Cyberkriminelle auf der ganzen Welt nutzen weiterhin Gesundheitsorganisationen als Ziel ihrer Angriffsziele. Es scheint, als gäbe es jeden Monat eine neue Cybersicherheitskatastrophe im Gesundheitswesen, die die Schlagzeilen beherrscht – in diesem Monat handelte es sich um einen Angriff auf Ascension, der Ärzte in mehreren Bundesstaaten dazu zwang, auf die Führung von Aufzeichnungen in Papierform zurückzugreifen.
Während eines Kamingesprächs am Mittwoch auf der INVEST-Konferenz von MedCity News in Chicago teilte Nitin Natarajan – stellvertretender Direktor der Cybersecurity and Infrastructure Security Agency (CISA) – einige wichtige Ideen mit, die die Menschen über den aktuellen Stand der Cybersicherheit in der Gesundheitsbranche verstehen müssen.
Jeder ist ein Ziel.
Da cyberkriminelle Aktivitäten weltweit immer raffinierter werden, verändert sich auch die Opferlandschaft, sagte Natarajan.
„Wir sehen Angriffe auf K-12-Schulen im Landesinneren. Wir erleben Angriffe auf Gesundheitseinrichtungen. In der Vergangenheit waren Gesundheitseinrichtungen auch im kinetischen Krieg immer geschützt. Wir haben nie Krankenhäuser angegriffen – wir haben nie ein Zelt mit dem Roten Kreuz angegriffen. Aber wir erleben mittlerweile regelmäßig Angriffe auf Krankenhäuser“, erklärte er.
Dass Gesundheitsdienstleister von Cyberkriminellen angegriffen werden, sei ein unvermeidliches Schicksal, bemerkte Natarajan.
Vor diesem Hintergrund müssten Anbieter unermüdlich daran arbeiten, ihre Widerstandsfähigkeit zu erhöhen, damit sie sich in Zukunft schneller von diesen Angriffen erholen könnten, betonte er. Er ermutigte Anbieter außerdem, im Rahmen ihrer Unternehmensplanung damit zu beginnen, sich mit Cybersicherheitsrisiken Dritter zu befassen.
Es wird nicht über Nacht besser werden.
Am Montag startete das HHS ein neues Cybersicherheitsprogramm, das 50 Millionen Dollar für die Entwicklung besserer Cybersicherheits-Abwehrinstrumente für Gesundheitsdienstleister bereitstellen soll. Obwohl man den Bemühungen leicht den Stempel „zu wenig und zu spät“ aufdrücken kann, merkte Natarajan an, dass alle Fortschritte gut sind.
„Ich glaube, viele Leute betrachten Cybersicherheit als einen Lichtschalter. Eines Tages werden wir den Schalter umlegen, und dann sind wir cybersicher. Ich glaube, es ist eher wie eine Bank von etwa 500 Dimmerschaltern – die Änderungen, die wir jeden Tag vornehmen, um einen Dimmerschalter höher zu stellen, bringen uns dem Ziel näher“, erklärte er.
Cybersicherheit erfordert einen ganzheitlichen Ansatz.
Um ihre Abwehrmaßnahmen zu stärken, müssen Gesundheitsorganisationen sicherstellen, dass alle Mitarbeiter mindestens über eine grundlegende Cybersicherheitsschulung verfügen, sagte Natarajan.
Dies bedeute, dass alle Mitarbeiter darin geschult werden müssten, wie sie beispielsweise die Zwei-Faktor-Authentifizierung richtig anwenden oder Phishing-E-Mails erkennen können, erklärte er. Wenn es um Cybersicherheit geht, ist ein Unternehmen oft nur so stark wie sein schwächstes Glied.
„Dies müssen nicht nur die CISOs und CIOs tun – Sie müssen die gesamte Belegschaft in eine Kultur bringen, in der sie sich besser mit Cybersicherheit auskennen“, bemerkte Natarajan.
Es gibt kostenlose Tools, die Anbieter nutzen sollten.
Viele Gesundheitsdienstleister haben kaum Geld – und viele haben einfach nicht das Geld, um angemessen in Cybersicherheitsmaßnahmen zu investieren, betonte Natarajan. CISA und andere Bundesorganisationen bieten jedoch Tools an, die Gesundheitsdienstleister kostenlos nutzen können, sagte er.
„Das ist keine ideale Lösung für ein kleines Krankenhaus, das sich mit der Lohnabrechnung beschäftigt und versucht, Personal zu rekrutieren und zu halten. Aber wir sehen immer mehr Möglichkeiten für sie – in dem, was die Regierung schafft, und wir sehen auch, dass Unternehmen auf den Plan treten und kostenlose Versionen ihrer Produkte anbieten“, bemerkte er.
„Secure by Design“ ist die Zukunft.
Natarajan ist der Ansicht, dass Unternehmen, die im Bereich der Medizintechnik tätig sind, zu einem Ansatz übergehen müssen, bei dem Sicherheit durch Design gewährleistet wird.
„Das bedeutet, dass es standardmäßig sicher sein sollte. Sie sollten keine zusätzlichen Pakete kaufen oder die Sicherheit einschalten müssen“, erklärte er. „Es bedeutet, dass wir unsere Hardware und unsere Software so entwickeln, dass sie Dinge wie speichersichere Sprachen verwenden, und dass wir die richtigen Sicherheitselemente in die Software einbauen.“
Foto: Gabriela Golumbovici, Breaking Media
