Ökad patientsäkerhet med underrättelsearbete; så kan svenska sjukhus skydda sig mot cyberattacker

6 augusti, 2024

Uppdaterad: 7 augusti, 2024

Uppskattad lästid: 3 min

Introduktion

Fokuserat proaktivt säkerhetsarbete som minskar risken för cyberattacker

Under de senaste åren har antalet cyberattacker mot vårdsektorn ökat markant. En av de mest oroande trenderna är ökningen av ransomware-attacker, där cyberkriminella låser tillgången till kritiska system och data, och kräver en lösensumma för att återställa dem. Dessa attacker kan få förödande konsekvenser, från avbrott i vårdtjänster till potentiell risk för patienters liv.

Det är inte ont om exempel från verkligheten för att påvisa ökningen.

Under sex månader 2023 uppmättes i en undersökning i snitt 1071 cyberattacker i veckan mot den samlade gruppen svenska sjukhus – en skrämmande hög siffra (den samlade gruppen myndigheter och försvar utsattes under samma period för 1059 attacker).
Ett annat exempel bjuder Sophiahemmet på som i februari 2024 drabbades av en omfattande cyberattack. Något senare i april gick Natos kunskapscenter för cyberförsvar i Tallinn ut och varnade för att just sjukhus är bland de främsta målen för attacker.
I vissa fall har även cyberattacker lett till dödlig utkomst, som när en cyberattack mot ett sjukhus i Tyskland 2020 ledde till tappad kontakt med ambulanserna och en kvinna avled då hon inte fick hjälp tillräckligt fort.

Tyvärr ser man nu vissa hotaktörer som går ut och specifikt inriktar sig mot vårdinrättningar.

Att det ser ut så här är inte överraskande i sig. En attack mot just vårdinrättningar, och helst stora sådana, kan ge en flod av enormt värdefulla och känsliga personuppgifter. Dessutom är vårdsektorn tacksam att operera mot för den som vill skapa så stor samhällsstörning som möjligt. Naturen av deras kritiska verksamhet kan också få vissa potentiella angripare att resonera som att det finns större incitament att betala lösensummor.
Många experter menar att allvarlighetsgraden och råheten i attackerna innebär ett radikalt skifte; tidigare har man varit lite mer försiktig att påverka vårdinrättningar alltför kraftfullt, då människors liv är i uppenbar fara. Tyvärr ser man nu vissa hotaktörer som går ut och specifikt inriktar sig mot vårdinrättningar.

En viktig nyckel för att komma åt problemet och slå tillbaka är att ligga steget före, och för det är underrättelsearbete, intelligence management, en viktig taktik. Men vad är det, och hur kan man som säkerhetsansvarig i vårdsektorn använda det för att skydda sig mot cyberattacker?

Läkare sitter framför en datorskärm. Skärmen är röd med vit text.

Vad är intelligence management?

Intelligence management handlar om att samla in och analysera information för att förstå de hot som riktar sig mot en organisation. Arbetssättet kan även kallas för omvärldsbevakning eller underrättelsearbete.

Genom att utnyttja underrättelser kan svenska sjukhus få insikter om potentiella hot innan de blir akuta problem.

Syftet är att kunna dimensionera sitt säkerhetsarbete efter de största hoten som föreligger för stunden och inte behöva gå på magkänsla eller åtgärda samtliga potentiella hot och sårbarheter. Inom vårdsektorn innebär detta att identifiera och förebygga cyberhot som kan kompromettera patientdata och driftsäkerhet. Informationen kommer från OSINT (Open Source Intelligence), en mängd olika källor, inklusive öppna källor, sociala medier, tekniska data och övervakning av mörka webben.
Genom att utnyttja underrättelser kan svenska sjukhus få insikter om potentiella hot innan de blir akuta problem. Detta möjliggör proaktiva åtgärder för att stärka säkerheten och skydda känsliga uppgifter.

Implementering av intelligence management i vården

För att effektivt använda omvärldsbevakning bör sjukhus och vårdinrättningar implementera en systematisk strategi som inkluderar en löpande omvärldsbevakning.

Det löpande arbetet bör föregås av en initial underrättelseanalys för att skapa sig samsyn och en gemensam bild över bland annat organisationens nuläge, förutsättningar och sårbarheter.

Under den initiala analysen bör man skaffa sig en bild av bl.a. nedan:

Exponeringsgrad av teknisk infrastruktur, dvs exponeringen av infrastrukturen från utsidan.
Exponering av medarbetare & ledningsgrupp
Exponering av organisation som helhet, inklusive ex. kontor, dotterbolag, varumärken etc.
Trendanalys inom kundens intresseområden, såsom ex. nya lagar, produkt-/tjänsteutveckling, organisation, hotaktörer etc.

Utöver den här kartläggningen bör man diskutera igenom och skapa sig en gemensam bild över några olika områden.

Vilka är de största hoten mot vår typ av verksamhet?
Vilka geopolitiska, legala eller teknologiska risker finns mot vår verksamhet inom de närmsta fem åren?
Vad innebär de hot och sårbarheter som föreligger mot vår verksamhet?
Hur bör vi prioritera mellan de hot och sårbarheter som föreligger mot vår verksamhet?

Det löpande arbetet kan ta vid efter den initiala analysen. Det finns olika metodiker och tillvägagångssätt beroende på vilka resurser som finns att tillgå, och om man väljer att utföra delar själv, eller ta hjälp i delar.

Löpande omvärldsbevakning i tre steg:

Insamling av data
- Använd olika källor som nätverksloggar, information från säkerhetsincidenter, forum för informationsdelning och externa underrättelse-flöden för att samla in relevant data. Detta bör alltså innefatta information från både interna system och externa kanaler.
- Insamlingen bör ske så regelbundet som möjligt, utan att det blir så pass betungande att det slarvas med. Bestäm er för frekvens, och kom ihåg att det är bättre att börja försiktigt och få det gjort, än att inte komma igång alls.
- Var gärna flera om att samla in data, och ta hjälp av externa leverantörer där ni inte har resurser eller kapacitet.
- Implementera realtidsövervakning som ger er möjlighet att snabbt identifiera och reagera på misstänkta aktiviteter. En sådan övervakning bör inkludera såväl intern (i de egna systemen) som extern övervakning (ex. läckta användaruppgifter, geopolitiska förändringar och förändringar i regleringar).
Bearbetning & Analys av data
- Implementera analysverktyg och algoritmer för att bearbeta den insamlade datan på ett effektivt sätt. Det är i analysen ni identifierar mönster, trender och avvikelser som kan indikera potentiella hot. Genom att analysera data från tidigare incidenter kan man förutse framtida attacker och förbereda lämpliga åtgärder.
- Vi förordar ett prediktivt angreppssätt på informationssäkerhet i allmänhet och omvärldsbevakning i synnerhet. Det innebär att gå bortom att enbart identifiera incidenter och tar sikte på att förutsäga och förhindra hot innan de kan orsaka skada. När man implementerar det här angreppssättet i sin analys får man bättre verktyg för att forma sin verksamhetsstrategi. Man får helt enkelt en klar inblick i de övergripande riskerna och möjligheterna.
Rapportering av insikter
- Tillse att rapportering inte bara innehåller floder av information, utan gallrade insikter. Värdefull data är sådan som är formad som insikt snarare än information, och utformad tydlig utifrån hur man bör agera på den och vem som bör göra det.
- Tillse att de funna insikterna når relevanta nyckelpersoner och inte stannar hos ett fåtal säkerhetsansvariga. Ledning och styrelse bör engageras, och troligtvis finns det också flera nyckelpersoner ute i verksamheten.

Samarbete och informationsdelning i vårdsektorn

Som en samhällskritisk verksamhet faller svenska vårdinrättningar under NIS2-direktivet som ställer krav på informationsdelning. Det finns svenska myndigheter och organ som har som uppgift ur ett EU-perspektiv att samordna arbetet nationellt, men det finns mycket enskilda organisationer kan göra för att delvis bidra till det arbetet, och delvis förbättra sin egen säkerhet.

Genom att utbyta erfarenheter och data kan man bättre förstå och förbereda sig mot potentiella hot.

Insikter från ett eget underrättelsearbete bör i mesta möjliga mån delas med branschaktörer. Här stämmer tesen ”tillsammans blir vi starkare” till fullo, och man bör därför dela med sig av så mycket man kan för att stärka branschen som helhet, såväl som sin egen organisation i det långa loppet.
Några tips för bättre samverkan och informationsdelning följer nedan:

Nationella och internationella nätverk
- Delta i nationella och internationella nätverk och samarbeten för underrättelser. Det kan ex. inkludera att prenumerera på information från organisationer som CERT-SE och andra samarbetsgrupper som ger tillgång till den senaste hotinformationen och bästa praxis. Internationellt finns ex. Health-ISAC eller ENISA.
Informationsdelning inom sektorn
- Samarbeta med andra vårdinrättningar och säkerhetsorganisationer för att dela information om hot och säkerhetsincidenter. Genom att utbyta erfarenheter och data kan man bättre förstå och förbereda sig mot potentiella hot.

Värdet av underrättelser i vårdsektorn

Att implementera ett strategiskt underrättelsearbete i vården har flera fördelar som direkt påverkar säkerhetsarbetet och vardagen inom sjukhus och vårdinrättningar. Nedan följer våra främsta exempel:

Förbättrad hotidentifiering
Genom att arbeta med underrättelser kan säkerhetsansvariga snabbare identifiera och reagera på hot – eller förebygga dem helt innan de inträffar, vilket minskar risken för dataintrång och säkerhetsincidenter. Detta leder till en mer proaktiv snarare än reaktiv säkerhetsstrategi.
Ökad effektivitet
Med en klar förståelse för aktuella hotbilder och sårbarheter kan säkerhetsåtgärder prioriteras och resurser användas mer effektivt. Detta innebär att säkerhetsinsatser kan riktas mot de områden som har störst behov och ger mest nytta.
Främjad samarbetskultur
Genom att dela information och samarbeta med andra vårdinrättningar och säkerhetsorganisationer skapas en kultur av samarbete och gemensam lärande, vilket stärker den övergripande säkerhetsställningen.
Kravuppfyllnad
I många av de regleringar och standarder som sjukvården berörs av ställs krav på ett aktivt underrättelsearbete i någon form. Indirekt ställs även andra krav som underlättas av ett prediktivt, strategiskt säkerhetsarbete.
Inget mer ”gå på känsla”
Det är förvånansvärt många som fortfarande formar en stor del av säkerhetsstrategin på magkänsla och/eller gamla sanningar. Ett löpande underrättelsearbete ger en mer datadriven lägesuppfattning, vilket ger väl underbygga beslut. Detta i sin tur ger ett bättre underlag för verksamhetsstrategi och planering

I en tid där cyberhoten mot vårdsektorn ökar är det avgörande att svenska sjukhus och vårdinrättningar använder sig av underrättelser för att skydda känslig patientdata.

Genom att implementera en robust strategi för intelligence management kan vårdsektorn identifiera, förebygga och hantera cyberhot på ett effektivt sätt, vilket i sin tur säkerställer en säker och tillförlitlig vårdmiljö för alla patienter.

Cookie	Varaktighet	Beskrivning
cookielawinfo-checkbox-advertisement	1 year	Set by the GDPR Cookie Consent plugin, this cookie is used to record the user consent for the cookies in the "Advertisement" category .
cookielawinfo-checkbox-analytics	1 year	Set by the GDPR Cookie Consent plugin, this cookie is used to record the user consent for the cookies in the "Analytics" category .
cookielawinfo-checkbox-functional	1 year	The cookie is set by the GDPR Cookie Consent plugin to record the user consent for the cookies in the category "Functional".
cookielawinfo-checkbox-necessary	1 year	Set by the GDPR Cookie Consent plugin, this cookie is used to record the user consent for the cookies in the "Necessary" category .
cookielawinfo-checkbox-others	1 year	Set by the GDPR Cookie Consent plugin, this cookie is used to store the user consent for cookies in the category "Others".
cookielawinfo-checkbox-performance	1 year	Set by the GDPR Cookie Consent plugin, this cookie is used to store the user consent for cookies in the category "Performance".
CookieLawInfoConsent	1 year	Records the default button state of the corresponding category & the status of CCPA. It works only in coordination with the primary cookie.
JSESSIONID	session	The JSESSIONID cookie is used by New Relic to store a session identifier so that New Relic can monitor session counts for an application.

Cookie	Varaktighet	Beskrivning
_zcsr_tmp	session	Zoho sets this cookie for the login function on the website.
1e5a17c8ab	session	This cookie is set in relation to Zoho Campaigns
AnalyticsSyncHistory	1 month	No description
bscookie	1 year	LinkedIn sets this cookie to store performed actions on the website.
lang	session	LinkedIn sets this cookie to remember a user's language setting.
li_gc	5 months 27 days	Used to store consent of guests regarding the use of cookies for non-essential purposes
ppwp_wp_session	30 minutes	ppwp_wp_session is a cookie is native to PHP applications. The cookie is used to store and identify a users' unique session ID for the purpose of managing the user's session on the website. The cookie is a session cookie and is deleted when all browser windows are closed.

Cookie	Varaktighet	Beskrivning
_ga	2 years	The _ga cookie, installed by Google Analytics, calculates visitor, session and campaign data and also keeps track of site usage for the site's analytics report. The cookie stores information anonymously and assigns a randomly generated number to recognize unique visitors.
_ga_X8W3VDVR14	2 years	This cookie is installed by Google Analytics.
_gat_UA-112487526-1	1 minute	A variation of the _gat cookie set by Google Analytics and Google Tag Manager to allow website owners to track visitor behaviour and measure site performance. The pattern element in the name contains the unique identity number of the account or website it relates to.
_gid	1 day	Installed by Google Analytics, _gid cookie stores information on how visitors use a website, while also creating an analytics report of the website's performance. Some of the data that are collected include the number of visitors, their source, and the pages they visit anonymously.
utm_source	7 days	This cookie is used to record from where the visitor came to the website orginally. This information is used by the website operator to know the efficiency of their marketing.

Cookie	Varaktighet	Beskrivning
_fbp	3 months	This cookie is set by Facebook to display advertisements when either on Facebook or on a digital platform powered by Facebook advertising, after visiting the website.
_gcl_au	3 months	Provided by Google Tag Manager to experiment advertisement efficiency of websites using their services.
bcookie	1 year	LinkedIn sets this cookie from LinkedIn share buttons and ad tags to recognize browser ID.
d18efd344f	session	Collects information on user preferences and international with erb content. Used to promote relevant events or products. Session.
fr	3 months	Facebook sets this cookie to show relevant advertisements to users by tracking user behaviour across the web, on sites that have Facebook pixel or Facebook social plugin.
IDE	1 year 24 days	Google DoubleClick IDE cookies are used to store information about how the user uses the website to present them with relevant ads and according to the user profile.
lidc	1 day	LinkedIn sets the lidc cookie to facilitate data center selection.
test_cookie	15 minutes	The test_cookie is set by doubleclick.net and is used to determine if the user's browser supports cookies.
UserMatchHistory	1 month	LinkedIn sets this cookie for LinkedIn Ads ID syncing.
utm_medium	7 days	This cookie is used to record from where the visitor came to the website orginally. This information is used by the website operator to know the efficiency of their marketing.
ZCAMPAIGN_CSRF_TOKEN	session	No description available.
ZMEET_CSRF_TOKEN	session	No description available.