Bedrohungsakteure machen keinen Unterschied zwischen den Sektoren, aber das Gesundheitswesen scheint ein Hauptziel zu sein. Die HIMMS Healthcare Cybersecurity Survey 2021 zeigt, dass 67 % der Befragten angeben, dass ihre Organisationen im Gesundheitswesen in den letzten 12 Monaten erhebliche Sicherheitsvorfälle erlebt haben, wobei der größte Schaden durch Phishing- und Ransomware-Angriffe entstanden ist. Und es gibt keine Anzeichen für eine Verlangsamung der Angriffe. Allein in der ersten Jahreshälfte 2022 gab es im Gesundheitswesen 337 Sicherheitsverletzungen, von denen mehr als 19 Millionen Datensätze betroffen waren.
Wir alle kennen die Kosten dieser Angriffe auf den Gesundheitssektor. Die Folgen einer erfolgreichen Datenschutzverletzung, einschließlich der Unterbrechung des Betriebs, der Verletzung der Privatsphäre und der Sicherheit der Patienten sowie der Untergrabung des Vertrauens und des Rufs, können erhebliche finanzielle Auswirkungen haben. Seit 12 Jahren in Folge weist das Gesundheitswesen die höchsten durchschnittlichen Kosten für Datenschutzverletzungen aller Branchen auf, wobei die durchschnittlichen Gesamtkosten im Jahr 2022 einen Rekordwert von 10,10 Millionen US-Dollar erreichen. Das ist ein Anstieg von 42 % seit 2020. Daher ist es wichtiger denn je, dass Unternehmen des Gesundheitswesens alles in ihrer Macht Stehende tun, um ihr Risiko zu minimieren und ihre Risiken zu verwalten.
Leider gibt es keine einfache Antwort, kein Patentrezept, das Ihnen den nötigen Schutz gegen alle Risiken in Ihrer Organisation bietet. Für jedes Gesundheitssystem gibt es eine einzigartige Kombination von Menschen, Prozessen und Technologien, die vorhanden sein müssen, um sicherzustellen, dass angemessene Governance- und Risikominderungsmaßnahmen mit den gewünschten Geschäftsergebnissen der Organisation übereinstimmen.
"Vorsicht Lücke"
Mangelnde Transparenz, Kommunikation und Koordination zwischen allen Beteiligten aus den Bereichen Sicherheit, Biomedizin, klinische Technik und Wirtschaft innerhalb einer HDO schaffen Lücken, die eine gute Governance erschweren und eine effektive Risikominderung fast unmöglich machen. Sobald Ihr Team beginnt, diese Lücken zu erkennen und zu verstehen, können Sie damit beginnen, die Lücken zu schließen, um sicherzustellen, dass alle Beteiligten zusammenarbeiten. Das beginnt damit, dass Sie eine "Single Source of Truth" für Ihre Umgebung einrichten - eine, die eine gemeinsame Sprache und ein gemeinsames Verständnis bietet, das dazu beitragen kann, betriebliche Unstimmigkeiten und Unterschiede zu überbrücken. Ein einziges Aufzeichnungssystem kann allen Beteiligten - von der Cybersicherheit über die Biomedizin bis hin zu den Geschäftsinteressenten - dabei helfen, zu sehen, was in den klinischen Netzwerken vor sich geht, und damit beginnen, effektive Entscheidungen zu treffen, die die Abläufe und die Versorgung der Organisation verbessern.
Medigate von Claroty bietet diese grundlegende Transparenz für große und kleine Organisationen, um nicht nur zu sehen und zu verstehen, was sich in ihren klinischen Netzwerken befindet, sondern auch, was diese Geräte, einschließlich angeschlossener medizinischer Geräte und anderer erweiterter Internet-of-Things (XIoT)-Geräte, tun (und ob sie es tun sollten oder nicht). Auf granularer Ebene müssen HDOs die Geräte kennen, mit denen sie zu tun haben, einschließlich der:
Modalität - Typ, Marke und Modell
Version - Typ und Version des Betriebssystems
Software - eingebettete Software und verwendete Protokolle
Eindeutige Identifikatoren - Seriennummer, Hostname, MAC-Adresse
Standorte - SSID, Zugangspunkt (AP), AP-Standort
Dieser Detaillierungsgrad bietet den Beteiligten eine Grundlage, auf der sie gemeinsam betriebliche und sicherheitstechnische Rahmenbedingungen für ihr klinisches Umfeld im Einklang mit ihrer Risikotoleranz festlegen können. Mit Hilfe von aussagekräftigen Informationen und Erkenntnissen können erfolgreiche Risikomanagement-Programme entwickelt werden, die - basierend auf unserer Erfahrung in der Zusammenarbeit mit führenden Gesundheitssystemen - die folgenden sechs Komponenten umfassen:
1. Genaue Bewertung der Geräterisiken
In Organisationen des Gesundheitswesens müssen Risiken in ihrem jeweiligen Kontext betrachtet werden, einschließlich der Wahrscheinlichkeit, dass eine bestimmte Bedrohung in der Lage ist, eine bestimmte Schwachstelle auszunutzen, und der Schwere der Auswirkungen. Nicht alle Risiken sind gleich. Wenn die Teams wissen, welches die kritischsten sind, können sie Prioritäten bei ihren Bemühungen und Maßnahmen setzen. Dies erfordert eine Kombination aus Cybersicherheits- und klinischem Fachwissen, um genau zu bestimmen, ob etwas tolerierbar (und sogar notwendig) ist oder ein Risiko für das vernetzte Gesundheitssystem darstellt. Ein auf das Gesundheitswesen zugeschnittenes Risikoframework kann diese nuancierten Entscheidungen treffen, indem es Risiken auf der Grundlage einer detaillierten Sichtbarkeit und des Kontexts identifiziert und einstuft, sodass sie angemessen bewertet, priorisiert und angegangen werden können, um die Sicherheit der Patienten und der Versorgung zu gewährleisten.
2. Verwalten von Schwachstellen
Da die Geräte häufig in die Pflege eingebunden sind, müssen die Risiken ganz anders als bei der herkömmlichen IT gehandhabt werden, um sicherzustellen, dass Abhängigkeiten respektiert werden und der Betrieb intakt bleibt. Gesundheitssysteme müssen ihr Schwachstellenmanagement mit einem klinischen Blickwinkel betrachten, um sicherzustellen, dass Aktivitäten wie Scannen und Patch-Management schnell und ohne Risiko für die Patientenpflegeprotokolle durchgeführt werden können. Dies erfordert die Fähigkeit, die laufende Konnektivität von Geräten zu überwachen, um zu sehen, wann das Gerät nicht in Gebrauch ist oder mit nichts verbunden ist, was die Versorgung beeinträchtigen könnte, die Identifizierung und Koordinierung mit den organisatorischen Eigentümern und denjenigen, die das Update oder den Patch anwenden werden, und die schnelle Lokalisierung jedes Geräts, um die Korrektur zum optimalen Zeitpunkt anzuwenden.
3. Empfehlung geeigneter Abhilfemaßnahmen und Entschärfungen
Die Abschaltung von Geräten oder die Blockierung der Kommunikation kann in einem klinischen Netzwerk schwerwiegende Folgen haben. Daher ist es wichtig, dass die Cybersicherheit dann und dort eingesetzt wird, wo sie schützen kann, ohne die Versorgung zu beeinträchtigen. Wenn ein Patch nicht verfügbar ist oder nicht angewendet werden kann, besteht der beste Weg zur Risikoverwaltung darin, kompensierende Kontrollen zu identifizieren und die besten für jedes Szenario auszuwählen. Die Betrachtung von Maßnahmen im klinischen Kontext ermöglicht es Organisationen im Gesundheitswesen, über netzwerkbasierte Kontrollpunkte (z. B. Firewalls, NACs usw.) Richtlinien und Risikominderungsstrategien durchzusetzen, die die Ausbreitung von Angriffen verhindern und die Auswirkungen von Angriffen minimieren können, ohne den laufenden Betrieb oder die Versorgung zu beeinträchtigen.
4. Gute klinische Cyber-Hygiene aufrechterhalten
Um die Ausbreitung von Bedrohungen in klinischen Netzwerken zu verhindern, müssen Gesundheitssysteme die Cybersicherheitsrisiken, die vernetzte medizinische, klinische und andere nicht verwaltete XIoT-Geräte in das klinische Netzwerk einbringen, ständig entdecken, bewerten und verwalten. Angesichts der Komplexität klinischer Umgebungen, die eine ständig wachsende Anzahl von Geräten, Protokollen und Arbeitsabläufen enthalten, die in die Bemühungen von HDOs um eine hochwertige Echtzeitversorgung involviert sind, müssen HDOs wachsam bleiben, wenn es um eine gute Cyberhygiene geht. Lücken müssen fortlaufend identifiziert und geschlossen werden, wenn das Gesundheitssystem seine klinischen Einrichtungen entsprechend seiner Risikotoleranz absichern will.
5. Konsequenter Schutz vom Kern bis zum Rand - Vergessen Sie die Kliniken nicht
Immer mehr intelligente, vernetzte Gesundheitssysteme bauen kleinere Pflegeeinrichtungen auf oder gehen Partnerschaften mit ihnen ein, um spezialisierte Dienste, Notfalldienste und sogar Primärversorgung in der Nähe der Patienten anzubieten. Auch wenn diese Einrichtungen kleiner sind, gelten für sie die gleichen Anforderungen an Datenschutz und Sicherheit wie für größere Krankenhäuser. Alle Arten von Gesundheitssystemen, von großen HDOs bis hin zu Kliniken, müssen sicherstellen, dass in ihren verteilten Einrichtungen und in ihrem Ökosystem die gleiche Strenge angewandt wird, damit ihre Abläufe und die Patientenversorgung so funktionieren, wie sie sollten. Dazu gehört auch, dass sie in der Lage sind, die zunehmende Zahl von XIoT-Geräten und -Sensoren zu bewältigen, die mit der digitalen Netzwerkinfrastruktur einer Klinik verbunden sind und die es ihnen ermöglichen, innerhalb eines größeren Gesundheitssystems zu interagieren. All diese angeschlossenen Geräte und ihr relatives Risiko müssen verstanden und in das Risikomanagementprogramm aufgenommen werden, um ein akzeptables Risikoniveau aufrechtzuerhalten.
6. Operationalisierung von Risikomanagement-Programmen
Die dynamische Natur des Gesundheitswesens bedeutet, dass Sicherheit niemals abgeschlossen ist. In der heutigen hypervernetzten Umgebung werden ständig neue Geräte angeschafft und mit dem Netzwerk verbunden. Zu wissen, welche Geräte die größten Risiken bergen, hilft dem HDO, neue Sicherheitskriterien in den Beschaffungsprozess einzubringen. Hinzu kommt, dass immer wieder neue Schwachstellen auftauchen und die Bedrohungsakteure ihre Angriffsmethoden ständig weiterentwickeln, so dass es kein "Einstellen und Vergessen" gibt. Gesundheitssysteme müssen Tools und Dienste identifizieren, die dabei helfen können, laufende Risikomanagementaktivitäten zu automatisieren und zu operationalisieren.
