Cybersicherheit ist ein Hauptanliegen von Gesundheitsfachkräften, insbesondere von CFOs, von denen viele die störenden und kostspieligen Auswirkungen eines Verstoßes erlebt haben. Eine von der Healthcare Financial Management Association (HFMA) durchgeführte Guidehouse-Umfrage ergab, dass 55 % der Anbieter Cybersicherheit als ihre wichtigste Investitionspriorität für 2024 angaben. Schwachstellenmanagement, Datensicherheit und Bedrohungserkennung wurden als Bereiche von größtem Interesse genannt. Diese drei Bereiche stehen im Zusammenhang mit der Verbreitung von Endgeräten, die Ärzte, Mitarbeiter und Supportpersonal heute täglich verwenden. Obwohl Firewalls, Netzwerküberwachung und andere Sicherheitspraktiken unerlässlich sind, lohnt es sich, mehr darüber nachzudenken, wie sich das Endgeräte-Computing besser sichern lässt. Wie Angehörige der Gesundheitsberufe ihre Geräte verwenden und ob sie die besten Sicherheitspraktiken einhalten, wirkt sich direkt auf das Sicherheitsniveau eines Anbieters aus.
Prävention am Endpunkt
Angesichts zunehmender Cyberbedrohungen kann ein präventiver Ansatz zur Verbesserung der Sicherheit am Endpunkt nicht nur positive Ergebnisse bei den Betriebsergebnissen, sondern auch bei der besseren Einhaltung von Datenschutz- und Compliance-Vorschriften bringen. Laut geplanten Aktualisierungen des Gesundheitsministeriums stehen für 2024 strengere HIPAA-Geldstrafen, Durchsetzungsmaßnahmen und Audits an.
HIPAA hat außerdem neue, strengere Vorschriften für Risikobewertungen, Datenverschlüsselung und Notfallreaktionspläne geplant. Gesundheitsdienstleister können diese Ziele berücksichtigen und mit der Analyse beginnen, ob die Sicherheit am Endpunkt mit der Unterstützung der HIPAA-Gesamtvision einer stärkeren Bedrohungsabwehr vereinbar ist.
Die beste Risikominderung bzw. -prävention am Endpunkt erfordert die Verringerung der Geräterisikofaktoren, die Nutzung der Cloud zur sicheren Speicherung, den Einsatz eines sicheren Betriebssystems, eine effiziente, zentralisierte Endpunktverwaltung und die Kommunikation mit den Endbenutzern – alles Elemente, die sich auf Ihre allgemeine Sicherheitslage auswirken.
Cloud-Speicherung und -Zugriff können das Risiko verringern
Mitarbeiter im Gesundheitswesen und Ärzte können jeden Tag an verschiedenen Standorten in Krankenhäusern oder Kliniken arbeiten. Sie können mobile Geräte verwenden, die möglicherweise nicht den besten Sicherheitspraktiken entsprechen. Darüber hinaus können Mitarbeiter auf eine Reihe von Anwendungen und Desktops zugreifen. Das Verschieben von Anwendungen in die Cloud ist eine Lösung, um das Risiko weiter zu minimieren, dass Mitarbeiter beim Wechseln zwischen Geräten und Standorten Malware oder Ransomware in das Netzwerk des Gesundheitssystems einschleusen. Die Mitarbeiter können mit entsprechender Berechtigung auf Anwendungen und virtuelle Desktops zugreifen. Dies ermöglicht auch eine zentrale Verwaltung, Patching und Wiederherstellung sowie Cloud-basierte Updates.
Beim Zugriff auf Workloads über die Cloud können medizinische Fachkräfte einen Identitätsanbieter (IDP) mit Single Sign-On (SSO) verwenden. Single Sign-On steigert die Produktivität, indem es den Benutzern einen einfachen Zugriff auf ihre Desktops und Anwendungen ermöglicht, unabhängig von Hardware wie mobilen Wagen oder Pflegestationen. Es wird immer beliebter bei Benutzern im Gesundheitswesen, deren Patientenarbeitslasten eine möglichst effiziente Zeitnutzung erfordern und die sich nicht die Mühe machen möchten, während ihrer Arbeit im Laufe des Tages Passwörter eingeben zu müssen.
Ein sicheres Betriebssystem ist unerlässlich
Für die Umstellung auf sichereres Endpoint Computing ist ein Betriebssystem erforderlich, das Zero-Trust-Methoden und -Integrationen unterstützt, die lokale Datenspeicherung überflüssig macht, schreibgeschützt und verschlüsselt ist. Zero Trust ist laut dem National Institute of Standard and Technology „der Begriff für eine sich entwickelnde Reihe von Cybersicherheitsparadigmen, die die Abwehr von statischen, netzwerkbasierten Perimetern auf Benutzer, Vermögenswerte und Ressourcen verlagern.“ NIST erklärt: „Zero Trust geht davon aus, dass Vermögenswerten oder Benutzerkonten kein implizites Vertrauen gewährt wird, das ausschließlich auf ihrem physischen oder Netzwerkstandort (d. h. lokale Netzwerke im Vergleich zum Internet) oder auf der Eigentumsart der Vermögenswerte (Unternehmens- oder Privatbesitz) beruht.“
Sicherheitspraktiken wie Single Sign-On und Multi-Faktor-Authentifizierung (MFA) sind erforderlich, um Zero-Trust-Prinzipien zu unterstützen. Zero Trust ist laut NIST teilweise eine Reaktion auf die BYOD-Ära und gewinnt an Bedeutung, da immer mehr Organisationen, darunter auch Gesundheitssysteme, nach mehr Möglichkeiten suchen, die Produktivität zu unterstützen und gleichzeitig das Risiko zu verringern, dass Cyberbedrohungen erfolgreich auf das Netzwerk oder die Daten zugreifen. Die Anzahl der Arbeitsabläufe im Gesundheitswesen wird komplex und vielfältig bleiben. Schutzmaßnahmen wie Zero Trust am Endpunkt bieten einen Rahmen zur Erhöhung der Sicherheit.
Neben der vollständigen Umsetzung von Zero Trust benötigen Gesundheitssysteme ein Endpunkt-Betriebssystem, das verschiedene VDI-, DaaS- und SaaS-Umgebungen unterstützen kann. In größeren Gesundheitssystemen arbeiten Standorte möglicherweise mit unterschiedlichen Netzwerkinfrastrukturen. Die Verwendung eines Betriebssystems mit dieser vielfältigen Funktionalität ist eine wirtschaftliche Wahl.
Zentralisiertes Management spart IT-Zeit und Ressourcen
„Eine einzige Glasscheibe“ ist ein in der IT-Welt häufig gehörter Satz. Für Gesundheitssysteme ist er insofern relevant, als er sich auf die Notwendigkeit bezieht, die Verwaltung Ihres Endgerätebetriebssystems und Ihres Cloud-Computing-Speichers und Ihrer Workloads zu zentralisieren, um Effizienz und Kostenkontrolle zu erreichen. Eine zentralisierte Verwaltung kann mehrere gehostete Dienste und Anwendungen unterstützen, was das IT-Personal entlastet und weniger Ressourcen für die Verwaltung der Endgeräteinfrastruktur erfordert.
Kommunikation mit Endbenutzern
Wir wissen, dass Phishing, Social Engineering und andere Cyberangriffe erfolgreich sind, weil der einzelne Benutzer einen virenverseuchten Link geöffnet oder auf eine gefährliche Website geklickt hat. Interne Kommunikation, um das Gesundheitspersonal über die ständigen Gefahren von Cyberbedrohungen aufzuklären, muss Teil einer umfassenden Strategie zur Verbesserung der Sicherheit und Bedrohungsprävention sein.
Eine verbesserte Kommunikation mit dem Personal ist ein wesentlicher Bestandteil der Einhaltung der HIPAA-Datenschutzbestimmungen, die auch 2024 einen Schwerpunkt des HIPAA bilden. Die Vermeidung von Strafen, Datenschutzverletzungen und mangelndem Patientenvertrauen – all dies führt am Ende zum Individuum.
Prävention ist machbar
Neben der Einhaltung strengerer HIPAA-Cybersicherheits- und Datenschutzbestimmungen ist die Verhinderung von Ransomware und Datenlecks für ein gut verwaltetes Gesundheitssystem von zentraler Bedeutung. Durch die Nutzung der Cloud für Speicherung und Zugriff können Anbieter einige der Risiken eliminieren, die am Endpunkt auftreten können. Eine einheitliche zentrale Verwaltung ermöglicht effizientere Updates in der Cloud – eine weitere Risikoquelle, wenn Sicherheitspatches nicht rechtzeitig implementiert werden. Darüber hinaus sind Tools wie Single Sign-On und MFA zur Unterstützung von Zero Trust für die Kontrolle des Zugriffs auf Daten und Anwendungen unerlässlich. Und schließlich liegt die Sicherheit im Bewusstsein von HIPAA nun in der Verantwortung aller. Wenn die Mitarbeiter in die besten Sicherheitspraktiken eingebunden werden, trägt dies dazu bei, sicherzustellen, dass sich das Gesundheitswesen auf die Patientenergebnisse konzentrieren und Störungen bei der Bereitstellung von Dienstleistungen vermeiden kann.
Foto: anyaberkut, Getty Images
Jason Mafera ist Field CTO für Nordamerika bei IGEL. Er kommt mit mehr als 20 Jahren Erfahrung in der Bereitstellung von auf Cybersicherheit ausgerichteten Unternehmens- und SaaS-Lösungsangeboten zu IGEL und hat für eine breite Palette von Unternehmen gearbeitet, von Start-ups und Organisationen vor dem Börsengang bis hin zu börsennotierten und privat finanzierten Unternehmen. Bevor er im Oktober 2022 zu IGEL kam, war Mafera Head of Product und dann Vice President of Sales Engineering and Customer Success bei Tausight, einem jungen Start-up und Anbieter von Gesundheitssoftware, der sich auf die Bereitstellung von Echtzeitinformationen zur Sicherung und Reduzierung der Gefährdung elektronischer persönlicher Gesundheitsinformationen (ePHI) am Rande konzentriert. Davor hatte er eine Reihe von Führungspositionen beim digitalen Identitätsanbieter Imprivata inne. Mafera verbrachte 12 Jahre bei Imprivata, wo er zunächst die Lösungen OneSign Authentication Management und VDA definierte und vermarktete und dann das Büro des CTO leitete. Zu Beginn seiner Karriere war er Systemingenieur und später Produktmanager bei RSA, der Sicherheitsabteilung von EMC.
Dieser Beitrag erscheint im Rahmen des MedCity Influencers-Programms. Über MedCity Influencers kann jeder seine Sichtweise zu Wirtschaft und Innovation im Gesundheitswesen auf MedCity News veröffentlichen. Klicken Sie hier, um zu erfahren, wie.
