NIS Regulations: A New Era of Cybersecurity for Englands Healthcare Sector
Innehållsförteckning:
När du tänker på de utmaningar som National Health Service står inför kan saker som brist på finansiering och personal, långa väntelistor, en växande befolkning och ständigt förändrade patientbehov komma att tänka på.
Ändå har en enda cyberattack kraften att slå alla NHS:s kritiska informationskommunikationssystem offline, vilket gör det svårare för läkare och sjuksköterskor i frontlinjen att utföra sina jobb och i slutändan rädda liv. Den ökända WannaCry-cyberattacken, utförd av nordkoreanska hackare, infekterade datorer över 595 läkarmottagningar i England och störde driften av en tredjedel av engelska NHS-sjukhusförtroende.
Tillsammans med att påverka den dagliga verksamheten vid läkarmottagningar och sjukhus över hela landet, kan cyberattacker mot NHS också resultera i läckage av känslig hälsodata. I juni, The Independent rapporterade att cyberbrottslingar stal personuppgifter från 1.1 miljoner NHS-patienter på 200 sjukhus efter att ha lanserat en ransomware-attack mot University of Manchester. Man tror att denna läckta data inkluderade patienternas NHS-nummer och en del av deras hempostnummer.
För att förhindra framtida cyberattacker och dataläckor som påverkar NHS, har Joint Cyber Unit släppt ny vägledning angående utbyggnaden av reglerna för nätverk och informationssystem (NIS) över sjukvårdsorganisationer i England. Detta beslut föreslår att tillsynsmyndigheter nu ser sjukvårdsdata som en kritisk nationell infrastruktur (CNI). Så varför är det så, och vad betyder den nya vägledningen för vårdgivare i England?
Vad är NIS-bestämmelser?
NIS-bestämmelserna, som kom in i lagböckerna i maj 2018, syftar till att stärka cybersäkerhetsställningen för operatörer av väsentliga tjänster (OES). Dessa organisationer tillhandahåller tjänster som är avgörande för ett fungerande samhälle och ekonomi, inklusive transport, vatten, elektricitet och nu sjukvård.
I den nya vägledningen beskriver regeringstjänstemän hälso- och sjukvård som "en väsentlig tjänst enligt NIS-förordningen". Det klassificerar NHS-truster, foundation-trusts, integrerade omsorgsstyrelser (ICBs) och specifika oberoende leverantörer som "OESs for healthcare services", vilket innebär att de måste vidta lämpliga åtgärder för att följa NIS-förordningarna.
Enligt dessa regler måste hälso- och sjukvårdsorganisationer vara kapabla att hantera alla cybersäkerhetshot som påverkar nätverket och informationssystemen de använder för att leverera viktiga tjänster. Detta innebär att förebygga och minimera effekten av cyberattacker på sjukvårdsnätverk och informationssystem samtidigt som man "säkrar kontinuiteten för dessa tjänster".
NIS-reglerna innebär att vårdgivare måste anta "omfattande riskhanteringspraxis", enligt Jack Porter, specialist på offentlig sektor, Logpoint. Dessa åtgärder inkluderar "att bedöma potentiella risker, implementera säkerhetsåtgärder och regelbundet granska dessa för att skydda patientdata".
Sjukvårdsleverantörer måste också implementera "mer säkerhetsrelaterade policyer för leveranskedjan" för att följa NIS-reglerna. Porter säger: "Detta innebär att se till att partners och leverantörer följer strikta säkerhetsstandarder för vårdgivare, särskilt när de hanterar patientdata eller tillhandahåller viktiga tjänster."
När det gäller att mildra cybersäkerhetsrisker och i slutändan följa NIS-reglerna, rekommenderar Porter att vårdgivare antar ett ledningssystem för informationssäkerhet (ISMS). Han tillägger att implementering av ett system för säkerhets- och incidenthantering (SIEM) skulle göra det möjligt för hälso- och sjukvårdsorganisationer att "upptäcka och svara på incidenter" och följa branschstandarder som ISO 27001.
Nya teknologier som blockchain kan också hjälpa vårdgivare att skydda viktiga system från cyberattacker och dataläckor. Simon Bain, AI-expert och VD för OmniIndex, förklarar att den decentraliserade tekniken "erbjuder förbättrad säkerhet, integritet och transparens över äldre infrastruktur".
Han fortsätter: "Detta beror på att det är krypterat från början till slut, inte har någon central plats för en brottsling att attackera och använder AI för att kontinuerligt autentisera och auktorisera åtkomst för att säkerställa att endast de som har tillstånd att se viss data kan se den. Dessutom är lagrad data oföränderlig. Detta innebär att även om en attack lyckades, kan data inte krypteras av en angripare och hållas till lösen.”
Rapportera cyberincidenter
Om en vårdgivares nätverk och informationssystem påverkas av en cybersäkerhetsincident som påverkar kontinuiteten i deras väsentliga tjänster, måste de lämna in en rapport med hjälp av Verktygssats för datasäkerhet och skydd (DSPT).
De måste rapportera incidenten minst 72 timmar efter att ha märkt den och inkludera information om hur många användare som påverkades av ett intrång, dess längd och den påverkade geografiska platsen.
Porter säger att NIS-reglerna liknar GDPR genom att de syftar till att ”bredda kraven på incidentrapportering utöver de som påverkar kontinuiteten i tjänsten. Han förklarar: "Sjukvårdsleverantörer måste rapportera betydande incidenter som påverkar deras nätverk och informationssystem med rekommendationer om en säkerhetsrevision."
Han säger att antagandet av en SIEM-plattform gör det möjligt för handläggare av cybersäkerhetsincidenter inom sjukvården att "påskynda utredning och svar". Dessa system tillhandahåller logghotsintelligens, vilket ger utredarna en "fullständig bild av vad som händer" och låter dem "skapa rapporter direkt från varje fall".
Varför är NIS viktigt för sjukvården?
Det finns flera möjliga orsaker bakom den brittiska regeringens beslut att göra NIS-reglerna tillämpliga på den engelska sjukvårdssektorn. Den kanske största drivkraften är att en komplex mängd sammankopplade system spelar en avgörande roll i den dagliga leveransen av modern sjukvård.
Från elektroniska journaler till internetuppkopplad diagnostisk utrustning, hälsoteknologier slår hjärtat av NHS 2023. Men de är också ett lukrativt mål för cyberbrottslingar och måste skyddas för att undvika katastrofala cyberintrång som kan påverka det engelska sjukvårdssystemet.
Matt JD Aldridge, främsta lösningskonsult på OpenText Cybersecurity, säger att hälsodatas "extremt känsliga" natur och dess värde för cyberbrottslingar sannolikt är viktiga faktorer i regeringens beslut att tillämpa NIS-reglerna på det engelska sjukvårdssystemet.
"Om en attack skulle störa en medicinsk anläggning, då innebär det allvarliga risker för patienterna. Det är därför branschen är mycket i rampljuset och därför måste ta itu med säkerheten på flera sätt, säger han.
"Det har också förekommit många, väl omskrivna attacker eller intrång på NHS under de senaste åren, vilket kan ha sporrat denna omställning för att säkerställa bättre skydd och vägledning till hälsovårdsorganisationer som helhet."
Coronavirus-pandemin belyste vikten av NHS under en folkhälso-nödsituation, så det kan hävdas att ett stört sjukvårdssystem skulle vara dåligt för den brittiska nationella säkerheten. Genom att förbättra cybermotståndskraften hos NHS kommer nationalstater inte att kunna störa Storbritanniens förmåga att tillhandahålla kritisk vård under framtida pandemier och andra folkhälsokriser.
Att utsätta vårdgivare för NIS-reglerna kommer att göra det möjligt för dem att implementera bästa praxis för cybersäkerhet för att mildra framtida cyberattacker och dataintrång, som annars skulle utsätta patienter för risker, resultera i rejäla böter och orsaka skada på ryktet. Englands beslut att stärka cybersäkerheten i sin hälsovårdssektor på detta sätt kommer sannolikt att inspirera andra nationer att ta liknande steg, vilket ökar Storbritanniens inflytande på världsscenen.
Få NIS-reglerna att fungera
Trots sina fördelar kan NIS-bestämmelserna innebära olika utmaningar för sjukvårdsorganisationer i England. Särskilt mindre leverantörer kommer att drabbas av den ekonomiska bördan av att köpa cybersäkerhetssystem och uppdatera äldre IT-system. Att göra dessa saker kräver också specifik expertis, som små vårdgivare kanske inte har internt. Att utbilda personal i att identifiera och reagera på cyberattacker kommer att ta lite tid.
Sammantaget kommer utbyggnaden av NIS-regler i den engelska sjukvårdssektorn att skydda den mot befintliga och framväxande cybersäkerhetshot. Men för att denna övergång ska bli framgångsrik är nära samarbete mellan regeringar, tillsynsmyndigheter, vårdgivare och experter på it-säkerhet grundläggande.
