Som vilket stort företag som helst, ett modernt sjukhus har hundratals – till och med tusentals – arbetare som använder otaliga datorer, smartphones och andra elektroniska enheter som är sårbara för säkerhetsintrång, datastölder och ransomware-attacker. Men sjukhus skiljer sig från andra företag på två viktiga sätt. De för journaler, som är bland de mest känsliga uppgifterna om människor. Och många sjukhuselektronik hjälper till att hålla patienterna vid liv, övervakning av vitala tecken, administrera mediciner, och till och med att andas och pumpa blod för de som är i de mest svåra förhållanden.

Ett dataintrång 2013 vid University of Washington Medicine medicinsk grupp äventyrade cirka 90, 000 patientjournaler och resulterade i 750 USD, 000 bot alltifrån federal regulatorer. 2015, UCLA Health System, som inkluderar ett antal sjukhus, avslöjade att angripare fick tillgång till en del av dess nätverk som hanterade information för 4,5 miljoner patienter. Cyberattacker kan störa medicinsk utrustning, stänga akutmottagningar och avbryta operationer. WannaCry-attacken, till exempel, störde en tredjedel av Storbritanniens nationella hälsovårdsorganisationer, vilket resulterar i inställda möten och operationer. Den här typen av problem är ett växande hot inom hälso- och sjukvårdsbranschen.

Att skydda sjukhusens datornätverk är avgörande för att bevara patienternas integritet – och till och med livet självt. Ändå visar ny forskning att sjukvårdsindustrin släpar efter andra branscher när det gäller att säkra sina data.

Jag är systemvetare vid MIT Sloan School of Management, intresserad av att förstå komplexa sociotekniska system som cybersäkerhet inom hälso- och sjukvården. En före detta student, Jessica Kaiser, och jag intervjuade sjukhustjänstemän med ansvar för cybersäkerhet och branschexperter, för att identifiera hur sjukhus hanterar cybersäkerhetsfrågor. Vi fann att trots utbredd oro över bristande finansiering för cybersäkerhet, Två överraskande faktorer avgör mer direkt om ett sjukhus är väl skyddat mot en cyberattack:antalet och det varierande utbudet av elektroniska enheter som används och hur anställdas roller stämmer överens med cybersäkerhetsinsatser.

Ett brett utbud av enheter

En stor utmaning för sjukhusens cybersäkerhet är det enorma antalet enheter med tillgång till en anläggnings nätverk. Som med många företag, dessa inkluderar mobiltelefoner, tabletter, stationära datorer och servrar. Men de har också ett stort antal patienter och besökare som kommer med sina egna enheter, också – inklusive medicinsk utrustning i nätverk för att övervaka deras hälsa och kommunicera med medicinsk personal. Var och en av dessa artiklar är en potentiell ramp för att injicera skadlig programvara i sjukhusnätverket.

Sjukhustjänstemän kan använda programvara för att säkerställa att endast auktoriserade enheter kan ansluta. Men även då, deras system skulle förbli sårbara för programuppdateringar och nya enheter. En annan viktig svaghet kommer från medicinsk utrustning som erbjuds som gratisprover av enhetstillverkare som verkar på en konkurrensutsatt marknad. De testas ofta inte för korrekt säkerhet innan de ansluts till sjukhusets nätverk. En av våra intervjupersoner nämnde:"På sjukhus … finns det en hel underjordisk upphandlingsprocess där leverantörer av medicintekniska produkter kontaktar kliniker och ger dem massor av saker gratis som så småningom tar sig vidare till våra våningar, och sedan ett år senare får vi en räkning för det."

När ny teknik går förbi vanliga processer för inköp och riskbedömning, de kontrolleras inte för sårbarheter, så de introducerar ännu fler möjligheter till attack. Självklart, sjukhusadministratörer bör balansera dessa farhågor mot de förbättringar av patientvården som nya system kan medföra. Vår forskning tyder på att sjukhus behöver starkare processer och procedurer för att hantera alla dessa enheter.

Personalinköp

Att få sjukhusadministratörer att förstå vikten av cybersäkerhet är ganska okomplicerat:de sa till oss att de är oroliga för kostnaderna, institutionellt anseende och rättsliga påföljder. Att få medicinsk personal ombord kan vara mycket svårare:De sa att de är fokuserade på patientvård och inte har tid att oroa sig för cybersäkerhet.

Människor behandlar vanligtvis cybersäkerhetsskydd som sekundärt till vad de försöker få gjort. En person vi intervjuade beskrev varför en del personal begick den kardinala cybersäkerhetssynden att dela ett lösenord:"För att använda en ultraljudsapparat [behöver du ett lösenord, som] måste ändras var 90:e dag. [Personalen] vill bara använda ultraljudsmaskinen. Den innehåller inte mycket patientdata ... så de skapar en delad inloggning så att de kan ge patientvård."

Behoven kan variera kraftigt på ett sjukhus, på sätt som kan vara överraskande – till exempel tillgång till webbplatser som sannolikt innehåller skadlig programvara. En informationschef på ett forskningssjukhus sa till oss, "Jag tror personligen att hårdpornografi inte har något syfte på enheter som stöds av sjukhus. Vad gjorde jag för fem år sedan? Jag satte upp innehållsfilter på internet som hindrade människor från att navigera till pornografi. Inom fem minuter, direktören för psykiatri ringer för att berätta att vi har ett anslag för att studera pornografi i medicinska sammanhang [så vi var tvungna att ändra våra filter]."

Dessa erfarenheter är anledningen till att vi drog slutsatsen att budgetbegränsningar inte är lika avgörande för sjukhusets cybersäkerhet som medarbetarnas engagemang. Ett sjukhus kan köpa så många delar av hårdvara och mjukvara som det vill. Om arbetarna inte följer organisatoriska rutiner, Tekniken kommer inte att hålla sjukhusen säkra. Vår forskning tyder på att cybersäkerhet handlar lika mycket om att hantera människor som det handlar om teknik.

Efterlevnad är inte säkerhet

Hotet är rikstäckande, och blir allt svårare att försvara sig mot, som en informationssäkerhetschef sa till oss:"Attackernas natur blir allt mer sofistikerad. Det brukade vara mitt största hot var … studenter. Idag, det är statligt sponsrade attacker, terrorism och organiserad brottslighet. Det är fler hot än någonsin tidigare av allvarligare karaktär."

Tyvärr, många sjukhusadministratörer verkar tro att det är lika enkelt att skydda data som att uppfylla statliga och federala bestämmelser. Men det är minimistandarder som inte tar itu med hotet. Som en av våra intervjupersoner sa, "Compliance är en låg nivå. Jag garanterar att små hälso- och sjukvårdsorganisationer och sjukhus inte skulle göra någonting (utan reglering). De skulle ha ett papper på en hylla som kallas deras säkerhetspolicy. Det behövs som en backstop för att åtminstone få företag att tänka till. om det. Men att vara kompatibel löser inte det större riskhanteringsproblemet."

Vår forskning visar att sjukhus måste tänka bortom efterlevnad. Också, med så få sjukhus väl försvarade mot cyberattacker, alla sjukhus framstår som mer attraktiva som potentiella mål. Enligt vår uppfattning, det räcker inte för sjukhus att förbättra sitt eget försvar – och inte heller för tillsynsmyndigheter att höja standarden. De borde klara sig, och utvärdera säkerheten för, enheterna i deras nätverk och se till att medicinsk personal förstår hur god cyberhygien kan stödja god patientvård. Ytterligare, beslutsfattare, vårdledare och sjukhus själva bör arbeta tillsammans för att göra branschen som helhet mindre mottaglig för attacker som hotar människors integritet och deras liv.

Denna artikel publicerades ursprungligen på The Conversation. Läs originalartikeln.