Im März 2023 hat die US-Regierung die Nationale Cybersicherheitsstrategie veröffentlicht. Diese Strategie der US-Regierung sieht einen umfassenden Ansatz für ein sicheres und geschütztes digitales Ökosystem für alle vor, indem die Verantwortung auf Organisationen verlagert wird, die am besten für den Umgang mit Risiken gerüstet sind, Anreize zum Schutz vor dringenden Bedrohungen strategisch ausgerichtet werden und eine langfristige Vision für die Zukunft verfolgt wird.
Das Gesundheitswesen gehört zu den Branchen, die am stärksten von Cybersicherheitsbedrohungen betroffen sind, und gerät zunehmend ins Visier. Nach Angaben des HIPAA Journal wurden in diesem Jahr 328 Gesundheitsdienstleister Opfer einer Datenschutzverletzung. Laut dem Bericht "2023 Global Healthcare Survey" vonClaroty hatten 78 % der Befragten im letzten Jahr mindestens einen Vorfall im Bereich der Cybersicherheit zu verzeichnen, und 60 % der von Vorfällen betroffenen Organisationen berichteten von mäßigen bis erheblichen Auswirkungen auf die Patientenversorgung. Infolgedessen hat die Gesundheitsbranche aufgrund der Vielfalt und der Auswirkungen von Cybervorfällen auf strengere Vorschriften und Branchenleitlinien für bewährte Verfahren im Bereich der Cybersicherheit gedrängt - und in einigen Fällen auch gefordert. Im Frühjahr 2023 wird Abschnitt 405(d): Aligning Health Care Industry Security Approaches" (Angleichung der Sicherheitsansätze der Gesundheitsbranche ) aktualisiert, um eine Reihe von Überlegungen zu vertiefen. Insbesondere die Cybersecurity Practice #9: Network Connected Medical Devices (vernetzte medizinische Geräte) schlägt Leitlinien für grundlegende bewährte Sicherheitspraktiken wie Asset Management, Endpunktschutz, Identitäts- und Zugriffsmanagement, Netzwerkmanagement, Schwachstellenmanagement und mehr vor.
Das jüngste vom HHS veröffentlichte Konzept setzt die Dynamik der 405(d)-Updates fort und hebt gleichzeitig die Standards und Möglichkeiten der Cybersicherheitsbranche im Gesundheitswesen an, um eine weitere Angleichung an die nationale Cybersicherheitsstrategie zu erreichen. Das Konzeptpapier mit dem Titel " Healthcare Sector Cybersecurity, Introduction to the Strategy of the U.S. Department of Health and Human Services" (Cybersicherheit im Gesundheitswesen, Einführung in die Strategie des US-Ministeriums für Gesundheit und menschliche Dienstleistungen) beschreibt vier Säulen, auf denen die Organisationen des Gesundheitswesens Maßnahmen ergreifen können, darunter die Veröffentlichung neuer freiwilliger, auf das Gesundheitswesen zugeschnittener Leistungsziele für die Cybersicherheit, neue Unterstützung und Anreize zur Verbesserung der Krankenhäuser, eine stärkere Konzentration auf Durchsetzung und Rechenschaftspflicht sowie die Entwicklung zu einer zentralen Anlaufstelle für Cybersicherheit im Gesundheitswesen.
Da es sich um eine konzeptionelle Veröffentlichung handelt, werden in den kommenden Monaten weitere Einzelheiten folgen. Zu den wichtigsten Highlights, die Sie von HHS erwarten können, gehören:
Neue Ziele für den Cybersicherheitssektor im Gesundheitswesen festgelegt: Das HHS wird neue, freiwillige Ziele für die Branche festlegen und veröffentlichen. Diese sektorspezifischen Ziele für die Cybersicherheit im Gesundheitswesen und im öffentlichen Gesundheitswesen(HPH CPGs) werden die grundlegenden Mindestziele für grundlegende Cybersicherheitsaktivitäten umreißen und gleichzeitig zu erweiterten Zielen ermutigen, um fortschrittlichere Cybersicherheitsleistungen zu fördern.
Neue Unterstützung und Anreize: Das HHS wird mit dem Kongress zusammenarbeiten, um finanzielle Unterstützung für die Verbreitung bewährter Verfahren im Bereich der Cybersicherheit bereitzustellen. Dazu gehört ein Investitionsprogramm zur Unterstützung von Anbietern mit hohem Bedarf und geringen Ressourcen für die Umsetzung wesentlicher Leitlinien und ein Anreizprogramm für Krankenhäuser, um die Umsetzung verbesserter Leitlinien in allen Gesundheitssystemen voranzutreiben.
Stärkere Durchsetzung und Rechenschaftspflicht: Die Einführung der neuen CPGs wird die Schaffung neuer, durchsetzbarer Cybersicherheitsstandards vorantreiben. Im Frühjahr 2024 wird die HIPAA-Sicherheitsvorschrift neue Cybersicherheitsanforderungen erfordern, und neue Cybersicherheitsanforderungen werden durch Medicare und Medicaid vorgeschlagen. Dies sind zwei kurzfristige Maßnahmen, bei denen die neu definierten CPGs direkt zum Tragen kommen können.
Erweiterung des HHS für Programmreife: Das HHS wird sich weiterhin bemühen, durch neue Ansätze, wie z. B. stärkere Partnerschaften mit der Regierung, zusätzliche Ressourcen, technische Unterstützung usw., eine Anlaufstelle für Cybersicherheitsreife und -unterstützung zu sein.
Wie ist Claroty auf die Hilfe vorbereitet?
Claroty ist darauf vorbereitet, diese neuen Ziele, Unterstützungs- und Rechenschaftsstandards des HHS für die Cybersicherheit im Gesundheitswesen zu unterstützen. Unsere speziell für das Gesundheitswesen entwickelte Lösung, die Medigate Platform, bietet eine hochflexible und anpassbare Lösung, die eine breite Palette von Best Practices für die Cybersicherheit unterstützt, um alle Reifegrade von Cybersicherheitsprogrammen zu unterstützen. Von der Implementierung einer ersten Gerätetransparenz und eines Risikomanagements bis hin zu anspruchsvolleren Ansätzen wie der Netzwerksegmentierung und der Erkennung von Bedrohungen über alle cyber-physischen Systeme wie IoT, IoMT und BMS. Unsere modulare Plattform ermöglicht es Unternehmen, Prozesse zu implementieren und gleichzeitig Ziele zu setzen und zu verfolgen, um die Anforderungen an die Cybersicherheit zu erfüllen.
Um mehr darüber zu erfahren, wie Claroty Sie bei der Sicherheit im Gesundheitswesen unterstützen kann, lesen Sie bitte die Medigate Platform Lösungsübersicht oder fordern Sie einfach eine Demo an.
