Cyberkriminelle auf der ganzen Welt zielen weiterhin auf Gesundheitsorganisationen ab und nutzen dabei jede Schwachstelle aus, die sie finden können. Gesundheitseinrichtungen haben immer noch Mühe, sich vor diesen Hackern zu schützen, deren Taktiken von Tag zu Tag ausgefeilter werden.
Nachfolgend sind drei Änderungen aufgeführt, die nach Ansicht von Cybersicherheitsexperten erforderlich sind, um die Verteidigungsposition des Gesundheitswesens zu stärken.
Alle Mitarbeiter im Gesundheitswesen benötigen eine Schulung zur Cybersicherheit
Internes menschliches Versagen sei einer der häufigsten Faktoren, die Cyberangriffe in Unternehmen aller Branchen verursachen, betont Anurag Lal, CEO von NetSfere, einem Cybersicherheitsunternehmen, das eine sichere Messaging-Plattform anbietet.
„Die meisten Angriffe werden von Mitarbeitern ausgeführt, die einfach einen Fehler gemacht haben“, sagte er. „Diese Fehler haben jedoch nachteilige Auswirkungen, was zu wachsender Angst unter den Mitarbeitern führt. Tatsächlich sagen einige Cybersicherheitsexperten einer Umfrage zufolge, dass sie einen Verstoß aus Angst, ihren Arbeitsplatz zu verlieren, nicht gemeldet haben.“
Um dieses Problem anzugehen, müssen Unternehmen eine Politik der offenen Tür am Arbeitsplatz einführen, damit sich die Mitarbeiter ermutigt fühlen, über sämtliche Risiken zu sprechen, denen ihr Unternehmen ausgesetzt sein könnte, empfiehlt Lal.
Unternehmen müssten zudem sicherstellen, dass alle Angestellten Cybersicherheitsrisiken erkennen und alle Mitarbeiter in der ordnungsgemäßen Übermittlung und Übermittlung elektronischer Gesundheitsdaten von Patienten unterweisen, fügte er hinzu.
„Unternehmen im Gesundheitswesen müssen klare Stellenbeschreibungen und -rollen festlegen und sicherstellen, dass diese in der gesamten Organisation kommuniziert werden“, bemerkte Lal. „Unternehmen im Gesundheitswesen müssen sicherstellen, dass ihre Mitarbeiter über die erforderlichen Kenntnisse, Fähigkeiten und Fertigkeiten verfügen, um bestimmte Rollen zu erfüllen, und dass diese Anforderungen in den Einstellungsprozess einbezogen werden.“
Lal wies auch darauf hin, dass die Schulung der Mitarbeiter zur Cybersicherheit ein fortlaufender, sich weiterentwickelnder Prozess sein sollte, der auf Umwelt- und Betriebsänderungen reagiert.
Die Regierung muss Mindeststandards für die Cybersicherheit festlegen
Die Bundesregierung habe noch keinen Standard für einen Mindestumfang an Cybersicherheitsschutz für alle Branchen festgelegt, bemerkte Joel Burleson-Davis, Senior Vice President für weltweite Entwicklung und Cybersicherheit beim digitalen Identitätssicherheitsunternehmen Imprivata.
„Das Fehlen eines staatlichen Cybersicherheitsprogramms bringt einige Probleme mit sich“, sagte er. „Das erste Problem ist der Mentalitätswandel bei Organisationen, die schwierige Entscheidungen treffen müssen – wenn Kontrollen ein ‚Sollte‘ statt ein ‚Muss‘ sind, könnten Organisationen mit knappen Ressourcen davon abraten, sie umzusetzen.“
Das Fehlen eines starken Regierungsprogramms führt zu inkonsistenten Sicherheitspraktiken im gesamten Gesundheitssektor und macht es Hackern dadurch leichter, Schwachstellen auszunutzen. Dies wird zu einem noch größeren Problem, da Gesundheitsorganisationen immer stärker vernetzt sind und sich in vielen Fällen konsolidieren, betont Burleson-Davis.
Organisationen wie die National Security Agency (NSA), die Cybersecurity and Infrastructure Security Agency (CISA) und das National Institute of Standards and Technology (NIST) hätten zwar Richtlinien und Rahmenbedingungen zur Cybersicherheit für Organisationen im Gesundheitswesen herausgegeben, diese seien jedoch nicht sehr effektiv, sagte er.
„Diese Richtlinien bieten zwar hilfreiche Informationen, sie legen jedoch keine festen Standards, Anreize oder Verantwortlichkeiten für Organisationen fest, die mit der Implementierung aktualisierter Best Practices fortfahren. Es handelt sich lediglich um Empfehlungen – das heißt, Organisationen können sie annehmen oder ablehnen“, erklärte Burleson-Davis.
Das Ausbleiben von Konsequenzen im Falle eines Angriffs ermögliche es Gesundheitsorganisationen außerdem, ihre Sicherheit und die Patientensicherheit aufs Spiel zu setzen, wenn sie keine Best Practices oder geeigneten Methoden zur Datensicherung und -wiederherstellung umsetzten, fügte er hinzu.
Die Auswirkungen des Cyberangriffs auf Change Healthcare sind ein Paradebeispiel.
„Viele waren sich darüber im Klaren, dass Change Healthcare die einzige Schwachstelle bei allen Zahlungsvorgängen darstellte. Dennoch haben sie keine Backup-Methode implementiert, weil sie diesen Prozess als zu teuer und zeitaufwändig erachteten“, bemerkte Burleson-Davis.
Der Angriff auf Ascension im vergangenen Monat sei ein weiteres aktuelles Beispiel, bemerkte er. Ascension ist eines der größten Gesundheitssysteme des Landes mit 140 Krankenhäusern in 19 Bundesstaaten. Wenn es angegriffen werden könne, dann bestehe für jedes Gesundheitssystem in den USA die Gefahr eines verheerenden Cyberangriffs, sagte er.
Aus Burleson-Davis‘ Sicht besteht der wichtigste Änderungsbedarf zur Verbesserung der Cybersicherheit im Gesundheitswesen in der Festlegung staatlich durchsetzbarer Mindeststandards für die Cybersicherheit speziell im Gesundheitswesen sowie in Anreizen und Ressourcen, die dafür sorgen, dass Gesundheitsorganisationen ihre Cybersicherheitsprogramme erfolgreich aufbauen und aufrechterhalten können.
„Wirkliche Veränderungen werden eintreten, wenn Standards und Initiativen sowie die erforderlichen Mittel zu ihrer Umsetzung eingeführt werden“, erklärte er. „Die Budgetierung ist für kleinere Gesundheitsdienstleister ein Routinethema, da ihre Führungskräfte wissen, dass Cyberangriffe schwerwiegende Folgen für die Privatsphäre und die Finanzen haben. Wenn sie sich zwischen einem dringend benötigten MRT-Gerät für ihre Patienten oder einem neuen Cybersicherheitsprodukt entscheiden müssen, werden sie sich verständlicherweise für Ersteres entscheiden.“
Gesundheitsorganisationen sollten zusammenarbeiten, um gemeinsame Schwachstellen zu beheben
Cyberangriffe erfolgen weitgehend horizontal, die Einstiegspunkte sind jedoch vertikal ausgerichtet, sagte Gaurav Kapoor, CEO des Cybersicherheitssoftwareunternehmens MetricStream.
Er merkte an, dass bei einem Cyberangriff in der Finanzbranche Stakeholder aus dem gesamten Sektor oft zusammenarbeiten, um das Problem so schnell wie möglich zu lösen. Der Finanzsektor arbeitet auch proaktiv zusammen – Banken auf der ganzen Welt haben Netzwerke aufgebaut, in denen sie regelmäßig neue Risiken austauschen und darüber sprechen, wie man ihnen zuvorkommt, erklärte er.
Doch in der Welt der Cybersicherheit im Gesundheitswesen scheint es keinen vergleichbar schnellen und kooperativen Ansatz zu geben.
„Ich bin der Meinung, dass es im Gesundheitswesen mehr Zusammenarbeit geben kann, wenn es darum geht, die Schwachstellen zu schließen“, bemerkte Kapoor.
Er empfahl, dass gehackte Gesundheitsdienstleister die Details an andere Organisationen in der Branche weitergeben sollten, damit diese wissen, welche Patches sie in ihren eigenen Systemen installieren müssen.
Foto: JuSun, Getty Images
