IOs siste rapport om informasjonssikkerhetstilstanden tegner et bilde av en helsesektor under vedvarende press. Organisasjoner er ansvarlige for å beskytte svært sensitive data, opprettholde tjenester som alltid er på, og koordinere på tvers av komplekse kliniske, operative og leverandørøkosystemer. Når sikkerhetskontroller svikter, strekker konsekvensene seg utover økonomisk tap for pasientsikkerhet, tjenestekontinuitet og offentlig tillit.

Funnene fra årets rapport viser at ledere innen helsevesenets sikkerhet balanserer økende regulatoriske krav, vedvarende bemannings- og budsjettbegrensninger og økende avhengighet av tredjeparter. Selv om AI-aktiverte trusler tydelig dukker opp, tyder dataene på at sektorens definerende utfordringer er mer strukturelle: robusthet, styring, arbeidsstyrkekapasitet og vanskeligheten med å skalere sikkerhet og samsvar i komplekse miljøer.

Våre respondenter inkluderte erfarne ledere innen cyber- og informasjonssikkerhet i hele det britiske og amerikanske helseøkosystemet. Svarene deres avslører hvor risikoen konsentreres, hvordan hendelser materialiserer seg, og hva som former prioriteringene for det kommende året.

Nedenfor pakker vi ut 11 viktige statistikker som alle ledere innen helsevesenet bør forstå fra årets rapport.

 

Viktig informasjonssikkerhetsstatistikk for helsesektoren

  1. 67 % sier at helsevesenets natur gjør det spesielt utfordrende å implementere effektive informasjonssikkerhetstiltak.
  2. 77 % sier at hastigheten og omfanget av regelendringer gjør det stadig vanskeligere å overholde standarder for informasjonssikkerhet.
  3. Budsjettbegrensninger er den mest nevnte utfordringen, og rammer 51 % av organisasjonene, tett fulgt av et kompetansegap innen informasjonssikkerhet (47 %).
  4. 32 % rapporterer utbrenthet i infosec- og compliance-team, mens 32 % også sliter med personalomsetning og -retensjon.
  5. Bare 8 % sier at de ikke har opplevd noen cybersikkerhetshendelser de siste 12 månedene.
  6. 55 % har blitt påvirket av en sikkerhetshendelse hos en tredjepart eller i forsyningskjeden i løpet av det siste året, hvorav 20 % har blitt påvirket flere ganger.
  7. Datainnbrudd er fortsatt utbredt: 37 % rapporterer brudd totalt sett, med ansattdata (30 %), partnerdata (28 %) og økonomiske data (27 %) som oftest kompromittert.
  8. 45 % sier at toppledelsen fortsatt behandler samsvar med informasjonssikkerhetsregler som en ettertanke, til tross for at 83 % rapporterer en klar sikkerhetsstrategi og 85 % støtter ansvarlighet på styrenivå.
  9. 40 % oppgir manglende bevissthet blant ansatte som en sentral sikkerhetsutfordring, med vanlige feil som bruk av offentlig Wi-Fi (40 %) og klikking på mistenkelige lenker (35 %).
  10. Tidsbesparelser fra mer effektive sikkerhetsprosesser er den sterkeste rapporterte avkastningen fra samsvar, nevnt av 47 % av organisasjonene.
  11. 95 % er trygge på sin evne til å reagere på en større cybersikkerhetshendelse, og 68 % sier at tilliten har økt det siste året.

Tredjepartsavhengighet og risiko i forsyningskjeden

Helsevesenets avhengighet av tredjeparter er strukturell. Kliniske systemer, administrert IT, skytjenester, spesialprogramvare, medisinsk utstyr og outsourcet drift utvider alle angrepsflaten. Det er derfor ikke overraskende at halvparten av respondentene (50 %) er enige i at risikoer i forsyningskjeden nå er «utallige og uhåndterlige», og hendelsesdataene støtter denne bekymringen.

55 % av helseorganisasjonene ble rammet av en tredjepartshendelse i løpet av de siste 12 månedene, og én av fem (20 %) ble rammet flere ganger. Det som skiller seg ut er arten av konsekvensene. Leverandørhendelser skaper ikke bare samsvarsarbeid; de forstyrrer leveransen. Respondentene rapporterte oftest forsinkelser eller forstyrrelser i tjenesteleveransen (36 %), tap av viktige partnerskap eller kontrakter (36 %) og midlertidige driftsforstyrrelser (33 %). I nesten en tredjedel av tilfellene avsluttet organisasjonene leverandøren fullstendig (30 %), noe som signaliserer at leverandørtillit i økende grad er betinget.

Leverandørforventningene skjerpes tilsvarende. Helseorganisasjoner krever nå en blanding av sektorspesifikke og generelle rammeverk fra partnere, inkludert HIPAA (35 %), Cyber ​​Essentials (37 %), NIST (29 %), i tillegg til ISO-standarder som 27001, 27701 og 42001 (20 % hver). Spesialregimer som HITRUST (23 %) og ISO 13485 (20 %) blir også stadig mer vanlige. Bare 3 % rapporterer at de ikke krever noen standarder i det hele tatt.

Retningen er klar: tredjepartssikring beveger seg fra due diligence til kontroll av operasjonell robusthet, med strengere krav, hyppigere validering og en tettere kobling mellom leverandørens holdning og kontinuitetsplanlegging.

Et vedvarende hendelsesmiljø

En annen klar innsikt fra rapporten er at helseorganisasjoner opererer i et grunnleggende miljø med høy hendelse, i stedet for å møte isolerte hendelser. Bare 8 % rapporterer at de har unngått cybersikkerhetshendelser helt i løpet av de siste 12 månedene. Datainnbrudd rammet 37 % av organisasjonene, mens phishing eller vishing (32 %), skadevareinfeksjoner (27 %), skybrudd (25 %) og nettverksinnbrudd (22 %) fortsatt er vanlige.

Omfanget av kompromitterte data gjenspeiler helsevesenets komplekse informasjonsflyt. Ansattdata ble kompromittert i 30 % av organisasjonene, etterfulgt av partnerdata (28 %), økonomiske data (27 %), forskningsdata (27 %) og produktdata (23 %). Personlig identifiserbar informasjon (PII) ble kompromittert sjeldnere (20 %), men virkningen er uforholdsmessig stor.

Der det oppsto brudd på personopplysningsplikten, resulterte 75 % i juridiske eller regulatoriske bøter eller kostnader, og halvparten (50 %) bidro til nedleggelse av virksomheter eller en strategisk endring. Dette fremhever den unikt høye risikoen knyttet til datakompromittering i helsevesenet, der regulatoriske, omdømmemessige og driftsmessige konsekvenser møtes.

Hendelser er med andre ord ikke lenger eksepsjonelle feil. De er en tilbakevendende driftsrisiko som må forutses, absorberes og gjenopprettes som en del av normal tjenestelevering.

Arbeidskapasitet og driftsbelastning

Bak hendelsesdataene skjuler det seg et bilde av en sektor under vedvarende driftspress. Budsjettbegrensninger påvirker 51 % av helseorganisasjonene, noe som gjør det til den mest nevnte utfordringen. Samtidig rapporterer 47 % et kompetansegap innen informasjonssikkerhet, mens 32 % nevner utbrenthet i infosec- og compliance-team, og 32 % sliter med personalomsetning og -retensjon.

Dette presset forsterkes av strukturell kompleksitet. 37 % nevner IT- og teknologispredning som en utfordring, og 33 % sliter med å avgjøre hvilke sikkerhetsprosesser som trygt kan automatiseres. Etter hvert som verktøyene øker og ansvaret utvides, blir team i økende grad tvunget til å håndtere fragmenterte arbeidsflyter, overlappende dashbord og inkonsekvent bevismateriale.

For helseorganisasjoner som opererer under konstant tjenestepress, oversettes denne mangelen på sammenheng direkte til risiko: hull i synlighet, forsinket respons og større avhengighet av individuell ekspertise. Over tid er ikke dette en bærekraftig driftsmodell.

Reguleringspress og samsvarsgjennomføring

Reguleringskompleksitet var også et av de definerende trekkene ved helsesikkerhetslandskapet i rapporten vår. 77 % sier at hastigheten og volumet av regelendringer gjør det stadig vanskeligere å overholde regler, mens 39 % nevner samsvar med forskrifter og standarder som en direkte driftsmessig utfordring.

Kapasiteten er ujevn. Bare 27 % føler seg fullt rustet til å håndtere overlappende regelverk og rammeverk som GDPR, NIS 2 og HIPAA, mens 33 % trenger ekstern hjelp av og til. Resten rapporterer om hull i tid, spesialistkompetanse eller støtte på styrenivå.

Dette gapet mellom forpliktelse og utførelse gjenspeiles i resultatene. 70 % av organisasjonene har mottatt minst én bot for databeskyttelse i løpet av det siste året, og en betydelig andel har fått bøter på sekssifrede beløp. Likevel viser dataene også at struktur er viktig. Én av fem rapporterer ingen store utfordringer med å overholde ISO 27001, antyder at der kontroller, bevis og gjennomgangsprosesser er systematisert, blir etterlevelse mer forutsigbar og mindre byrdefull.

Der samsvar utføres godt, gir det konkrete fordeler. 47 % nevner tidsbesparelser fra mer effektive sikkerhetsprosesser, 38 % forbedret beslutningstaking og 37 % reduserte hendelsesrelaterte kostnader, noe som forsterker argumentet om at når organisasjoner går fra samsvar som forpliktelse til samsvar som operasjonell disiplin, er gevinsten betydelig.

Menneskelig atferd og innebygd risiko

Ansattes atferd fortsetter å eksponere helseorganisasjoner for unngåelig risiko. 40 % nevner manglende bevissthet blant ansatte som en nåværende utfordring, og rapportert atferd gjenspeiler dette gapet. 40 % rapporterer at ansatte bruker offentlig Wi-Fi til jobb, 35 % rapporterer at de klikker på mistenkelige lenker, og 32 % rapporterer usanksjonert bruk av generative AI-verktøy. Svake passordpraksiser og usikrede personlige enheter påvirker hver 28 % av organisasjonene.

Denne atferden er sjelden et resultat av likegyldighet. Den gjenspeiler miljøer der sikre prosesser er fragmenterte, inkonsekvente eller vanskelige å følge. Når sikkerhetskontroller skaper friksjon eller treg levering, velger personalet bekvemmelighet som standard.

I helsevesenet, der ansatte ofte har tilgang til kliniske systemer og sensitive data, blir det like viktig å integrere sikker atferd i hverdagens arbeidsflyter som formell bevisstgjøringsopplæring.

AI som en forsterker, ikke kjernebegrensningen

AI spiller en fremtredende rolle i helsevesenets nye trusselbilde. 51 % nevner AI-generert feilinformasjon og desinformasjon som en stor bekymring, mens 47 % peker på AI-drevet phishing. Internt er 33 % bekymret for misbruk av generative AI-verktøy, og 52 % er enige i at de tok i bruk AI for raskt og nå sliter med å styre den ansvarlig.

Samtidig sier 45 % at AI og maskinlæringsteknologier for tiden hindrer deres informasjonssikkerhetskapasiteter, og 63 % mener at fremskritt innen AI visker ut tradisjonelle sikkerhetsroller.

Dataene tyder imidlertid på at AI forsterker eksisterende svakheter snarere enn å skape helt nye. Styringshull, begrensninger i arbeidsstyrken, avhengighet av tredjeparter og regulatorisk kompleksitet er fortsatt de dominerende pressene. AI øker hastigheten og omfanget av risiko, men den erstatter ikke behovet for strukturerte kontroller, tydelig ansvarlighet og integrert tilsyn.

Tillit, beredskap og veien videre

Til tross for høye hendelsesvolumer og økende press, er tillitsnivået i helsevesenet fortsatt påfallende høyt. 95 % sier at de er trygge på sin evne til å reagere på en større cybersikkerhetshendelse, og 68 % rapporterer at tilliten deres har økt det siste året.

Denne tilliten er forankret i konkret kapasitet. Nesten halvparten gjennomfører regelmessig hendelsesresponstesting (47 %), 49 % har klart definerte roller under hendelser, og 42 % opprettholder dokumenterte responsplaner. Mange integrerer respons med forretningskontinuitet og katastrofegjenoppretting (33 %) og er avhengige av ekstern støtte som MSSP-er eller juridisk rådgivning (30 %).

Den gjenværende utfordringen er konsistens. Tilliten er sterkest der hendelsesrespons øves inn, leverandørscenarier inkluderes og ledelsen er aktivt engasjert før, under og etter hendelser.

På tvers av årets funn er ett tema gjennomgående: manuelle, fragmenterte og personavhengige tilnærminger når sine grenser. Helseorganisasjoner som tar i bruk integrerte, repeterbare systemer for håndtering av sikkerhet, risiko og samsvar, på tvers av interne team og tredjepartsøkosystemer, vil være best posisjonert til å opprettholde motstandskraft uten å overbelaste allerede anstrengte ressurser.

Les hele rapporten om tilstanden til informasjonssikkerhet.