Technologie und Daten sind für eine wirksame Patientenversorgung von entscheidender Bedeutung, doch mit der zunehmenden Digitalisierung des Gesundheitswesens ist es für Organisationen schwierig, ihre medizinischen Geräte, Dienste, Netzwerke und die darauf befindlichen Informationen vor Cyberangriffen zu schützen. In England und auf internationaler Ebene hat es mehrere Cybervorfälle gegeben, die die Patientenversorgung gestört und zu Sicherheitsrisiken und erheblichen finanziellen Verlusten geführt haben. Bei täglich schätzungsweise 950.00 Terminen in Allgemeinpraxen, 45.000 Besuchen in Notaufnahmen und 137.000 Aufzeichnungen von bildgebenden Verfahren - so das britische Ministerium für Gesundheit und Soziales - sind die potenziellen Auswirkungen, die ein Cyberangriff auf diesen Sektor haben könnte, sowohl direkt als auch indirekt, enorm. Aus diesem Grund hat die britische Regierung eine Cybersicherheitsstrategie zur Verringerung des Cybersicherheitsrisikos, zum Schutz der Daten von Patienten, Dienstleistungsnutzern und Mitarbeitern sowie zur Umsetzung von Maßnahmen zur raschen Wiederherstellung nach Cybervorfällen entwickelt.
Was ist die NHS-Cybersicherheitsstrategie?
Die britische Regierung hat sich vorgenommen, den nationalen Gesundheitsdienst (NHS) vor Angriffen zu schützen, indem sie einen Plan zur Förderung der Cyber-Resilienz im gesamten Gesundheitssektor bis 2030 vorlegt. In dieser Strategie wurden fünf wichtige Wege zum Aufbau von Cyber-Resilienz und zum Schutz der Gesundheitsfunktionen und -dienste, auf die die Nation angewiesen ist, definiert. Um die nationale Gesundheitssicherheit zu erreichen, müssen die Organisationen auf Angriffe, die sich auf die Patientensicherheit und die Wirksamkeit medizinischer Geräte auswirken können, vorbereitet und davor geschützt sein und ihnen standhalten. Im Folgenden sind die fünf strategischen Ziele aufgeführt, die Organisationen verfolgen sollten, um sich effektiv auf Notfälle im Gesundheitswesen vorzubereiten, darauf zu reagieren und sich davon zu erholen:
Ermittlung der Bereiche des Sektors, in denen eine Unterbrechung den größten Schaden für die Patienten verursachen würde, z. B. durch das Bekanntwerden sensibler Informationen oder den Ausfall wichtiger Dienste.
die Zusammenführung des Sektors, damit er die Vorteile seiner Größe nutzen und von nationalen Ressourcen und Fachkenntnissen profitieren kann, was schnellere Reaktionen ermöglicht und Störungen minimiert.
Aufbau auf der derzeitigen Kultur, um zu gewährleisten, dass sich die Führungskräfte engagieren, die Zahl der Cyber-Mitarbeiter steigt und sie anerkannt werden, und dass für die allgemeine Belegschaft relevante Schulungen zu den Cyber-Grundlagen angeboten werden
Einbettung der Sicherheit in den Rahmen neuer Technologien, um sie besser gegen Cyber-Bedrohungen zu schützen
Unterstützung aller Gesundheits- und Pflegeeinrichtungen bei der Minimierung der Auswirkungen und der Wiederherstellungszeit nach einem Cybervorfall
Wie wir wissen, verändert die Technologie die Art und Weise, wie Patienten auf Gesundheitsdienste und Informationen zugreifen. Nach Angaben der britischen Regierung sind über 40 Millionen Menschen im Besitz von NHS-Logins, mit denen sie Termine buchen, Überweisungen verfolgen und Medikamente online bestellen können. In ähnlicher Weise verwenden über 50 % der Anbieter von Sozialleistungen eine digitale Sozialakte, mit der das Personal wichtige Patienteninformationen austauschen kann. Da diese Geräte und Systeme verbessert werden, ist es von entscheidender Bedeutung, dass die Organisationen des Gesundheitswesens über die Werkzeuge verfügen, die sie zur Umsetzung der NHS-Cybersicherheitsstrategie benötigen. Im Folgenden werden wir uns mit den Faktoren befassen, die zur Entwicklung dieser Strategie geführt haben, und mit der Frage, wie sie aktuelle und künftige Herausforderungen angehen soll.
3 Faktoren für die Umsetzung der Cybersicherheit im NHS
In den letzten Jahren haben Cyberangriffe auf Gesundheitssysteme und Krankenhäuser drastisch zugenommen. Dabei wurden Gesundheitsinformationen von Patienten erbeutet, die Patientenversorgung gestört und in einigen Fällen sogar Patienten direkt geschädigt. Es gibt mehrere Herausforderungen in der Branche, die zu dieser Zunahme der Angriffe geführt haben und zur Entwicklung der NHS-Cybersicherheitsstrategie führten. Hier sind drei Faktoren, die wir als die größten Bedrohungen für Organisationen im Gesundheitswesen erkannt haben:
1. Wachsende Abhängigkeit von der digitalen Technologie
Neue digitale Daten und Technologien haben den Gesundheitssektor verändert. Der Einsatz künstlicher Intelligenz zur präzisen Diagnose komplexer Erkrankungen, vernetzte Geräte zur genauen Fernüberwachung und Medikamentendosierung, Roboterchirurgie für präzisere Eingriffe und verbesserte Kommunikation haben eine effektivere Patientenversorgung immens unterstützt.
Da sich die Organisationen des Gesundheitswesens jedoch immer stärker auf diese neueren Technologien stützen und die Geräte immer stärker miteinander vernetzt sind, ist auch das Risiko von Cybervorfällen erheblich gestiegen. NHS-Organisationen verlassen sich in der Regel auch auf ältere Technologien mit veralteter Software und veralteten Betriebssystemen, die möglicherweise nicht mehr regelmäßig mit Sicherheitsupdates und Patches versorgt werden. Dadurch entstehen Sicherheitslücken, die es Cyberkriminellen ermöglichen, bekannte Schwachstellen auszunutzen, um sich unbefugten Zugang zu den Geräten und Systemen zu verschaffen.
Diese beiden Faktoren haben bei der Entwicklung der NHS-Cybersicherheitsstrategie eine wichtige Rolle gespielt, denn sie haben verstanden, dass Technologie für Patienten nur dann sicher ist, wenn sie auch sicher ist. Da neue Technologien entwickelt werden und der NHS weiterhin nicht mehr unterstützte oder auslaufende Systeme verwendet, benötigen Gesundheitsdienstleister Mindeststandards für die Sicherheit. Durch die Umsetzung von NHS-Strategien für das Risikomanagement im Bereich der Cybersicherheit und einen soliden Reaktions- und Wiederherstellungsplan für Zwischenfälle können Organisationen die mit der Abhängigkeit von der Technologie verbundenen Risiken mindern und die Kontinuität und Sicherheit ihrer Gesundheitsdienste gewährleisten.
2. Aufsehen erregende Cyberangriffe
Der globale Ransomware-Angriff WannaCry aus dem Jahr 2017 betraf mehr als achtzig NHS-Trusts und führte zu einer Unterbrechung der Dienste, was deren Anfälligkeit und unzureichende Fähigkeit, auf Angriffe zu reagieren, deutlich machte. Der Angriff betraf einhundertfünfzig Länder und hatte verheerende Auswirkungen auf den NHS, da wichtige Systeme blockiert wurden. Diese Blockade verhinderte, dass das Personal auf Patientendaten und wichtige Dienste zugreifen konnte, was zu Tausenden von Termin- und Operationsstornierungen und in einigen Fällen zu einer Verlegung der Behandlung in andere Krankenhäuser führte.
Die Folgen dieses Angriffs rückten die Cybersicherheit in den Mittelpunkt des Interesses des NHS und machten die Notwendigkeit besserer Cybersicherheitspraktiken im Gesundheitswesen deutlich. WannaCry prägte einen Großteil der Cybersicherheitsstrategie des NHS und führte zu einem Anstieg der Investitionen in die Cybersicherheit. Es zeigte sich, wie wichtig es ist, Ressourcen für die Verbesserung der Cybersicherheitsinfrastruktur, die Umsetzung strengerer Sicherheitsmaßnahmen und die Verbesserung der Reaktionsfähigkeit auf Vorfälle bereitzustellen. Es führte auch zu einer stärkeren Fokussierung auf die Patch-Verwaltung und -Updates, indem ein Prozess geschaffen wurde, der sicherstellt, dass kritische Patches zum Schutz vor bekannten Schwachstellen zeitnah bereitgestellt werden.
3. Sich entwickelnde regulatorische Anforderungen
In der Gesundheitsbranche sind die rechtlichen Anforderungen komplex und entwickeln sich häufig weiter. Viele Organisationen stehen vor Herausforderungen, wenn es darum geht, mit den Vorschriften Schritt zu halten und spezifische Anforderungen zu verstehen. Eine Vorschrift, die sich erheblich auf die Cybersicherheitsstrategie des NHS ausgewirkt hat, ist die Allgemeine Datenschutzverordnung (GDPR). Mit dieser Verordnung wurden strenge Datenschutzanforderungen für Organisationen eingeführt, die mit personenbezogenen Daten umgehen. Die Umsetzung von Vorschriften wie der GDPR kann beträchtliche Ressourcen erfordern, darunter finanzielle Investitionen, qualifiziertes Personal und eine technologische Infrastruktur, an der es Organisationen im Gesundheitswesen in der Regel mangelt.
Die Einhaltung gesetzlicher Vorschriften erfordert eine unternehmensweite Akzeptanz, und ohne Ressourcen sowie eine angemessene Schulung und Sensibilisierung sind die Organisationen des Gesundheitswesens nicht in der Lage, sich angemessen vor Bedrohungen zu schützen. Die NHS-Cybersicherheitsstrategie hat versucht, dieser Herausforderung zu begegnen, indem sie Organisationen bei der Umsetzung robuster Sicherheitsmaßnahmen und -kontrollen zum Schutz personenbezogener Daten anleitet. Sie hat auch die Bedeutung von Schulungs- und Sensibilisierungsprogrammen zur Förderung einer Kultur der Cybersicherheit erkannt. Ihr umfassender Rahmen ist für Organisationen unerlässlich, um die Einhaltung der Datenschutzgrundverordnung und anderer Branchenanforderungen zu gewährleisten.
Die Überwachung und Steuerung von Cybersicherheit und Risiken muss gestrafft und vereinfacht werden, damit Organisationen ihr Ökosystem des Internets der medizinischen Dinge (IoMT) angemessen vor immer ausgefeilteren und weit verbreiteten Angriffen schützen können. Die NHS-Cybersecurity-Strategie bietet eine solide Grundlage für Einrichtungen, um sich vor Cyber-Bedrohungen zu schützen, aber es kann schwierig sein, zu wissen, wo man bei der Umsetzung anfangen soll. An dieser Stelle kommt Claroty ins Spiel. Wir versorgen NHS-Organisationen mit den Werkzeugen, die sie benötigen, um die Einhaltung von Vorschriften zu optimieren, die Effizienz zu steigern und ihre cyber-physischen Systeme (CPS) zu schützen, während sie gleichzeitig ihre Cyber- und Betriebsresilienz verbessern.
Wie man den Schutz von NHS-Organisationen sicherstellt
Die Gesundheit und das Wohlergehen der Menschen im Vereinigten Königreich hängen vom NHS ab. Um den Patienten eine qualitativ hochwertige Versorgung zu bieten und die Cyber- und Betriebssicherheit zu gewährleisten, müssen die Organisationen die Herausforderungen der Cybersicherheit im Gesundheitswesen meistern. Claroty kann den NHS-Organisationen helfen, diese Herausforderungen zu meistern:
1. Vereinfachung der Einhaltung des DSPT
Das Data Security and Protection Toolkit (DSPT) ist ein Online-Tool zur Selbstbewertung, mit dem Organisationen ihre Leistung anhand der 10 Datensicherheitsstandards des National Data Guardian messen und veröffentlichen können. Organisationen sind verpflichtet, dieses Toolkit zu verwenden, um sicherzustellen, dass sie gute Daten und Sicherheit praktizieren und dass personenbezogene Informationen korrekt gehandhabt werden. Claroty vereinfacht die Einhaltung der Vorschriften durch unsere Cybersicherheitsplattform für das Gesundheitswesen, Medigate. Medigate bietet die Erkennung von IoT- und IoMT-Geräten, Schwachstellenmanagement, Netzwerkschutz und andere Kontrollen und Funktionen, die es dem NHS ermöglichen, nahezu alle DSPT-Anforderungen über eine einzige, benutzerfreundliche Lösung zu erfüllen.
2. Senkung der Kosten und Steigerung der Effizienz
Wie wir bereits erwähnt haben, neigen NHS-Organisationen dazu, sich auf veraltete Geräte zu verlassen, die verschiedene Herausforderungen und Schwachstellen mit sich bringen. Viele Organisationen verwenden weiterhin diese Altgeräte, da die Anschaffung und Wartung medizinischer Geräte immer teurer wird. Claroty reduziert diese Kosten, indem es Einblicke darüber gewährt, wo und wie effizient die vorhandenen Geräte genutzt werden, wie lange ihre aktuelle Lebensdauer ist und wie diese sicher verlängert werden kann. Diese Erkenntnisse ermöglichen es den NHS-Organisationen, ihre Krankenhausressourcen besser einzuteilen, Ersatzkäufe aufzuschieben oder zu vermeiden und sogar niedrigere Wartungsgebühren auszuhandeln.
3. CareCERT in den Mittelpunkt stellen
Das Programm des NHS Digital Care Computing Emergency Response Team (CareCERT) bietet NHS-Organisationen proaktive Ratschläge und Anleitungen in Bezug auf digitale Bedrohungen und bewährte Verfahren für die Cybersicherheit. Claroty hat erkannt, dass diese Informationen zugänglich und umsetzbar sein müssen, daher haben wir CareCERT-Warnungen in unsere Plattform als kuratierte Quelle für Bedrohungsinformationen integriert und zentralisiert. Auf diese Weise können NHS-Kunden diese Informationen leicht einsehen und im Kontext ihrer eigenen Umgebung nutzen.
4. Den gesamten Weg der Cybersicherheit gehen
Der Weg zur Erreichung von Cyber- und operativer Resilienz ist nicht einfach. Aber Claroty hilft NHS-Organisationen bei der Unterstützung von Anwendungsfällen über den gesamten Reifegrad der Cybersicherheit im Gesundheitswesen - einschließlich Geräteerkennung, Schwachstellenmanagement, Netzwerkschutz, Bedrohungserkennung, Gerätemanagement und Lebenszyklusmanagement. Darüber hinaus bieten wir NHS-Organisationen die Flexibilität, Skalierbarkeit und Expertise, die sie benötigen, um diesen Weg entsprechend ihrer eigenen Bedürfnisse, Präferenzen und Prioritäten zu beschreiten.
Der NHS stellt Funktionen und Dienste bereit, auf die die Bürger angewiesen sind, und beherbergt eine Fülle vertraulicher Patientendaten, einschließlich medizinischer Unterlagen, vertraulicher Informationen und finanzieller Details. Wenn die Geräte und Netzwerke, auf die die Patienten angewiesen sind, angegriffen werden, kann dies mehr als nur erhebliche finanzielle Verluste verursachen. Ohne eine umfassende Cybersicherheitsstrategie können Angriffe auf NHS-Organisationen zu Unterbrechungen in der Patientenversorgung oder sogar zu Sicherheitsrisiken führen. Lucikly, Claroty hilft NHS-Organisationen, die Sichtbarkeit, den Schutz, die Compliance und den ROI für alle IoT-, IoMT- und andere vernetzte Geräte zu verbessern, die für die Gesundheitsversorgung entscheidend sind.
