Introduktion
Fokuserat proaktivt säkerhetsarbete som minskar risken för cyberattacker
Under de senaste åren har antalet cyberattacker mot vårdsektorn ökat markant. En av de mest oroande trenderna är ökningen av ransomware-attacker, där cyberkriminella låser tillgången till kritiska system och data, och kräver en lösensumma för att återställa dem. Dessa attacker kan få förödande konsekvenser, från avbrott i vårdtjänster till potentiell risk för patienters liv.
Det är inte ont om exempel från verkligheten för att påvisa ökningen.
Under sex månader 2023 uppmättes i en undersökning i snitt 1071 cyberattacker i veckan mot den samlade gruppen svenska sjukhus – en skrämmande hög siffra (den samlade gruppen myndigheter och försvar utsattes under samma period för 1059 attacker).
Ett annat exempel bjuder Sophiahemmet på som i februari 2024 drabbades av en omfattande cyberattack. Något senare i april gick Natos kunskapscenter för cyberförsvar i Tallinn ut och varnade för att just sjukhus är bland de främsta målen för attacker.
I vissa fall har även cyberattacker lett till dödlig utkomst, som när en cyberattack mot ett sjukhus i Tyskland 2020 ledde till tappad kontakt med ambulanserna och en kvinna avled då hon inte fick hjälp tillräckligt fort.
Tyvärr ser man nu vissa hotaktörer som går ut och specifikt inriktar sig mot vårdinrättningar.
Att det ser ut så här är inte överraskande i sig. En attack mot just vårdinrättningar, och helst stora sådana, kan ge en flod av enormt värdefulla och känsliga personuppgifter. Dessutom är vårdsektorn tacksam att operera mot för den som vill skapa så stor samhällsstörning som möjligt. Naturen av deras kritiska verksamhet kan också få vissa potentiella angripare att resonera som att det finns större incitament att betala lösensummor.
Många experter menar att allvarlighetsgraden och råheten i attackerna innebär ett radikalt skifte; tidigare har man varit lite mer försiktig att påverka vårdinrättningar alltför kraftfullt, då människors liv är i uppenbar fara. Tyvärr ser man nu vissa hotaktörer som går ut och specifikt inriktar sig mot vårdinrättningar.
En viktig nyckel för att komma åt problemet och slå tillbaka är att ligga steget före, och för det är underrättelsearbete, intelligence management, en viktig taktik. Men vad är det, och hur kan man som säkerhetsansvarig i vårdsektorn använda det för att skydda sig mot cyberattacker?
Vad är intelligence management?
Intelligence management handlar om att samla in och analysera information för att förstå de hot som riktar sig mot en organisation. Arbetssättet kan även kallas för omvärldsbevakning eller underrättelsearbete.
Genom att utnyttja underrättelser kan svenska sjukhus få insikter om potentiella hot innan de blir akuta problem.
Syftet är att kunna dimensionera sitt säkerhetsarbete efter de största hoten som föreligger för stunden och inte behöva gå på magkänsla eller åtgärda samtliga potentiella hot och sårbarheter. Inom vårdsektorn innebär detta att identifiera och förebygga cyberhot som kan kompromettera patientdata och driftsäkerhet. Informationen kommer från OSINT (Open Source Intelligence), en mängd olika källor, inklusive öppna källor, sociala medier, tekniska data och övervakning av mörka webben.
Genom att utnyttja underrättelser kan svenska sjukhus få insikter om potentiella hot innan de blir akuta problem. Detta möjliggör proaktiva åtgärder för att stärka säkerheten och skydda känsliga uppgifter.
Implementering av intelligence management i vården
För att effektivt använda omvärldsbevakning bör sjukhus och vårdinrättningar implementera en systematisk strategi som inkluderar en löpande omvärldsbevakning.
Det löpande arbetet bör föregås av en initial underrättelseanalys för att skapa sig samsyn och en gemensam bild över bland annat organisationens nuläge, förutsättningar och sårbarheter.
Under den initiala analysen bör man skaffa sig en bild av bl.a. nedan:
- Exponeringsgrad av teknisk infrastruktur, dvs exponeringen av infrastrukturen från utsidan.
- Exponering av medarbetare & ledningsgrupp
- Exponering av organisation som helhet, inklusive ex. kontor, dotterbolag, varumärken etc.
- Trendanalys inom kundens intresseområden, såsom ex. nya lagar, produkt-/tjänsteutveckling, organisation, hotaktörer etc.
Utöver den här kartläggningen bör man diskutera igenom och skapa sig en gemensam bild över några olika områden.
- Vilka är de största hoten mot vår typ av verksamhet?
- Vilka geopolitiska, legala eller teknologiska risker finns mot vår verksamhet inom de närmsta fem åren?
- Vad innebär de hot och sårbarheter som föreligger mot vår verksamhet?
- Hur bör vi prioritera mellan de hot och sårbarheter som föreligger mot vår verksamhet?
Det löpande arbetet kan ta vid efter den initiala analysen. Det finns olika metodiker och tillvägagångssätt beroende på vilka resurser som finns att tillgå, och om man väljer att utföra delar själv, eller ta hjälp i delar.
Löpande omvärldsbevakning i tre steg:
- Insamling av data
- Använd olika källor som nätverksloggar, information från säkerhetsincidenter, forum för informationsdelning och externa underrättelse-flöden för att samla in relevant data. Detta bör alltså innefatta information från både interna system och externa kanaler.
- Insamlingen bör ske så regelbundet som möjligt, utan att det blir så pass betungande att det slarvas med. Bestäm er för frekvens, och kom ihåg att det är bättre att börja försiktigt och få det gjort, än att inte komma igång alls.
- Var gärna flera om att samla in data, och ta hjälp av externa leverantörer där ni inte har resurser eller kapacitet.
- Implementera realtidsövervakning som ger er möjlighet att snabbt identifiera och reagera på misstänkta aktiviteter. En sådan övervakning bör inkludera såväl intern (i de egna systemen) som extern övervakning (ex. läckta användaruppgifter, geopolitiska förändringar och förändringar i regleringar).
- Bearbetning & Analys av data
- Implementera analysverktyg och algoritmer för att bearbeta den insamlade datan på ett effektivt sätt. Det är i analysen ni identifierar mönster, trender och avvikelser som kan indikera potentiella hot. Genom att analysera data från tidigare incidenter kan man förutse framtida attacker och förbereda lämpliga åtgärder.
- Vi förordar ett prediktivt angreppssätt på informationssäkerhet i allmänhet och omvärldsbevakning i synnerhet. Det innebär att gå bortom att enbart identifiera incidenter och tar sikte på att förutsäga och förhindra hot innan de kan orsaka skada. När man implementerar det här angreppssättet i sin analys får man bättre verktyg för att forma sin verksamhetsstrategi. Man får helt enkelt en klar inblick i de övergripande riskerna och möjligheterna.
- Rapportering av insikter
- Tillse att rapportering inte bara innehåller floder av information, utan gallrade insikter. Värdefull data är sådan som är formad som insikt snarare än information, och utformad tydlig utifrån hur man bör agera på den och vem som bör göra det.
- Tillse att de funna insikterna når relevanta nyckelpersoner och inte stannar hos ett fåtal säkerhetsansvariga. Ledning och styrelse bör engageras, och troligtvis finns det också flera nyckelpersoner ute i verksamheten.
Samarbete och informationsdelning i vårdsektorn
Som en samhällskritisk verksamhet faller svenska vårdinrättningar under NIS2-direktivet som ställer krav på informationsdelning. Det finns svenska myndigheter och organ som har som uppgift ur ett EU-perspektiv att samordna arbetet nationellt, men det finns mycket enskilda organisationer kan göra för att delvis bidra till det arbetet, och delvis förbättra sin egen säkerhet.
Genom att utbyta erfarenheter och data kan man bättre förstå och förbereda sig mot potentiella hot.
Insikter från ett eget underrättelsearbete bör i mesta möjliga mån delas med branschaktörer. Här stämmer tesen ”tillsammans blir vi starkare” till fullo, och man bör därför dela med sig av så mycket man kan för att stärka branschen som helhet, såväl som sin egen organisation i det långa loppet.
Några tips för bättre samverkan och informationsdelning följer nedan:
- Nationella och internationella nätverk
- Delta i nationella och internationella nätverk och samarbeten för underrättelser. Det kan ex. inkludera att prenumerera på information från organisationer som CERT-SE och andra samarbetsgrupper som ger tillgång till den senaste hotinformationen och bästa praxis. Internationellt finns ex. Health-ISAC eller ENISA.
- Informationsdelning inom sektorn
- Samarbeta med andra vårdinrättningar och säkerhetsorganisationer för att dela information om hot och säkerhetsincidenter. Genom att utbyta erfarenheter och data kan man bättre förstå och förbereda sig mot potentiella hot.
Värdet av underrättelser i vårdsektorn
Att implementera ett strategiskt underrättelsearbete i vården har flera fördelar som direkt påverkar säkerhetsarbetet och vardagen inom sjukhus och vårdinrättningar. Nedan följer våra främsta exempel:
-
Förbättrad hotidentifiering
Genom att arbeta med underrättelser kan säkerhetsansvariga snabbare identifiera och reagera på hot – eller förebygga dem helt innan de inträffar, vilket minskar risken för dataintrång och säkerhetsincidenter. Detta leder till en mer proaktiv snarare än reaktiv säkerhetsstrategi. -
Ökad effektivitet
Med en klar förståelse för aktuella hotbilder och sårbarheter kan säkerhetsåtgärder prioriteras och resurser användas mer effektivt. Detta innebär att säkerhetsinsatser kan riktas mot de områden som har störst behov och ger mest nytta. -
Främjad samarbetskultur
Genom att dela information och samarbeta med andra vårdinrättningar och säkerhetsorganisationer skapas en kultur av samarbete och gemensam lärande, vilket stärker den övergripande säkerhetsställningen. -
Kravuppfyllnad
I många av de regleringar och standarder som sjukvården berörs av ställs krav på ett aktivt underrättelsearbete i någon form. Indirekt ställs även andra krav som underlättas av ett prediktivt, strategiskt säkerhetsarbete. -
Inget mer ”gå på känsla”
Det är förvånansvärt många som fortfarande formar en stor del av säkerhetsstrategin på magkänsla och/eller gamla sanningar. Ett löpande underrättelsearbete ger en mer datadriven lägesuppfattning, vilket ger väl underbygga beslut. Detta i sin tur ger ett bättre underlag för verksamhetsstrategi och planering
I en tid där cyberhoten mot vårdsektorn ökar är det avgörande att svenska sjukhus och vårdinrättningar använder sig av underrättelser för att skydda känslig patientdata.
Genom att implementera en robust strategi för intelligence management kan vårdsektorn identifiera, förebygga och hantera cyberhot på ett effektivt sätt, vilket i sin tur säkerställer en säker och tillförlitlig vårdmiljö för alla patienter.