Atak ransomware na dostawcę EHR: co to mówi o koncentracji w IT opieki zdrowotnej?

Niedawny atak ransomware na głównego dostawcę oprogramowania (ChipSoft) w holenderskim sektorze opieki zdrowotnej ponownie ujawnił delikatną kwestię: zależność od niewielkiej liczby podmiotów w zakresie krytycznej infrastruktury cyfrowej. W tym przypadku chodziło o dostawcę elektronicznych rejestrów pacjentów (EHR), którego systemy zostały tymczasowo wyłączone, aby ograniczyć szkody i umożliwić dochodzenie.

Zgodnie z wieloma doniesieniami medialnymi i pytaniami, które od tego czasu pojawiły się w polityce, badany jest zakres, w jakim dane pacjentów mogły zostać przechwycone oraz wpływ na placówki opieki zdrowotnej zależne od tych systemów. Incydent ten nie jest odosobniony, ale stanowi część szerszego trendu, w którym informatyka medyczna jest coraz częściej celem cyberataków.

Koncentracja rynku: efektywność kontra ryzyko

W Holandii rynek EHR jest wysoce skoncentrowany. Niewielka grupa dostawców dostarcza oprogramowanie do zdecydowanej większości szpitali i instytucji opieki zdrowotnej. Często wymienianym graczem jest ChipSoft, którego udział w rynku w sektorze szpitalnym wynosi około 76%, zgodnie z szacunkami rynkowymi.

Koncentracja ta ma swoje zalety, takie jak standaryzacja, korzyści skali i szybkie wdrażanie cyfrowych procesów opieki zdrowotnej. Jednocześnie tworzy ona formę zależności, która niesie ze sobą również ryzyko. Kiedy jedna z dominujących stron doznaje zakłóceń, natychmiast wpływa to na dużą część łańcucha opieki zdrowotnej. Innym czynnikiem jest to, że części infrastruktury często opierają się na zewnętrznych platformach technologicznych, takich jak chmura i usługi oprogramowania od dużych dostawców, takich jak Microsoft, więc wszelkie luki w tym łańcuchu mogą pośrednio wpływać na dostępność i bezpieczeństwo systemów opieki zdrowotnej.

W branży IT zjawisko to jest często określane mianem vendor lock-in: organizacje są tak technicznie i umownie powiązane z jednym dostawcą, że zmiana jest skomplikowana i kosztowna.

Innowacje pod presją?

Powtarzającą się debatą w dziedzinie IT w opiece zdrowotnej jest to, czy skonsolidowany rynek przyspiesza czy hamuje innowacje. Zwolennicy dużych dostawców wskazują na stabilność i ciągły rozwój w ramach jednego ekosystemu. Krytycy kontrują, że pozycja niemal monopolisty może zmniejszyć motywację do innowacji.

Ponadto ważną rolę odgrywa interoperacyjność. Różne źródła i raporty badawcze krytykowały wcześniej ograniczoną wymienność między systemami różnych dostawców. Może to mieć praktyczne konsekwencje w opiece zdrowotnej: gdy systemy nie komunikują się dobrze, istnieje ryzyko niekompletnych informacji o pacjencie w kluczowych momentach.

Cyberbezpieczeństwo jako ryzyko strukturalne

Ostatnie incydenty związane z oprogramowaniem ransomware pokazują, że IT w służbie zdrowia to nie tylko kwestia funkcjonalna, ale także kwestia bezpieczeństwa. Dane dotyczące opieki zdrowotnej są niezwykle wrażliwe, a zatem atrakcyjne dla przestępców. Co więcej, rozmiar i złożoność systemów EHR sprawiają, że są one podatne na ataki: duże zbiory danych, wielu użytkowników i złożone struktury dostępu zwiększają powierzchnię ataku.

Eksperci ds. cyberbezpieczeństwa od dawna wskazują, że segmentacja danych i ściślejsza kontrola dostępu są ważne dla ograniczenia szkód w przypadku ataku. Rzeczywiście, w niektórych systemach szeroki dostęp pracowników może oznaczać, że jedno naruszone konto może mieć poważne konsekwencje.

Co to oznacza dla rynku?

W związku z tym dyskusja coraz bardziej przenosi się z "które oprogramowanie działa najlepiej" na "jak zorganizować odporny ekosystem". W tym kontekście wydaje się, że jest miejsce dla mniejszych i bardziej wyspecjalizowanych graczy. Niekoniecznie jako zamienniki dużych platform EHR, ale jako uzupełnienie bardziej modułowego krajobrazu.

Mniejsi gracze mogą w niektórych przypadkach szybciej wprowadzać innowacje, rozwijać się bardziej szczegółowo i łatwiej integrować się z istniejącymi systemami za pomocą nowoczesnych architektur API. Dzięki temu są bardziej elastyczni w branży, która szybko się zmienia, zarówno pod względem technologicznym, jak i regulacyjnym.

Organizacje takie jak Webcamconsult, aktywne w cyfrowych aplikacjach opieki zdrowotnej i komunikacji z pacjentami, działają w ramach tego szerszego ruchu w kierunku hybrydowego i bardziej rozproszonego IT opieki zdrowotnej. Nie jako alternatywa dla dużych EHR, ale jako część ekosystemu, w którym współpraca i interoperacyjność są coraz ważniejsze.

Wnioski

To sprawia, że atak ransomware na głównego dostawcę oprogramowania dla służby zdrowia jest czymś więcej niż tylko incydentem. Dotyka on fundamentalnych kwestii dotyczących struktury rynku, zależności i odporności cyfrowej w opiece zdrowotnej.

Wysoce skoncentrowany rynek może być wydajny, ale stwarza również ryzyko systemowe. Wyzwanie na nadchodzące lata polega na znalezieniu równowagi między skalą, bezpieczeństwem i innowacyjnością, bez uzależniania kluczowych procesów opieki zdrowotnej od zbyt małej liczby ogniw w łańcuchu.

Źródła

• Security.nl, Parliamentary questions on ransomware attack on EHR provider ChipSoft
• NU
• .nl
• , Hacked patient records software provider takes systems offline
• NU.nl, Ransomware attack on patient records software provider