Cybersikkerhedsvirksomheden med fokus på træning, KnowBe4, udkommer nu med en ny rapport, som kortlægger de trusler, som den europæiske sundhedssektor udsættes for – kort tid efter det seneste store angreb mod danske sygehuse
KnowBe4, udbyderen af verdens største platform for sikkerhedsbevidsthedstræning og simulerede phishing-angreb, har udgivet sin internationale sundhedsrapport. Rapporten ser nærmere på den cybersikkerhedskrise, som sundhedssektoren, især hospitalsgrupper, i øjeblikket oplever over hele verden.
Martin Kramer
Den europæiske sundhedssektor er under angreb, med 53 procent af cyberangreb på kontinentet mellem januar 2021 og marts 2023, som var rettet mod sundhedsorganisationer. Ransomware blev nævnt som den primære trussel, og størstedelen af angreb var kombineret med databrud eller datatyveri. Paradoksalt nok mangler hele 27 procent af sundhedsorganisationerne et dedikeret ransomware-forsvarsprogram, og kun 40 procent af de oprindelige udstyrsleverandører tilbyder sikkerhedsbevidsthedstræning til ikke-IT-medarbejdere, hvilket efterlader dem sårbare over for angreb.
Hospitaler er blevet stadig mere attraktive mål for ransomware-angreb på grund af deres omfattende patientdatabaser, følsomme oplysninger og deres sammenkobling mellem systemer og udstyr. Desuden har dårlige sikkerhedsforanstaltninger gjort hospitaler sårbare over for cybertrusler. Når de bliver angrebet, kan cyberkriminelle potentielt tage kontrol over hele hospitalssystemer og få adgang ikke kun til patienternes helbredsoplysninger, men også deres finansielle og forsikringsdata.
Hospitaler er alvorligt påvirkede af cyberangreb, hvilket kan føre til en reduktion i patientpleje, tab af adgang til elektroniske systemer og en afhængighed af ufuldstændige papirjournaler. Dette kan også resultere i aflysning af operationer, tests, aftaler og i nogle tilfælde endda tab af liv.
Rapporten indbefatter blandt andet:
- I de første tre kvartaler af 2023 oplevede den globale sundhedssektor hele 1.613 cyberangreb om ugen, næsten fire gange det globale gennemsnit, og en betydelig stigning fra samme periode året før.
- Sundhedssektoren har set en dramatisk stigning i omkostningerne ved cyberangreb over de seneste tre år, med den gennemsnitlige omkostning ved et brud nående næsten 11 millioner USD, mere end tre gange det globale gennemsnit. Det gør sundhedssektoren til den dyreste sektor for cyberangreb.
- Ransomware-angreb har været den mest udbredte type cyberangreb på sundhedsorganisationer, og har stået for over 70% af de succesfulde angreb de sidste to år.
- Størstedelen af cyberangreb (mellem 79 procent og 91 procent), på tværs af sektorer, begynder med phishing eller social engineering-taktikker, som tillader cyberkriminelle at få adgang til konti eller servere.
- Ifølge KnowBe4’s 2024 Phishing by Industry Benchmarking Report er sundheds- og farmaceutiske organisationer blandt de mest sårbare over for phishing-angreb, med medarbejdere i store organisationer i sektoren, der har en 51,4 procent sandsynlighed for at falde for en phishing-e-mail. Dette betyder, at cyberkriminelle har en bedre end 50/50 chance for at lykkes med at phishe en medarbejder i sektoren.
“Sundhedssektoren forbliver et primært mål for cyberkriminelle, der ønsker at udnytte de liv-eller-død situationer, som hospitaler står overfor,” siger Stu Sjouwerman, CEO for KnowBe4. “Med patientdata og kritiske systemer holdt som gidsel, føler mange hospitaler, at de ikke har andet valg end at betale store løsesummer. Denne onde cirkel kan brydes ved at prioritere omfattende sikkerhedsbevidsthedstræning for at styrke medarbejderne og skabe en positiv sikkerhedskultur som et stærkt forsvar mod phishing og social engineering-angreb.”
Rapporten undersøger tilstanden af cybersikkerhed i sundhedssektoren i Nordamerika, Europa, Storbritannien, Asien-Stillehavsområdet, Afrika og Latinamerika. Desuden fremhæver den også nogle af de mest udbredte globale ransomware-angreb, der fandt sted mellem december 2023 og maj 2024, eftervirkningerne heraf og hvad sundhedsorganisationer kan gøre for at beskytte sig mod cyberangreb.
