Die Cybersicherheit entwickelt sich ständig weiter und passt sich an, was im Gesundheitswesen eine Belastung sein kann, insbesondere da die Zahl der Cyberangriffe auf Krankenhäuser – oft mit dem Ziel, sensible Patienten- und Finanzdaten zu erlangen – sprunghaft ansteigt.
Aufgrund der zunehmenden Verbreitung vernetzter Geräte in Gesundheitseinrichtungen auf der ganzen Welt befinden sich Krankenhäuser heute in einer zunehmend anfälligen Lage. Der jüngste Ransomware-Angriff auf Change Healthcare hat die in der Branche (und ihrer Lieferkette) bestehenden Schwachstellen und die weitreichenden Auswirkungen aufgezeigt, die unzureichende Sicherheit auf den Krankenhausbetrieb haben kann.
Dies erschwert die ohnehin kritische Position der Chief Information Security Officers (CISOs) im Gesundheitswesen. Heutzutage müssen sich CISOs im Gesundheitswesen mit drei zentralen Herausforderungen auseinandersetzen.
1. Mit der neuesten Gesundheitstechnologie Schritt halten
Von Natur aus müssen Gesundheitsorganisationen Innovation und Fortschritt mit der Priorität des Schutzes der Patientensicherheit in Einklang bringen. Innovation ist erforderlich, um die Belastung von Pflegekräften und Ärzten zu verringern und in einem zunehmend komplizierten wirtschaftlichen Umfeld die höchste Qualität der Pflege zu bieten. Die Geschwindigkeit dieses Wandels hat sich beschleunigt, da die neue, technikorientierte Generation von Ärzten nach Wearables, Internet-of-Things-Geräten (IoT), den neuesten bildgebenden Geräten und mehr verlangt.
Die Einführung neuer Technologien erfordert jedoch eine architektonische Prüfung, Vertragsprüfungen sowie einen erheblichen Zeit- und Ressourcenaufwand. Der Prozess der Verwaltung von Technologielebenszyklen ist für CISOs in jedem Unternehmen ein harter Kampf, insbesondere wenn komplexe neue Technologien aufkommen. Die Integration innovativer Technologien muss auch parallel zu „Keep-the-Lights-On“-Systemen wie Wartung, Upgrades und Patching erfolgen, und die CISO-Arbeitsbelastung steht vor einem Allzeithoch.
Glücklicherweise gibt es für CISOs Möglichkeiten, bestehende Prozesse zu rationalisieren, ohne den Fluss technologischer Upgrades einzudämmen, wie z. B. die Erstellung von Vertragsvorlagen, das Festlegen klarer Erwartungen und die Verbesserung der Projektressourcen- und Portfolioverwaltung. Auch Informationstechnologie (IT)- und Informationssicherheitsteams sollten in die Technologieplanungsprozesse einbezogen werden. Diese Teams können der Krankenhausleitung wertvolle Ratschläge geben – Beiträge, die über die erfolgreiche Implementierung neuartiger Technologien entscheiden können.
2. Wirksame IT-Investitionen tätigen, die einen Mehrwert darstellen
CISOs und Führungskräfte sollten IT-Investitionen als strategische Unternehmenswerte betrachten, die Innovationen generieren, die Zusammenarbeit fördern und Skalierbarkeit ermöglichen. In einer Zeit, in der das Krankenhauspersonal in der gesamten Branche Rekordwerte an Burnout erlebt, kann die Einführung moderner Technologie die Arbeitsbelastung für Pflegekräfte verringern und gleichzeitig die Kosten senken. Investitionen, die langwierige manuelle Prozesse eliminieren, Sicherheitsrisiken verringern, Diagnosezeiten verkürzen und den Umsatzzyklus rationalisieren, bieten dem Unternehmen den offensichtlichsten Mehrwert. Gesundheitseinrichtungen sollten auch nach Möglichkeiten suchen, die „Pyjamazeit“ des Klinikpersonals oder die Verwaltungsarbeit außerhalb der Geschäftszeiten zu minimieren, um Burnout zu lindern und die Belastung durch den anhaltenden Ärztemangel zu verringern.
Während einige Technologien allgemein begrüßt werden, bringen nicht alle IT-Investitionen dem Unternehmen die gleichen Vorteile. Gesundheitsorganisationen haben knappe Margen, und trotz des offensichtlichen Werts von Investitionen in die Cybersicherheit stehen CISOs oft vor einem harten Kampf, wenn es darum geht, den Return on Investment von Risikominderungsstrategien zu kommunizieren. CISOs können dem Zögern entgegenwirken, indem sie die potenziellen Auswirkungen der Bemühungen zur Reduzierung des Cyber-Risikos quantifizieren. Wenn CISOs beispielsweise den Wert einer geplanten neuen IT-Investition kommunizieren, können sie das FAIR-Modell (Factor Analysis of Information Risk) verwenden oder den Wert der vermiedenen stündlichen Ausfallzeit im Verhältnis zum durchschnittlichen Tagesumsatz schätzen.
Um sicherzustellen, dass Sicherheitspraktiken und IT-Investitionen mit den Bedürfnissen und Erwartungen der Einrichtung im Einklang stehen, sind die Antizipation des Personalbedarfs, die ständige Kommunikation mit anderen Interessengruppen und die Verknüpfung technischer Risiken mit Geschäftsergebnissen von entscheidender Bedeutung.
3. Förderung von Cybersicherheitspraktiken im gesamten Krankenhaus
Zu den umständlichsten Elementen einer Informationssicherheitsrolle gehört es, den Mitarbeitern die Bedeutung von Sicherheitsprotokollen zu vermitteln und technische Risiken mit realen Ergebnissen zu verknüpfen. Das klinische Personal bewältigt täglich eine Flut komplexer Patientenanfragen und -aufgaben, und CISOs müssen genügend Sicherheitsinformationen bereitstellen, um effektiv zu sein, ohne zusätzlichen Aufwand zu verursachen, und bewährte Verfahren im Laufe der Zeit weiter stärken.
CISOs können Cybersicherheitsinformationen effektiv über organisationsweite Foren wie Führungstreffen, Ratsversammlungen und Ausschüsse austauschen. Das Informationssicherheitsteam kann über diese Foren Updates bereitstellen und Outreach-Programme entwickeln, um die Belegschaft über die neuesten Sicherheitsverbesserungen und -anforderungen zu informieren. Der Austausch von Cybersicherheitsinformationen durch die Krankenhausleitung trägt ebenfalls dazu bei, die Bedeutung dieser Praktiken zu unterstreichen.
CISOs im Gesundheitswesen sollten die Rolle eines Fürsprechers übernehmen, wenn sie IT-Teams und das gesamte Krankenhauspersonal über die Bedeutung bestehender und neuer Sicherheitsmaßnahmen aufklären. Durch die Zugänglichkeit der Informationssicherheits- und IT-Teams für Mitarbeiter, die Fragen haben, können krankenhausweite Sicherheitsprozesse aufrechterhalten oder verbessert werden. Für diese Teams ist es auch wichtig, dem klinischen Personal Begründungen für möglicherweise mühsame administrative und technische Kontrollen zu liefern, um internen Widerstand zu vermeiden und eine reibungslose Einführung sicherzustellen.
Die sich verändernde Rolle der Sicherheit
Gesundheitsorganisationen stehen vor zahlreichen Cybersicherheitsherausforderungen, da Sicherheits- und IT-Teams kontinuierlich daran arbeiten, die Daten- und Systemsicherheit vor sich entwickelnden Cyberbedrohungen aufrechtzuerhalten. Die Notwendigkeit, diese Herausforderungen anzugehen, ist von entscheidender Bedeutung, da Cyberangriffe auf Krankenhäuser zunehmen und komplexer werden. Glücklicherweise gibt es mehrere Schritte, die CISOs und Cybersicherheitsexperten unternehmen können, um den drohenden digitalen Bedrohungen im Gesundheitswesen einen Schritt voraus zu sein. Durch die Optimierung der Technologieeinführung, die Integration von Teams und der Krankenhausleitung bei Kaufentscheidungen und die Suche nach neuen Wegen zum Austausch von Cybersicherheitsinformationen können CISOs ihre Organisation und die gesamte Gesundheitsbranche an einen sichereren Ort bringen.
Foto: anyaberkut, Getty Images
