Sog’liqni saqlash sanoatida kiberxavfni ko’rib chiqish

2020 yilda esa Dental Care Alliance (DCA) o'z tizimlariga deyarli bir oy davom etgan muhim kiberhujumni boshdan kechirdi. Bu tahdid aktyoriga sog'liqni saqlash tashkiloti serverlarini buzish va bir millionga yaqin bemorning shaxsiy va maxfiy ma'lumotlarini olish uchun uzoq vaqt berdi.

Bu sog'liqni saqlash sohasi xavfsizlikning zaif tomonlaridan foydalanmoqchi bo'lgan kiber jinoyatchilarga qanchalik zaif ekanligiga yana bir misol. Sog'liqni saqlash tashkilotlari o'z maqsadlari o'z tizimlari va bizneslarini samarali va xavfsiz ishlashini ta'minlashga investitsiya qilinganligini to'liq biladigan tahdid qiluvchilar uchun asosiy maqsaddir. Bu, ayniqsa, bemorning shaxsiy hayoti va ma'lumotlarini himoya qilishda, ayniqsa hayotni saqlaydigan ma'lumotlar va jihozlarga ta'sir qilishda juda muhimdir.

Voqea

Kiberhujum DCA 2020-yil 18-sentabrdan 11-oktabrgacha ishga tushirildi. Buzilish sodir boʻlgan oy davomida kiberjinoyatchi turli xil maxfiy fayllarga, jumladan, ismlar, aloqa maʼlumotlari, davolash usullari, tashxislari, bemor hisob raqamlari, ularning tish shifokorining ismlari, shuningdek, hisob-kitob tafsilotlari va tibbiy sugʻurta maʼlumotlariga kirish imkoniga ega boʻldi. 10 foiz hollarda bank hisob raqamlari ham buzilgan va bu o'sha yili qayd etilgan ikkinchi yirik hujumga aylandi.

Hujum natijasida jamoaviy da'vo bo'lib, DCAga qarshi 3 million dollar to'lash bilan yakunlandi. DCA o'z tizimlari va infratuzilmasini buzilishlardan himoya qilmagani va ularga xizmat ko'rsatmaganligi hamda xavfsizlik monitoringini to'g'ri amalga oshirmaganligi uchun beparvolikda ayblangan. Shuningdek, u xavfsizlik choralarini yangilashga, kiberxavfsizlik bo'yicha tegishli apparat va dasturiy ta'minotni joriy etishga, shuningdek, o'z xodimlarini munosib o'qitishga e'tibor bermagani uchun tilga olingan. Natijada, bemorlar firibgarlik xavfi ortishidan qo'rqishdi.

Buzg'unchi kompaniya tarmog'iga qanday qilib dastlabki kirish huquqini qo'lga kiritgani oshkor etilmagan bo'lsa-da, da'vogarlarning ta'kidlashicha, DCAning noto'g'ri kiberxavfsizlik amaliyoti ularni shaxsiy ma'lumotlarni o'g'irlash va firibgarlik xavfiga duchor qilgan.

Afsuski, bu tashkilot e'tiborsizligi sababli sudga tortilgan yagona holat emas. Eye Care Leaders bir nechta to'lov dasturi hujumlarini yashirishda ayblangan 2021 yilda provayder boshchiligidagi sud jarayoniga olib keldi. Bu nafaqat sog'liqni saqlash tashkilotlariga hujumlar chastotasini ta'kidlaydi, balki xavfni tushunmaslik va tegishli kiberxavfsizlik protokoli va choralarini taqdim etmaslik bilan bog'liq bo'lgan katta xarajatlarni ham ta'kidlaydi. Faqat bitta xavfsizlik hodisasi obro'ga putur etkazishi va katta moliyaviy yo'qotishlarga olib kelishi mumkin. Bu bemor va mijozning maxfiy ma'lumotlarini buzish oqibatlari bilan yanada og'irlashadi.

Ikkala holat ham tibbiy xizmat ko'rsatuvchi provayderlar va to'lovchilar uchun yuqori darajadagi kiberxavf manzarasi uchun oynadir, ayniqsa HIPAA qoidalarini buzganlik uchun federal hukumat tomonidan jarimaga tortilgan tashkilot haqida gap ketganda.

Sog'liqni saqlashda kiber xavf

Birgina 2021-yilda sog‘liqni saqlash sohasi 849 ta kiber hodisaga uchradi, ulardan 571 tasi shaxsiy ma’lumotlarga kirishni tasdiqladi. Verizon ma'lumotlarining buzilishi bo'yicha tekshiruvlar hisoboti. Bu sog'liqni saqlashni Verizon hisobotidagi jami 21 toifadan hujumlar nishonga olingan tarmoqlar bo'yicha sakkizinchi o'ringa va ma'lumotlar buzilishi soni bo'yicha uchinchi o'ringa qo'ydi.

O'tgan kiber hodisalar va daromadlar, xodimlar soni va ma'lumotlar bazasi yozuvlari soni kabi parametrlardan foydalanib, kompaniyalar duchor bo'ladigan xavfning miqdoriy qiymatini taxmin qilish mumkin. Benchmark qiymatlaridan foydalangan holda, sog'liqni saqlash sohasi boshqa tarmoqlarga nisbatan bildirilgan buzilishlarning nisbatan yuqori ko'rsatkichlarini ko'rsatadi, deb xulosa qilish mumkin (garchi bu qisman kuchliroq ma'lumotlar maxfiyligi siyosati va federal qoidalarga rioya qilish uchun kichikroq hodisalar uchun zarur bo'lgan hisobot bilan bog'liq bo'lsa ham). Ushbu sohaga qaratilgan yillik hodisaning umumiy ehtimoli 9,3 foizni tashkil qiladi.

Bir yil ichida sodir bo'ladigan hodisalar ehtimoli va sog'liqni saqlash sohasidagi xavf toifalari bo'yicha taxminiy xarajatlar quyidagicha:

• Insayder xatosi: Ehtimol: 29,95 foiz, narxi: 73,6 million dollar
• Insayderdan noto'g'ri foydalanish: Ehtimol: 24,99 foiz, narxi: 47,2 million dollar
• Asosiy veb-ilova hujumlari: Ehtimol: 9,19 foiz, narxi: 42,1 million dollar
• Tizimga kirish: 4,83 foiz, narxi: 5,4 million dollar
• Ijtimoiy muhandislik (phishing va boshqalar): Ehtimollik 3,80 foiz, narxi: 6,6 million dollar
• Xizmatni rad etish (DoS): 2,19 foiz, narxi: 7,5 million dollar
• Ransomware: 3,85 foiz, narxi: 929,9 ming dollar

Xavf miqdorini aniqlashda sog'liqni saqlash tashkilotlari o'zlarining xavf ishtahalarini yaxshiroq hisoblashlari va kerak bo'lganda xavfsizlikni kuchaytirish uchun xarajatlarni samaraliroq taqsimlashlari mumkin. Bu nafaqat umumiy kiberxavfsizlikni oshiradi, balki boshqa sohalar kabi zaif bo'lmagan yoki kuchli choralarga muhtoj bo'lmagan infratuzilmani himoya qilish uchun behuda sarflanadigan xarajatlarni kamaytiradi.

Kiberxavfsizlikni kuchaytirish

Kiberhujum qurboni bo'lib qolmaslik va qimmatga tushadigan sud jarayonlariga aralashmaslik uchun tashkilotlar kuchli kiberxavfsizlik madaniyatini rivojlantirishi va ular duchor bo'lishi mumkin bo'lgan xavf va u bilan bog'liq potentsial qiymatdan xabardor bo'lishi kerak. In umumiy ko'rinishni oshirishga qo'shimcha ravishda qurilmalar va tarmoqqa ulanishlar, xodimlar uchun kiber tahdidlardan xabardorlik bo'yicha treningni kengaytirish va ko'p faktorli autentifikatsiyani amalga oshirish, tashkilotlar o'z xavflarini bilishlari kerak.

Bu qanday ma'nono bildiradi? Xavfni tushunish uning qiymatini aniqlash orqali amalga oshirilishi mumkin. FAIR (Factor Analysis of Information Risk™) kabi xalqaro standartdan foydalangan holda, tashkilotlar o'z tavakkalchiligini moliyaviy jihatdan baholashlari mumkin, bu esa yuqori xavf mavjud bo'lgan joylarda kiberxavfsizlik strategiyalarini yaxshiroq amalga oshirish imkonini beradi. Ular byudjetlarni taqsimlashlari va o'zlarining tavakkalchilik ishtahalarini chuqurroq tushunishlari mumkin, chunki bu ularga turli xil xavflar biznesga qanchalik qimmatga tushishini ko'rish imkonini beradi.

Oxir oqibat, risk miqdorini aniqlash tashkilotlarga nima xavf ostida ekanligini tushunishga va shunga mos ravishda tayyorgarlik ko'rishga va investitsiya qilishga imkon beradi.

Brayan Smit haqida

Brayan Smit kompaniyasining texnik direktori hisoblanadi RiskLens, bu tashkilotlarga kiberxavfsizlikni moliyaviy jihatdan aniqlaydigan dasturiy yechimlar bilan kiberxavfsizlik va texnologiya sarmoyasi bo'yicha yaxshiroq qarorlar qabul qilishga yordam beradi. Smit 20 yildan ortiq dasturiy ta'minot muhandisligi tajribasiga ega bo'lgan keng texnologdir. Uning tajribasi korporativ miqyosdagi veb-ilovalarni yaratish, kiberxavfsizlik va katta ma'lumotlarni o'z ichiga oladi. Smit RiskLens korporativ kiberxavflarni aniqlash va boshqarish platformasini ishlab chiqishga rahbarlik qildi. RiskLens-dan oldin Smit mamlakatning birinchi raqamli arxivlarini yaratishga yordam berdi, bu esa uni besh yil davomida 3400% kengaytirish imkonini berdi.