Helyzetkép az egészségügyi adatok biztonságáról

Az egészségügyi intézmények, szervezetek információbiztonságának számos megfelelőségi előírásnak kell megfelelnie. Azonban mindez még korántsem garancia arra, hogy az értékes adatokat érő kockázatokat megfelelően lehet csökkenteni.
 

A Vormetric elkészítette azt a felmérését, amelynek során elsősorban arra volt kíváncsi, hogy az egészségügyi intézmények, szervezetek miként képesek tartani a lépést az információbiztonsági trendekkel és a különféle kockázati tényezőkkel. Világszerte megközelítőleg 800 olyan IT-döntéshozót kérdezett meg, akik az egészségügyben tevékenykednek, és felelnek a betegek adatainak biztonságáért. Sajnos a felmérés eredményei azt mutatják, hogy még nagyon sok teendő van ezen a területen, és a szektornak gyorsabban, illetve hatékonyabban kellene reagálnia a folyton megújuló fenyegetettségekre. 

A megkérdezettek 48 százaléka úgy nyilatkozott, hogy az elmúlt évben a munkahelye vagy megbukott legalább egy megfelelőségi felülvizsgálaton vagy tapasztalt legalább egy adatbiztonsági incidenst. Az amerikai válaszadók 92 százaléka sebezhetőnek kiáltotta ki a rendszerét a belső károkozásokkal szemben, míg a 49 százalékuk nagyon sérülékenynek nevezte az általa is felügyelt infrastruktúrákat. Vagyis az illetékes szakemberek átlátják a biztonsági helyzetüket, már "csak" cselekedni kellene. Ez azonban nem olyan egyszerű feladat, mint elsőre tűnik. Ráadásul úgy fest, hogy sokszor éppen a compliance hátráltatja a megfelelő kockázatcsökkentést.

Első a megfelelőség

A felmérés során arra derült fény, hogy az egészségügyi intézmények az információbiztonság terén roppant módon megfelelőségvezérelt szemléletet alkalmaznak. Ez egyrészt nyilvánvalóan jó, hiszen segít egységes mederbe terelni a biztonságot, auditálhatóvá teszi a rendszereket stb. Sajnos azonban van egy hátulütője is: a szervezetek gyakran csak arra koncentrálnak, hogy a rájuk vonatkozó előírásoknak a lehető legnagyobb mértékben megfeleljenek, miközben az előírások csak lassan képesek lekövetni a fenyegetettségi térkép változásait. Emiatt előfordulhat, hogy egy szervezet compliance téren rendben van, de korántsem képes megfelelni az éppen aktuális védelmi feladatoknak. 

Az egészségügyi adatok komoly értéket képviselnek az internetes feketepiacon, ami egyértelműen arrafelé tereli az adattolvajokat, hogy minél több ilyen jellegű információt zsebeljenek be. A Vormetric szerint nagyságrendekkel nagyobb kereslet mutatkozik a kiberbűnözők körében az egészségügyi adatokra, mint például a hitelkártyák iránt. Ennek oka, hogy ezek az információk rossz kezekben megannyi visszaélésre adhatnak lehetőséget, és a hitelkártya-csalásoknál jóval nagyobb károkozásokhoz járulhatnak hozzá.

Felvetődik a kérdés, hogy a szervezetek ezeket az értékes adatokat hol és milyen módon tárolják. A felmérés rávilágított arra, hogy az intézmények mind gyakrabban helyezik ki a bizalmas információikat a felhőkbe. (62 százalékuk PaaS, 58 százalékuk SaaS és 55 százalékuk IaaS megoldásokat is igénybe vesz.) Teszik mindezt annak ellenére, hogy a cloudos adatkezelést nagyon kockázatosnak tartják. A legtöbben a cloud rendszerek átláthatóságára, a titkosítási hiányosságokra, a megfelelőségi problémákra és az incidensreagálás nehézségeire panaszkodnak.

Mire számíthatunk?

Jó hír, hogy a megkérdezett szervezetek képviselőinek 56 százaléka arról számolt be, hogy idén több anyagi erőforrás fog rendelkezésre állni a védekezéshez. 37 százalékuknál nem változik a költségvetés, míg 7 százalékuknak vissza kell fognia a kiadásait. Az elkövetkező egy évben a legtöbben a hálózatbiztonságot szeretnék fejleszteni, de sokan a végpont- és mobilbiztonságot is jelentősebb mértékben kívánják javítani.