Die Gesundheitsversorgung wird von allen Seiten durch disruptive und turbulente Veränderungen bedrängt - und da die Cybersicherheit im Gesundheitswesen zu einem noch dringlicheren Thema wird, haben wir einen Wendepunkt erreicht. Während die Risiken in unserem zunehmend hypervernetzten Gesundheitswesen bereits vor 2020 bekannt waren und zunahmen, haben die Ransomware-Revolution und die COVID-19-Pandemie viele Gesundheitsdienstleister (HDOs) in die Enge getrieben.
Wir haben kürzlich gesehen, wie:
Die Feinde haben sich verändert... in Umfang, Vielfalt und Dreistigkeit, um unsere Schwäche auszunutzen
Das Patientenaufkommen hat sich verändert... angeheizt durch Pandemien und immer größere Verzögerungen und eine verschlechterte medizinische Versorgung
Die Folgen haben sich geändert - von der Zählung von Gesundheitsdaten, Geldstrafen und Lösegeldern bis hin zu schlechteren Behandlungsergebnissen und sogar zum Verlust von Menschenleben.
Diese neuen Herausforderungen legen die Schwachstellen in unseren derzeitigen Richtlinien und Vorschriften zur Cybersicherheit im Gesundheitswesen offen. Jahrelang haben wir die Sicherheit im Gesundheitswesen mit dem Datenschutz gleichgesetzt, wobei der Health Insurance Portability and Accountability Act (HIPAA) als Grundlage für den Schutz persönlicher Patientendaten diente und Datenschutz- und Sicherheitsvorschriften zur Wahrung der Vertraulichkeit solcher Daten erließ. Zu dieser Zeit - vor allem, als es Anfang der 2000er Jahre zu zahlreichen Datenschutzverletzungen kam - wurde diese Strategie als ausreichend für die Cybersicherheit im Gesundheitswesen angesehen.
Ich liebe meine Privatsphäre - ich würde sie gerne noch genießen! Unsere übermäßige Abhängigkeit von unzuverlässiger Technologie ist jetzt eine Frage der Patientensicherheit und des menschlichen Lebens. Am 21. Oktober 2021 haben uns zwei verschiedene Enthüllungen endgültig über diese Schwelle von Leben und Tod gebracht:
Ein namentlich genanntes Opfer aus Alabama auf der Titelseite des Wall Street Journals; eine Klage arbeitet sich weiter durch die Gerichte
Die erste quantitative statistische Analyse von Todesfällen im Zusammenhang mit langwierigen Ransomware-Ausfällen, die von meiner CISA COVID Task Force anhand von CDC-Daten durchgeführt wurde
In der Folge habe ich vor dem Kongress über diese schwerwiegenden Folgen ausgesagt und dazu beigetragen, dass Abhilfe geschaffen wurde. Im Repräsentantenhaus, im Senat und im Weißen Haus ändert sich der politische Wille, da die politischen Entscheidungsträger erkennen, was auf dem Spiel steht und entsprechend reagieren. Wie die jüngste Aufnahme des PATCH-Gesetzes in den Haushaltsentwurf für das Haushaltsjahr 23 zeigt, sind die politischen Entscheidungsträger bestrebt, die Cybersicherheit im Gesundheitswesen in den Vordergrund der politischen Entscheidungsfindung zu rücken.
Eine Schlüsselrolle bei diesen Entwicklungen spielt ein kürzlich veröffentlichtes Diskussionspapier von Senator Mark R. Warner (D-VA), das das zentrale Thema in einem Satz zusammenfasst: "Cybersicherheit ist Patientensicherheit".
Die politischen Optionen von Senator Warner
Das Papier von Senator Warner gibt einen Überblick über die aktuellen Bedrohungen für die Cybersicherheit im Gesundheitswesen und bietet eine Reihe von politischen Optionen zur Verbesserung der Cybersicherheit in der gesamten Branche. Das Papier wurde unter Einbeziehung von Stakeholdern, darunter auch mir, entwickelt und soll Feedback von den Stakeholdern einholen. Es enthält Empfehlungen für drei Hauptbereiche: die Schaffung einer Führungsrolle im Bereich der Cybersicherheit im Gesundheitswesen innerhalb der Regierung, die Verbesserung der Fähigkeiten der Anbieter durch Anreize und Anforderungen und die Wiederherstellung nach Angriffen.
Unter diesen Themen könnten die folgenden aus dem Papier wegweisend sein:
Eine Mindestanforderung an die Cyber-Hygiene für Krankenhäuser - mit finanziellen Zuckerbrot und Peitsche (idealerweise auf der Grundlage der sektorübergreifenden, grundlegenden Cyber-Leistungsziele der CISA),
Umgang mit unsicheren Altsystemen - einschließlich unseres 405c-Konzepts "Cash for Clunkers" zur Verringerung/Beseitigung schlechter Praktiken und der gefährlichsten, unhaltbaren Geräte,
Software Bill of Materials(SBOMs) für medizinische Technologien - um künftige Ereignisse wie Log4j abzuschwächen und mehr Vertrauen, Transparenz und Schwachstellenmanagement innerhalb von Lieferketten und Abläufen zu ermöglichen; und
Schaffung von Anreizen und Skalierung der begrenzten Cybersecurity-Talente in den 7.000 HDOs in den USA, von denen etwa 85 % in kleinen, mittelgroßen und ländlichen Krankenhäusern "reich an Zielen, aber arm an Ressourcen" sind und keinen einzigen qualifizierten Cybersecurity-Experten beschäftigen.
Wie geht es weiter?
Das Papier von Senator Warner ist nur ein erster Schritt, um zu verstehen, wie sich die Cybersicherheit auf Szenarien auswirkt, bei denen es um Leben und Tod im Gesundheitswesen geht, und uns einen politischen Rahmen zu geben, der es uns ermöglicht, Leben zu retten. Ich empfehle Ihnen dringend, es zu lesen.
Wir wissen, dass Veränderungen Unannehmlichkeiten mit sich bringen. Und... wir müssen auch erkennen, dass die heutigen Praktiken für ganz andere Zeiten entwickelt wurden, mit ganz anderen Bedrohungsmodellen, gegnerischem Appetit und erträglichen Folgen von Fehlschlägen. Wir leben nicht mehr in dieser Welt.
Nur wenige Akteure im Gesundheitswesen wollen zusätzliche Vorschriften und Anforderungen. Es geht nicht darum, was wir wollen, sondern darum, was wir brauchen und was die Patienten brauchen, um einen vertretbaren, verlässlichen und zeitnahen Zugang zur Versorgung zu erhalten. Nutzen wir den Moment, bauen wir auf diese Welle des politischen Willens und sagen wir ihnen, was wir von diesen politischen Veränderungen wollen, brauchen und befürchten.
Wir haben hier ein kleines Zeitfenster, um unser Schicksal in Richtung einer vertrauenswürdigeren, transparenteren und widerstandsfähigeren Gesundheitsversorgung für Sie, Ihre Angehörigen und die Menschen, die Sie betreuen, zu lenken.
Die Geschichte hat ein Auge auf uns.
