דו”ח חדש של IBM: תעשיית הרפואה – “כלי שיט דולף בים סוער”; לא נעשה מספיק להגן על מערכות רפואיות ועל נתוני המטופלים; תעשייה זו נמצאת בסיכון – יותר מאי-פעם בעבר – להתקפות סייבר

Security trends in the healthcare industry, דו”ח של חברת IBM  שפורסם ב- 31 בינואר 2017 אומר כי נתונים רפואיים נמצאים כיום בסיכון גובר מצד התקפות כופרה [Ransomware], מצד אנשים בתוך הארגון העושים שימוש-לרעה בנתונים או כשלי אבטחה הנוצרים ע”י גורמי צד שלישי [כמו כשלי אבטחה של יצרני רשומות רפואיות אלקטרוניות (electronic health record, EHR)].

בשנת 2016 פורסמה שורה של מקרים של התקפות כופרה ובהם מספר מקרים בתחום זה של התקפות כלפי מוסדות רפואיים.

עפ”י נתונים של IBM Managed Security Services, MSS, גורמים מתוך הארגון היו אחראים ל- 68% מכלל מקרי התקפות על רשתות מחשוב שהיו מיועדות כלפי נתונים רפואיים במהלך שנת 2016.

המקור של שני-שלישים ממקרי ההתקפות הללו היה מגורמים שלא-מדעת נפלו קורבן לתרמיות דיוג (פישינג) או לשרתים שלא בתצורה נכונה [misconfigured servers].

ב- 15 ביוני 2016 פירסמתי את הידיעה הבאה כאן באתר:

Cost of a Data Breach, דו”ח של IBM Security  ושל Ponemon Institute  שפורסם ב- 15 ביוני 2016 אומר כי חל גידול בעלויות הנגרמות לארגונים בעקבות כשלי אבטחה.

לדברי עורכי הדו”ח, העלות הממוצעת של כשל אבטחה לחברות גדל לסכום של 4 מיליון דולר. מדובר בגידול בשיעור של 29% לעומת שנת 2013. העלות על כל רשומה (record) שנפרצה היא 158 דולרים לארגון.

כשלי אבטחה בתעשיות הנתונות לרגולציה רבה עוד יותר אף גורמות לנזקים כספיים גדולים יותר כשבתחום הרפואה/הבריאות (healthcare) מדובר בסכום של 355 דולרים לכל רשומה, גידול של מאה דולרים בהשוואה לסכום בשנת 2013.

במקביל מצביע הדו”ח כי חל גידול גם בהיקפים של כשלי האבטחה (גידול בשיעור של 64% בשנת 2015 לעומת שנת 2014) וגם ברמות התחכום והמורכבות שלהם.

פעילויות תגובה לאירועים דוגמת פורנזיקת אירועים, תקשורת, עלויות משפטיות ורגולציה מהוות 59% מהעלויות של כשלי אבטחה. חלק משמעותי מהעלויות הללו קשור לעובדה שלדברי 70% ממנהלי האבטחה הבכירים בארצות הברית אומרים שאין ברשותם תוכניות תגובה על כשלי ואירועי אבטחה. תהליך התגובה של ארגונים על כשלי אבטחה הוא מורכב מאוד וצורך זמן רב אם אינו מתוכנן היטב מראש.

עוד עולה מהסקר כי ככל שנדרש זמן רב יותר לאתר ולהכיל כשל אבטחה, כך גדולת העלויות להתמודד ולפתור את הבעייה. אירועים כאלו שזוהו בתוך פחות ממאה ימים עלו לחברות בממוצע 3.23 מיליון דולרים ואילו כשמדובר בתקופה של יותר ממאה ימים עלו לחברות בממוצע 4.38 מיליון דולרים.

עפ”י המחקר, פרק הזמן הממוצע לזיהוי כשל אבטחה הוא 201 ימים כשפרק הזמן הממוצע להכיל אירוע כזה הוא 70 ימים.

מבזקים