NIS Regulations: A New Era of Cybersecurity for England's Healthcare Sector
Innholdsfortegnelse:
Når du tenker på utfordringene det nasjonale helsevesenet står overfor, kan ting som mangel på midler og ansatte, lange ventelister, en økende befolkning og stadig endrede pasientbehov dukke opp.
Likevel har et enkelt cyberangrep makt til å slå alle NHS' kritiske informasjonskommunikasjonssystemer offline, noe som gjør det vanskeligere for leger og sykepleiere i frontlinjen å gjøre jobben sin og til slutt redde liv. Det beryktede WannaCry-cyberangrepet, utført av nordkoreanske hackere, infisert datamaskiner på tvers av 595 legekontorer i England og forstyrret driften av en tredjedel av engelske NHS-sykehustruster.
I tillegg til å påvirke den daglige driften til legeoperasjoner og sykehus over hele landet, kan cyberangrep mot NHS også føre til lekkasje av sensitive helsedata. I juni, The Independent rapportert at cyberkriminelle stjal personopplysningene til 1.1 millioner NHS-pasienter på 200 sykehus etter å ha satt i gang et løsepengeangrep på University of Manchester. Det antas at disse lekkede dataene inkluderte pasientenes NHS-nummer og deler av deres hjempostnummer.
For å forhindre fremtidige cyberangrep og datalekkasjer som påvirker NHS, har Joint Cyber Unit gitt ut ny veiledning angående utrullingen av regelverket for nettverk og informasjonssystemer (NIS) på tvers av helseorganisasjoner i England. Denne avgjørelsen antyder at regulatorer nå ser på helsedata som en kritisk nasjonal infrastruktur (CNI). Så hvorfor er dette tilfellet, og hva betyr den nye veiledningen for helsepersonell i England?
Hva er NIS-regelverket?
NIS-regelverket, som kom inn i lovbøkene i mai 2018, har som mål å styrke cybersikkerhetsstillingen til operatører av essensielle tjenester (OES). Disse organisasjonene leverer tjenester som er avgjørende for et fungerende samfunn og økonomi, inkludert transport, vann, elektrisitet og nå helsetjenester.
I nye veiledninger beskriver myndighetene helsetjenester som "en essensiell tjeneste under NIS-forskriften". Den klassifiserer NHS-truster, foundation-truster, integrerte omsorgsstyrer (ICB) og spesifikke uavhengige leverandører som "OESs for healthcare services", noe som betyr at de må ta passende skritt for å overholde NIS-forskriftene.
I henhold til disse reglene må helseorganisasjoner være i stand til å håndtere alle cybersikkerhetstrusler som påvirker nettverket og informasjonssystemene de bruker for å levere viktige tjenester. Dette innebærer å forhindre og minimere effekten av cyberangrep på helsenettverk og informasjonssystemer samtidig som man "sikrer kontinuiteten til disse tjenestene".
NIS-regelverket betyr at helsepersonell må ta i bruk «omfattende risikostyringspraksis», ifølge Jack Porter, spesialist i offentlig sektor, Logpoint. Disse tiltakene inkluderer "vurdere potensielle risikoer, implementere sikkerhetstiltak og regelmessig gjennomgang av disse for å beskytte pasientdata".
Helseleverandører må også implementere "mer sikkerhetsrelaterte retningslinjer for forsyningskjeden" for å overholde NIS-regelverket. Porter sier: "Dette betyr å sikre at partnere og leverandører overholder strenge sikkerhetsstandarder for helsepersonell, spesielt når de håndterer pasientdata eller yter kritiske tjenester."
Når det gjelder å redusere cybersikkerhetsrisikoer og til slutt overholde NIS-regelverket, anbefaler Porter at helsepersonell tar i bruk et styringssystem for informasjonssikkerhet (ISMS). Han legger til at implementering av et sikkerhets- og hendelseshåndteringssystem (SIEM) vil gjøre det mulig for helseorganisasjoner å "oppdage og svare på hendelser" og overholde industristandarder som ISO 27001.
Nye teknologier som blokkjede kan også hjelpe helsepersonell med å beskytte viktige systemer mot cyberangrep og datalekkasjer. Simon Bain, AI-ekspert og administrerende direktør i OmniIndex, forklarer at den desentraliserte teknologien "tilbyr forbedret sikkerhet, personvern og åpenhet over eldre infrastruktur".
Han fortsetter: "Dette er fordi det er kryptert ende-til-ende, har ingen sentral plassering for en kriminell å angripe, og bruker AI for kontinuerlig å autentisere og autorisere tilgang for å sikre at bare de som har tillatelse til å se visse data kan se den. Videre er lagrede data uforanderlige. Dette betyr at selv om et angrep var vellykket, kan ikke dataene krypteres av en angriper og holdes til løsepenger.»
Rapportering av Cyber-hendelser
Hvis en helsepersonells nettverk og informasjonssystemer blir påvirket av en cybersikkerhetshendelse som påvirker kontinuiteten til deres essensielle tjenester, må de sende inn en rapport ved å bruke Verktøysett for datasikkerhet og beskyttelse (DSPT).
De må rapportere hendelsen minst 72 timer etter at de la merke til den og inkludere informasjon om hvor mange brukere som ble berørt av et brudd, lengden og den berørte geografiske plasseringen.
Porter sier at NIS-reglene ligner på GDPR ved at de tar sikte på å «utvide krav til hendelsesrapportering utover de som påvirker kontinuiteten i tjenesten. Han forklarer: "Helsetjenesteleverandører må rapportere betydelige hendelser som påvirker nettverket og informasjonssystemene deres med anbefalinger om en sikkerhetsrevisjon."
Han sier at å ta i bruk en SIEM-plattform gjør det mulig for saksbehandlere av cybersikkerhetshendelser i helsevesenet å «akselerere etterforskning og respons». Disse systemene gir logg-trusselintelligens, og gir etterforskerne et "fullstendig bilde av hva som skjer" og lar dem "lage rapporter direkte fra hver sak".
Hvorfor er NIS viktig for helsevesenet?
Det er flere mulige årsaker bak den britiske regjeringens beslutning om å gjøre NIS-regelverket gjeldende for den engelske helsesektoren. Den kanskje største motivatoren er at et komplekst utvalg av sammenkoblede systemer spiller en kritisk rolle i den daglige leveringen av moderne helsetjenester.
Fra elektroniske helsejournaler til Internett-tilkoblet diagnoseutstyr, helseteknologier slår hjertet av NHS i 2023. Men de er også et lukrativt mål for nettkriminelle og må beskyttes for å unngå katastrofale nettbrudd som kan påvirke det engelske helsevesenet.
Matt JD Aldridge, hovedløsningskonsulent i OpenText Cybersecurity, sier at helsedataenes «ekstremt sensitive» natur og deres verdi for cyberkriminelle sannsynligvis er viktige faktorer i regjeringens beslutning om å anvende NIS-regelverket på det engelske helsevesenet.
"Hvis et angrep skulle forstyrre et medisinsk anlegg, bringer det alvorlig risiko for pasienter. Dette er grunnen til at industrien er veldig i søkelyset og derfor må adressere sikkerhet på flere måter, sier han.
"Det har også vært mange, godt publiserte angrep eller brudd på NHS i løpet av de siste årene, noe som kan ha ansporet denne omstillingen for å sikre bedre beskyttelse og veiledning til helseorganisasjoner som helhet."
Koronaviruspandemien fremhevet viktigheten av NHS under en folkehelsesituasjon, så det kan hevdes at et forstyrret helsevesen ville være dårlig for britisk nasjonal sikkerhet. Ved å forbedre cyberresiliensen til NHS, vil ikke nasjonalstater være i stand til å forstyrre Storbritannias evne til å yte kritisk omsorg under fremtidige pandemier og andre folkehelsekriser.
Å underlegge helsepersonell for NIS-regelverket vil gjøre dem i stand til å implementere beste praksis for cybersikkerhet for å redusere fremtidige cyberangrep og datainnbrudd, som ellers ville satt pasienter i fare, resultere i store bøter og forårsake skade på omdømmet. Englands beslutning om å styrke cybersikkerheten i helsesektoren på denne måten vil sannsynligvis inspirere andre nasjoner til å ta lignende skritt, og øke Storbritannias innflytelse på verdensscenen.
Få NIS-regelverket til å fungere
Til tross for fordelene kan NIS-regelverket by på ulike utfordringer for helseorganisasjoner i England. Spesielt mindre leverandører vil bli rammet av den økonomiske byrden ved å kjøpe cybersikkerhetssystemer og oppdatere eldre IT-systemer. Å gjøre disse tingene krever også spesifikk ekspertise, som små helsepersonell kanskje ikke har internt. Opplæring av ansatte i å identifisere og reagere på nettangrep vil ta litt tid.
Totalt sett vil utrullingen av NIS-forskrifter over den engelske helsesektoren beskytte den mot eksisterende og nye cybersikkerhetstrusler. Men for at denne overgangen skal lykkes, er tett samarbeid mellom myndigheter, regulatorer, helsepersonell og eksperter på nettsikkerhet grunnleggende.
