного подхода к повышению своей безопасности и подготовки к известным и новым угрозам.
Согласно анализу за четвертый квартал, Кролл назвал удаленный доступ уязвимым путем. Группы программ-вымогателей все чаще получали первоначальный доступ через внешние удаленные службы, в то время как другие угрозы, такие как вредоносные программы-похитители информации и взлом деловой электронной почты, росли.
Компания заявила, что климату бросают вызов организации, которые обеспечивают удаленную и гибридную работу и не заботятся о безопасности. Им необходимо думать не только о безопасности центральной сети, требуя еще более сильной защиты «на уровне периметра», говорят исследователи.
Кролл также отметил в Прогноз утечки данных на 2024 годВ опубликованном в феврале отчете о том, что в прошлом году финансовый сектор обогнал здравоохранение как отрасль с наибольшей степенью нарушений, здравоохранение продемонстрировало рост по сравнению с прошлым годом как количества запросов после взлома (14%), так и объемов использованного мониторинга кредитов или личных данных (99%). ).
Интересно, что количество нарушений в страховом секторе упало еще ниже в 10 крупнейших отраслях с наибольшим уровнем нарушений: количество нарушений снизилось на 81% в годовом сопоставлении по сравнению с 2022 годом, в то время как в технологическом секторе наблюдался рост на 40%.
В прошлом месяце компания Kroll объявила, что наняла Дэйва Бурга.бывший руководитель отдела кибербезопасности в Америке глобальной фирмы EY и ветеран кибербезопасности PwC, в качестве глобального руководителя отдела киберрисков с целью надзора и расширения возможностей управления жизненным циклом угроз.
Контроль и подотчетность высшего руководства
Также в феврале Kroll выпустила свой 10 трендов 2024 года в разных отраслях. Основные тенденции сосредоточены на все более сложной картине киберугроз, публичных и частных рыночных экономиках, которые продолжают расходиться, а также на растущем использовании искусственного интеллекта и высоком уровне рисков, связанных с соблюдением требований.
Компания заявила, что интересным выводом для всех лидеров отрасли является то, как Комиссия по ценным бумагам и биржам США меняет способы привлечения частных лиц. Агентство больше не обращается к директору по соответствию организации в качестве точки контакта, а высшие чины топ-менеджмента спрашивают о правильном обеспечении ресурсами – как с точки зрения человеческого капитала, так и с точки зрения систем.
Нетрудно представить, что усиление подотчетности высшего руководства за управление и надзорный надзор в финансовом секторе, если усилия принесут результаты, может стать тактикой, которую попробуют другие агентства, такие как HHS.
«Для генеральных директоров и других руководителей правдоподобное отрицание, когда дело касается вопросов соответствия, больше не является вариантом», — говорят исследователи Kroll.
В сочетании с этим также следует учитывать необходимость зачеркивать все точки и расставлять точки над санкциями.
Кролл привел такие правила, как Закон о коррупции за рубежомгде «корпорации, не соблюдающие требования, сталкиваются с огромными финансовыми и репутационными последствиями».
Соблюдение требований безопасности является серьезной проблемой для корпораций, «с огромными потенциальными финансовыми и репутационными рисками», добавляют исследователи, а это означает, что организации, выплачивающие кибервыкуп группе, в которую входит лицо, находящееся под санкциями, могут быть уличены в нарушении.
Андреа Фокс — старший редактор журнала Healthcare IT News.
Электронная почта: [email protected]
Healthcare IT News — издание HIMSS Media.
2024-04-17 17:46:49
1713409311
#Здравоохранение #все #еще #недостаточно #подготовлено #масштабам #киберугроз #говорится #отчете #Kroll
