В связи с ростом количества кибератак с использованием искусственного интеллекта рентгенологам может быть сложно сбалансировать быстрый доступ пациентов к диагностическим изображениям и защиту конфиденциальных медицинских данных.

Вот почему придание приоритета инвестициям в кибербезопасность — например, в передовые системы сетевой безопасности, дополненные регулярными обновлениями программного обеспечения, аудитами и оценками проникновения — и предложение обучения персонала обеспечению безопасности медицинских данных и оборудования могут сэкономить значительные расходы радиологических отделений.

Шуджа Дас Гупта.

Операционная модель радиологии во многом зависит от совместимости различных систем здравоохранения и визуализации для эффективного обследования и диагностики пациентов. Однако с ростом числа инцидентов, связанных с кибербезопасностью, поставщики медицинских услуг активно стремятся увеличить инвестиции в защиту данных в постоянно развивающейся цифровой среде. По данным исследования кибербезопасности, проведенного Институтом Понемон в 2023 году, 88% организаций здравоохранения подверглись в среднем 40 атакам за предыдущие 12 месяцев со средней стоимостью 5 миллионов долларов США.

В ответ на растущее число угроз кибербезопасности правительства и регулирующие органы призывают поставщиков медицинских услуг создать программы кибербезопасности, направленные на защиту личной информации всех вовлеченных лиц. С помощью новой структуры и политики кибербезопасности бригады радиологов могут сосредоточиться на более быстрой диагностике и лечении пациентов без ущерба для конфиденциальности и безопасности.

Новые проблемы

Радиологические практики располагают огромным объемом ценных данных о пациентах, что требует безопасного хранения за счет исключения ведомственных разрозненных данных и их передачи для предотвращения угроз кибербезопасности. Однако развивающаяся среда радиологической информатики в клинической практике представляет собой постоянную проблему безопасности утечки данных. Инвестиции в надежные меры кибербезопасности, внедрение совместимых систем и развертывание эффективных корпоративных решений для хранения данных необходимы для эффективной обработки растущего объема радиологических данных.

Согласно сообщению Pioneer Press , недавняя предполагаемая кибератака на компанию «Консультационные радиологи» в Иден-Прейри, штат Миннесота, остановила радиологические операции в связанных с ними медицинских учреждениях, что нарушило уход за пациентами и привело к перенаправлению пациентов с критическим инсультом и травмами в другие учреждения . С ростом радиологической практики и возможностей амбулаторной визуализации мы увидим увеличение количества аутсорсинговых диагностических изображений. Разработка программ обучения по кибербезопасности для радиологов жизненно важна для укрепления общего уровня безопасности радиологических практик и небольших медицинских учреждений.

Воздействие таких злонамеренных атак имеет далеко идущие последствия для организаций здравоохранения, приводя к юридическому, репутационному и клиническому ущербу или даже к человеческим жертвам. Кроме того, нельзя игнорировать заметную закономерность между самыми высокими средними затратами на утечку данных и резким ростом стоимости вредоносного ПО в последние годы. Имеет смысл только то, что ведущие учреждения, такие как Всемирная организация здравоохранения (ВОЗ), призывают к укреплению кибербезопасности с помощью оперативных подходов. Действительно, путь к повышению киберустойчивости труден и таит в себе множество проблем и проблем.

Более того, ИТ-отделы радиологической визуализации по-прежнему работают с устаревшими системами, в которых часто отсутствуют новейшие функции безопасности и базовые обновления операционной системы. Еще одним фактором является недостаточное инвестирование в программы кибербезопасности в области информационных технологий здравоохранения (HCIT); устаревшие радиологические системы должны быть частью постоянного плана снижения рисков безопасности HCIT. Отсутствие приоритезации рисков, фрагментированное управление и культурное поведение — это другие факторы, которые препятствуют киберустойчивости организаций. Острая нехватка специалистов по кибербезопасности с определенным набором навыков только усложняет задачу рентгенологов и медицинских работников, сталкивающихся с беспрецедентными угрозами.

В результате многим радиологическим отделениям не хватает необходимых ресурсов и опыта для эффективной борьбы с этими угрозами, что приводит к непоследовательному принятию строгих мер кибербезопасности во всей организации. Ситуация усугубляется резким увеличением объемов данных от передовых технологий визуализации, таких как 3D-маммография (также известная как цифровой томосинтез молочной железы), которые создают изображения, которые в 20 раз больше, чем обычные 2D-маммографии. Исследования искусственного интеллекта для расширенной аналитики изображений также играют свою роль.

Удаленный обмен личной информацией (PII), конфиденциальными медицинскими данными и использование устаревшего программного обеспечения создают значительные уязвимости, открывая потенциальные возможности для несанкционированного доступа и использования хакерами.

Нападение – лучшая защита

Ключом к обнаружению стратегии атаки является сначала устранение источника. Примечательно, что сотрудники больше не являются главными виновниками киберугроз в области радиологии, согласно отчету Verizon 2022 Data Breach Investigations Report . Выдающееся положение шаблона базовой атаки на веб-приложение здесь означает сдвиг в динамике угроз, отводящий инсайдерским угрозам меньшую роль.

Подчеркивая острую необходимость в усиленных мерах безопасности, отделения радиологии должны иметь строгие стратегии кибербезопасности для защиты данных пациентов от таких атак. В свете последних событий исследование Cisco Security Outcomes показывает, что 96% руководителей в различных отраслях отдают приоритет устойчивости безопасности. Критичность очевидна; Отделения радиологии должны рассматривать кибербезопасность как стратегический императив, а не как второстепенную мысль.

Технологические сложности технологий медицинской визуализации, сопровождаемые пробелами в интеграции с различными ИТ-системами, делают отделения радиологии еще более уязвимыми.

Обеспечение безопасности радиологических отделений

Растущие расходы, связанные с утечкой данных, вынуждают руководителей радиологических отделений инвестировать в надежную инфраструктуру кибербезопасности и проводить регулярные оценки уязвимостей для смягчения угроз.

Однако, несмотря на предчувствие угроз, многие радиологические операции, как правило, занимают пассивную выжидательную позицию. Такой слабый подход не может ни защитить данные пациентов, ни упреждающе предотвратить нарушения безопасности. К счастью, существуют действенные меры, которые могут реализовать все руководители радиологии, чтобы укрепить свою защиту и поддержать операционную целостность. Эти шаги включают в себя:

• Поощряйте обучение в масштабах всей организации: Фишинг — это основной метод кибератак, использующий программы-вымогатели. Отделения радиологии могут значительно уменьшить ущерб от таких атак при должной подготовке и осведомленности. Информирование руководителей и сотрудников о фишинге и связанных с ним рисках, важности надежных паролей и других проблемах кибербезопасности может помочь значительно снизить риск атак.
• Активно обеспечивайте соответствие: проекты модернизации, такие как совместимые системы и API, могут подвергнуть ИТ-отделы потенциальным уязвимостям. Отделения радиологии должны регулярно проверять старые системы и проверять, соответствуют ли новые новейшим мировым нормативным стандартам. Это может помочь им улучшить общее соблюдение требований и кибербезопасность.
• Изучите облачную безопасность: развертывая облачные решения безопасности, руководители радиологических отделений могут хранить медицинские данные в зашифрованном формате. Эти решения усилены несколькими уровнями защиты и включают меры безопасности корпоративного уровня, возможности мониторинга в реальном времени и масштабируемую емкость хранилища. Организации могут получить двустороннюю выгоду, надежно храня конфиденциальные данные о состоянии здоровья и используя надежные протоколы безопасности.
• Обеспечение управления согласием пациентов и конфиденциальности. Согласие пациента является ключевым элементом обеспечения конфиденциальности и защиты данных пациентов. Отделения радиологии должны заранее сообщать о том, как данные пациентов собираются, используются и получают к ним доступ с должной осмотрительностью. Поскольку согласие пациента лежит в основе операций, сотрудники радиологии могут продемонстрировать свою приверженность соблюдению стандартов конфиденциальности пациентов и придерживаться этических норм в отношении обработки данных.
• Надлежащий контроль сторонних поставщиков. Отделения радиологии в значительной степени полагаются на сторонних поставщиков, включая поставщиков облачных услуг, дополнительных услуг и управляемых услуг, для удовлетворения своих потребностей в ИТ-услугах. Крайне важно проверять этих поставщиков, проверяя их протоколы безопасности, оценивая их учетные данные и оценивая их стандарты соответствия. Например, поставщики облачных услуг должны были успешно пройти аудит HIPAA и получить сертификат HITRUST. Выбирая поставщиков на основе строгих мер кибербезопасности и соответствующих сертификатов, отделения радиологии могут в конечном итоге защитить данные пациентов и придерживаться лучших отраслевых практик.
• Внедрение архитектуры нулевого доверия. Стратегия архитектуры нулевого доверия рассматривает каждого пользователя или устройство, пытающегося получить доступ к системе, как потенциально вредоносного, пока не будут установлены аутентификация и доверие. Как специалисты-рентгенологи могут защитить свои системы и данные от потенциальных рисков после развертывания архитектуры? Используя механизмы шифрования высшего уровня для защиты данных при передаче и хранении. Этот дополнительный уровень усиливает меры безопасности, снижая риск взломов или кибератак. Таким образом, организации могут укрепить свою общую киберзащиту, одновременно защищая конфиденциальные данные от потенциальных угроз.
• Взгляд на уровень безопасности через призму стороннего эксперта: достаточно ли регулярных оценок для выявления уязвимостей и слабых мест в системе безопасности радиологических операций? Авторитетная сторонняя охранная фирма может предоставить ценную информацию о существующих мерах безопасности и областях, которые нуждаются в улучшении. Тесты проводятся для оценки стандартов кибербезопасности, проникновения и соответствия организации.
• Непрерывный мониторинг. Отделения радиологии должны регулярно пересматривать и обновлять политики и процедуры кибербезопасности. Они также должны проводить оценки безопасности и предлагать углубленное обучение по угрозам и методам предотвращения. Руководители должны создавать среду, в которой сотрудники чувствуют себя вправе сообщать о подозрительной деятельности.

Реализовав эти меры, руководители радиологических отделений смогут перейти от реактивного подхода к более упреждающему, что значительно улучшит их кибер-позицию.

Заключение

Поскольку центры медицинской визуализации каждую минуту сталкиваются с агрессивными атаками, крайне важно изменить образ мышления – начиная с развития культуры осведомленности о кибербезопасности и заканчивая реализацией стратегий превентивной защиты и найма экспертов с уникальным набором навыков, которые помогут рентгенологам и руководителям отделений защититься от киберзлоумышленников. Таким образом, благодаря коллективному подходу к кибербезопасности, объединяющему людей, мышление и технологии, здравоохранение может выиграть войну против кибератак.

Дхавал Шах — исполнительный вице-президент и глава рынка MedTech, а Шуджа Дас Гупта — вице-президент MedTech в CitiusTech.

Внимание, автоперевод! За ошибки перевода ответственности не несём. Первоисточник по ссылке.