Cyberangriffe stellen nach wie vor eine gewaltige Bedrohung für Gesundheitsdienstleister dar, wobei die Taktiken der Hacker von Tag zu Tag ausgefeilter werden.
Dem versucht die Politik entgegenzuwirken. Zum Beispiel die Gouverneurin von New York, Kathy Hochul freigegeben im November eine Reihe von Cybersicherheitsvorschriften vorgeschlagen, die Krankenhäuser dazu verpflichten, neue Richtlinien und Verfahren einzuführen, um sich vor immer stärker werdenden Cyberbedrohungen zu schützen. Und vor ein paar Wochen, HHS veröffentlicht Leitlinien, die freiwillige Cybersicherheits-Leistungsziele für den Gesundheitssektor darlegen. Obwohl diese ersten Leitlinien freiwillig sind, werden diese Ziele wahrscheinlich als Grundlage für die künftige Festlegung von HHS-Regeln dienen.
In seinen Leitlinien skizzierte HHS zehn Hauptziele zur Stärkung der Cybersicherheit von Anbietern: Vorschreiben grundlegender Cybersicherheitsschulungen, Eindämmung bekannter Schwachstellen, Erhöhung der E-Mail-Sicherheit, Verwendung von Multifaktor-Authentifizierung, Gewährleistung einer starken Verschlüsselung, Anforderung eindeutiger Anmeldeinformationen, Widerruf von Anmeldeinformationen für ausscheidende Mitarbeiter, Trennung von Benutzern und Mitarbeitern privilegierte Konten, die Erstellung von Plänen zur Reaktion auf Vorfälle und die Überprüfung der Cybersicherheit von Anbietern.
„Diese Richtlinien sind ein Ausgangspunkt für ein sichereres und widerstandsfähigeres Gesundheitssystem in den USA, und andere ergreifen international ähnliche Maßnahmen“, betonte Taylor Lehmann, Direktor des CISO-Büros von Google Cloud und ehemaliger CISO von athenahealth Und Büschelmedizin. Er ist aber auch der Meinung, dass diese Regulierungsbemühungen mit der Zusammenarbeit der Branche und dem Informationsaustausch einhergehen müssen, um echte, langfristige Veränderungen voranzutreiben.
„Der Vorteil der Cyber-Performance-Richtlinien besteht darin, dass sie zeigen, wohin der Ball als nächstes springt und welche Standards und Erwartungen für das gelten, woran Unternehmen arbeiten sollten. Das mag heute noch nicht der Fall sein, aber was auf dem HHS-Papier steht, wird höchstwahrscheinlich zu dem werden, was in der tatsächlichen endgültigen Regelung oder in neuen regulatorischen Anforderungen steht, die zum Gesetz werden“, erklärte Lehmann.
Einige Krankenhäuser sind besser darauf vorbereitet, diese Cybersicherheitsziele zu erreichen als andere. Während viele Krankenhäuser bereits mit der digitalen Transformation begonnen haben, gibt es viele andere, die immer noch veraltete IT-Systeme nutzen.
Der Grad der Bereitschaft hänge von der Größe des Krankenhauses, der Finanzierung und den Ressourcen für ein IT-Sicherheitsteam ab, betonte Lehmann.
„Während die wesentlichen Ziele wie grundlegende Sicherheit erscheinen mögen – Dinge wie Multi-Faktor-Authentifizierung und die Verwendung eindeutiger Anmeldeinformationen – werden sie eindeutig nicht richtig umgesetzt, da sie weiterhin die Hauptursachen für Verstöße in der Branche sind“, erklärte er . „Die Grundlagen sind nicht immer unbedingt einfach – sie können tatsächlich sehr schwer sein.“
Insgesamt sollten sich Krankenhäuser darauf konzentrieren, die Nutzung der Identität als Kontrollmechanismus zu stärken, empfahl Lehmann. Es sei ermutigend zu sehen, dass dies in den Leitlinien von HHS hervorgehoben wurde, bemerkte er.
Lehmann betonte die Bedeutung der Durchführung von Penetrationstests, da diese Organisationen im Gesundheitswesen dabei helfen können, die wirksamen und aufwandsarmen Möglichkeiten für Angreifer zu ermitteln – und die ebenso nützlichen wie einfachen Abhilfemaßnahmen, die sofort ergriffen werden müssen.
„Testen und beheben Sie, bis die Organisation eine grundlegende Sicherheitskontrolle erreicht hat, die ihr etwas Spielraum lässt, um über die Priorisierung freiwilliger Ziele nachzudenken, wie etwa die Cybersicherheits-Leistungsziele von HHS.“ Vertrauen in Systeme, insbesondere solche, die noch nicht bewertet wurden, muss regelmäßig und kontinuierlich aufgebaut werden“, sagte er.
Penetrationstests, rotes Teaming und andere Formen der technischen Beurteilung liefern einen realistischen Überblick darüber, welche Probleme sofort behoben werden müssen, erklärte Lehmann. Seiner Ansicht nach müssen Anbieter damit beginnen, diese Prozesse regelmäßig durchzuführen, bevor weitere strategische Gespräche stattfinden können.
Foto: JuSun, Getty Images
