Alle Augen sind auf Gesundheitsorganisationen gerichtet. Wie werden sie ihren Ansatz zur Cybersicherheit nach dem jüngsten Angriff auf Change Healthcare anpassen? Effektiv genutzte Daten sind ein unschätzbares Instrument zur Verbesserung der Gesundheitsversorgung. Doch der immense Wert der Daten erregt die Aufmerksamkeit von Hackern. Es gibt Schwachstellen in dieser zunehmend vernetzten Branche, in der externe Anbieter stark darauf angewiesen sind, die Ziele der Kostenträger- und Anbieterorganisationen zu erreichen. Gesundheitsorganisationen müssen erhebliche Ressourcen für die Bewertung ihrer aktuellen Sicherheitsbemühungen aufwenden.
Damit Gesundheitsorganisationen nicht Opfer des nächsten Angriffs werden, müssen ihre Führungskräfte die Positionen und die Vorbereitung der Organisation berücksichtigen. Gesundheitsorganisationen sind stark auf alte und moderne Systeme angewiesen. Diese Systeme wurden Stück für Stück zusammengestellt, um die umfassenden Arbeitsabläufe der Organisation und die Verbindungen zwischen ihnen zu berücksichtigen. Um die Cybersicherheit wirklich zu stärken, ist eine umfassende Betrachtung der Gefährdung jedes Systems und der anfälligen Verbindungen zwischen ihnen erforderlich.
Wie stellt ein Unternehmen also sicher, dass es nicht das nächste ist? Es ist unmöglich, diese Frage zu beantworten. Jede Organisation ist anders. Es gibt keinen einzigen Anti-Hacking-Dienst, der vollständigen Schutz vor jeder potenziellen Cyber-Sicherheitsbedrohung garantiert. Es gibt jedoch vier Bereiche, in denen Unternehmen sinnvolle Änderungen vornehmen können, um ihre Cybersicherheit zu stärken.
Überlegungen zur Bewertung aktueller Cybersicherheitsrisiken
Einzelpunkt- oder Plattformlösungen: Viele Unternehmen werden beginnen, Risiken zu begegnen, indem sie sich von Einzelpunktlösungen abwenden und mehr plattformbasierte Lösungen einführen. Kostenträgerorganisationen können beispielsweise über Hunderte, wenn nicht Tausende von Systemen im gesamten Unternehmen verfügen. Wenn eine aktualisierte Lösung 40 unabhängige Produkte auf einer einzigen Plattform konsolidieren kann, erhöht sie die Sicherheit, optimiert die Überwachung dieser einen Plattform und verringert so die Anzahl der Schwachstellen. Interoperabilität: Gesundheitsorganisationen, die branchenweit anerkannte Interoperabilitätsstandards übernehmen, reduzieren das Risiko. Die Branche strebt die Einhaltung gemeinsamer Interoperabilitätsstandards und Verschlüsselungsmechanismen an. Diese Standards ermöglichen es Anbietern, die Sicherheitssoftware verkaufen, auch, in den Schutz von Endpunkten und Zugangspunkten zu investieren und so die potenziellen Schwachstellen eines Unternehmens zu stärken. Gefürchtete Silos: Ohne einen ganzheitlichen Ansatz oder eine gemeinsame Unternehmensstrategie neigen verschiedene Abteilungen dazu, ihre eigenen isolierten Lösungen zu entwickeln. Immer wenn zwei Teile unterschiedliche Prozesse verwenden, mangelt es an Koordination, was zu zusätzlichen Risiken führt. Wenn Unternehmen einen ganzheitlichen Ansatz verfolgen und eine unternehmensweite Strategie entwickeln und dabei verstehen, wie die einzelnen Teile zusammenpassen, können sie ihr Risiko erfolgreicher minimieren. Erwarten Sie in absehbarer Zeit keine regulatorische Lösung: Die Branche sollte nicht auf staatliche Eingriffe oder Markttrends warten, um auf die jüngsten Ereignisse zu reagieren. Stattdessen sollte ein unmittelbarer Schwerpunkt auf der Überprüfung aktueller Praktiken und der Bewertung der Risiken einer Organisation liegen. Die Einhaltung von Industriestandards und Best Practices für Cybersicherheit ist von wesentlicher Bedeutung, es gibt jedoch keinen „perfekten“ Ansatz oder eine „ideale“ technische Infrastruktur. Jede Organisation hat einzigartige Anforderungen, daher gibt es keine Einheitslösung.
Taktische Schritte zur Stärkung des Cybersicherheitsansatzes einer Organisation
Wie kann eine Organisation diese Elemente in ihren eigenen Ansatz umsetzen? Nutzen Sie einen starken Satz an Prinzipien, um das Design entsprechend den individuellen Anforderungen zu gestalten. Dies wird dazu beitragen, die geeigneten Merkmale zu identifizieren, die ein Unternehmen in seiner Infrastruktur benötigt – seinen Systemen, seinen Mitarbeitern und den Prozessteilen, die für es einzigartig sind. Die Stärkung der Cybersicherheit ist eine Reise, kein Ziel. Erweitern Sie aktuelle Schwerpunkte, bewerten Sie Stärken und Risiken und erwägen Sie die Übernahme wichtiger taktischer Ansätze in den einzigartigen Ansatz einer Organisation.
Erweitern Sie die Bemühungen zur Cybersicherheitsprävention um Strategien zur Identifizierung, Erkennung und Eindämmung von Bedrohungen. Während viele Organisationen es vorziehen, Cybersicherheit aus einer präventiven Perspektive anzugehen, kann dies zu blinden Flecken führen, die Schwachstellen schaffen. Suchen Sie nicht nur nach Strategien, die Angreifer fernhalten – die Bedrohungen werden immer raffinierter und Unternehmen müssen darauf vorbereitet sein, darauf zu reagieren. Modellieren Sie Szenarien, um die Auswirkungen und möglichen Reaktionen auf Angriffe wie Ransomware vollständig zu verstehen. Cybersicherheitsstrategien müssen sich auf die Fähigkeit konzentrieren, Bedrohungen zu erkennen, darauf zu reagieren und sie abzuschwächen. Mit diesem Rahmen sind Unternehmen besser in der Lage, die Geschwindigkeit und Unterbrechung eines potenziellen Angriffs zu minimieren. Achten Sie auf Industriestandards, um einen Cybersicherheitsansatz zu stärken. Nehmen Sie eine vollständige Bewertung der aktuellen Sicherheit des Unternehmens vor – prüfen Sie den Sicherheitsstatus seiner Systeme, Netzwerke, Software, Dienste und Informationen und bewerten Sie seine Fähigkeit, Cyberangriffe zu erkennen, abzuwehren und darauf zu reagieren. Viele Organisationen werden auf die HITRUST-Bewertung und -Zertifizierung setzen, und Unternehmen, die gerade erst anfangen, über Sicherheit nachzudenken, sollten sich mit dem Ansatz vertraut machen. HITRUST ist ein umfassendes Sicherheits- und Risikomanagement-Framework, das Unternehmen einen Fahrplan für die Einhaltung von Sicherheitsanforderungen und das Risikomanagement bietet. Die Bewertung ist ressourcenintensiv, da sie speziell auf die einzigartigen Systeme, Prozesse, Richtlinien und Mitarbeiter einer Gesundheitsorganisation zugeschnitten ist. Erkennen und bekämpfen Sie Bedrohungen innerhalb einer Organisation. Gesundheitsorganisationen müssen Menschen, Prozessen und Tools Priorität einräumen, um ihre Sicherheitsposition zu verbessern, da interne Akteure mit größerer Wahrscheinlichkeit Datenverluste verursachen als externe. Laut einer Studie der Stanford University sind die meisten Datenverluste bei Cyberangriffen auf interne Mitarbeiter zurückzuführen – unabhängig davon, ob Einzelpersonen Opfer von Phishing-Versuchen werden oder vorsätzliche oder vorsätzliche Datenschutzverletzungen begehen. Es ist von entscheidender Bedeutung, sicherzustellen, dass eine Organisation über Schulungen, Richtlinien und Überwachung verfügt, um internen Bedrohungen zu begegnen. Beschränken Sie den Zugriff auf vertrauliche Informationen. Zu den gängigen Strategien gehört die Einführung neuer Richtlinien und Verfahren zur Begrenzung der Risikoexposition durch Minimierung des Zugriffs auf geschützte Informationen. Erwägen Sie die Verwendung von „geringsten Privilegien“-Zugriffen als Standard – gewähren Sie Systembenutzern nur den geringsten Zugriff, der benötigt wird – machen Sie anonymisierte oder nicht identifizierte Systeme zum Standard und minimieren Sie die Anzahl der Benutzer mit Zugriff auf vertrauliche Informationen. Erwägen Sie auch eine Strategie, bei der die anonymisierten Daten an erster Stelle stehen. Viele Unternehmen können Leistungs- und Betriebsberichte sowie andere Arbeitsabläufe mit anonymisierten oder nicht identifizierten Datensätzen durchführen.
Die Gesundheitsbranche wird weiterhin Opfer von Cyberangriffen sein. Die Organisationen, aus denen diese Branche besteht, wären gut beraten, sich auf einen umfassenden Satz von Bewertungen und Attributen zur Verbesserung der Cybersicherheit zu konzentrieren – und nicht auf eine bestimmte Karte oder eine bestimmte Kombination von Tools. Erstellen Sie eine unternehmensweite Strategie, um Sicherheit zu erreichen und Risiken zu minimieren. Bedenken Sie, dass es sich nicht nur um ein Infrastrukturproblem handelt, das gelöst werden muss. Um eine starke Cybersicherheit zu erreichen, ist ein riesiges, vernetztes Netz erforderlich, das die richtige Software, Verfahren und Arbeitsabläufe integrieren und den menschlichen Faktor im gesamten Unternehmen berücksichtigen muss. Es gibt keine Perfektion im Bereich der Cybersicherheit, eine starke Verteidigung jedoch schon.
Foto: JuSun, Getty Images
Ryan Hamilton, der CTO von MacroHealth, ist ein anerkannter IT-Leiter im Gesundheitswesen mit einer klaren Vision für die Zukunft des digitalen Gesundheitswesens und einem einzigartigen Verständnis der Herausforderungen, die mit den aktuellen und neuen Bereitstellungsmodellen des Gesundheitswesens sowohl auf dem US-amerikanischen als auch auf dem internationalen Markt verbunden sind. Er verfügt über umfassende Erfahrung in der Führung von Gesundheitstechnologieunternehmen mit innovativen und bahnbrechenden Geschäftsmodellen, um es ihnen zu ermöglichen, die Transformation innerhalb ihrer MSAs voranzutreiben. Zuletzt fungierte Ryan als Chefarchitekt für Cerners kommerzielle Produktangebote und Plattformen, die das gesamte Gesundheitswesen abdecken, einschließlich der zentralen Verwaltung elektronischer Krankenakten, des Umsatzzyklus, der Geräteintegration, des Bevölkerungsgesundheitsmanagements und von Verbraucherlösungen. Zuvor war er in einer Phase massiven Wachstums bei Cerner als SVP für strategisches Wachstum und SVP für Bevölkerungsgesundheit tätig.
