Führende Unternehmen im Gesundheitswesen beginnen endlich, die Cybersicherheit aus der Vergessenheit zu reißen. Angesichts der zunehmenden Cyberangriffe steigern die meisten Anbieter und Kostenträger ihre Ausgaben in diesem Bereich.
Im Rahmen einer Podiumsdiskussion am Mittwoch im Rahmen der INVEST Digital Health-Konferenz von MedCity News in Dallas tauschten führende Vertreter des Gesundheitswesens ihre Erkenntnisse darüber aus, was sich ändern muss, um die Abwehrhaltung und Widerstandsfähigkeit der Branche gegenüber zunehmenden Bedrohungen zu verbessern.
Es muss eine organisationsweite Kultur des Bewusstseins geben
Wenn es um Cybersicherheit geht, ist ein Unternehmen oft nur so stark wie sein schwächstes Glied, betont Andrew Molosky, CEO des in Tampa ansässigen Chapters Health System und dessen Tochterunternehmen CareNu, das sich auf wertorientierte Versorgung im Medicare Advantage-Bereich konzentriert.
Das Öffnen einer Phishing-E-Mail durch einen Mitarbeiter könne ausreichen, um eine Cybersicherheitskatastrophe herbeizuführen. Daher müssten Gesundheitsorganisationen bei allen Mitarbeitern eine Kultur des Cybersicherheitsbewusstseins aufbauen, sagte er.
„Wir haben klinische Protokolle, Finanzprotokolle und technologische Protokolle für alle unsere Umgebungen. Wenn Sie aus irgendeinem Grund glauben, dass Cybersicherheit eine Aufgabe ist oder nur eine Abteilung oder das Problem von jemand anderem, dann haben Sie schon einen schlechten Start“, erklärte Molosky. „Wenn jeder, der in irgendeiner Funktion ein Namensschild für die Organisation trägt, erkennt, dass dies genauso wichtig ist wie die Verfahren oder die Arzneimittel oder jede andere Komponente der medizinischen Versorgung, dann haben Sie plötzlich ein echtes kulturelles Bewusstsein.“
Um ihre Verteidigungsposition zu verbessern, müssen Gesundheitsorganisationen sicherstellen, dass alle Mitarbeiter zumindest eine grundlegende Schulung in Cybersicherheit erhalten, merkte er an. Seiner Ansicht nach kann Cybersicherheit nicht als spezialisierte Praxis betrachtet werden – sie muss ein zentraler Aspekt der täglichen Abläufe der Organisation sein.
Neue Technologien müssen mit einem hohen Maß an Cybersicherheit entwickelt werden
Organisationen im Gesundheitswesen übernehmen neue Technologien in rasantem Tempo – ein in dieser Woche von Bain & Company und KLAS Research veröffentlichter Bericht zeigt, dass drei Viertel der Leistungserbringer und Kostenträger des Landes angeben, ihre Ausgaben für Technologie und IT im vergangenen Jahr erhöht zu haben.
Mit all dieser neuen Technologie gehen jedoch auch zusätzliche Risiken einher, bemerkt John Mowery, Chief Information Security Officer bei Houston Methodist.
„Wir können weder die Flut an Innovationen bewältigen, die auf uns zukommt, noch die Unreife der Sicherheit dieser [tools]„Das ist eine Flutwelle, die wir nicht bewältigen können“, erklärte er.
Da ständig neue Lösungen auf den Markt drängen, müsse die Branche zusammenkommen, um sicherzustellen, dass bei der Entwicklung dieser Tools die Sicherheit an erster Stelle steht, sagte Mowery.
Er wies auch darauf hin, dass es für die Krankenhausleitung wichtig sei, sich in ihrem Innovationsökosystem zu engagieren und zu versuchen, über alle neuen Technologien, die innerhalb der Organisation eingesetzt werden, auf dem Laufenden zu bleiben.
Oft werde ein neues Tool in einem Ärztenetzwerk oder einer Fachgruppe eingeführt und die für die Cybersicherheit des Krankenhauses zuständigen Personen erfahren davon erst, wenn es fast installiert ist, sagte er.
„Das schafft Herausforderungen und Risiken für die Organisation, erhöht aber auch die Belastung für uns, weil wir nun herausfinden müssen, wie wir all diese Risiken beseitigen können“, erklärte Mowery.
Vielleicht braucht das Gesundheitswesen mehr Cybersicherheitsführer von außerhalb der Branche
Gesundheitsorganisationen, die ihre Cybersicherheitsprogramme ausbauen möchten, sollten nach Führungskräften mit vielfältigen Erfahrungen suchen, empfiehlt Ben Schwering, Chief Information Security Officer bei Premier.
„Wenn ich mit Gesundheitsorganisationen spreche oder Stellenausschreibungen für Sicherheitsleiter oder Ingenieure sehe, steht dort oft ‚mindestens 10 Jahre Erfahrung im Gesundheitswesen erforderlich‘ oder ‚25 Jahre Erfahrung im Gesundheitswesen erforderlich‘. Dem stimme ich nicht zu. Mir wäre es viel lieber, wenn jemand mit unterschiedlicher Erfahrung käme, weil er die Dinge aus einer neuen Perspektive betrachten würde“, erklärte er.
Führungskräfte, die nicht aus dem Gesundheitsbereich kommen, weisen oft auf Dinge hin, die Menschen, die sich ihr gesamtes Berufsleben lang voll auf das Gesundheitswesen konzentriert haben, sonst vielleicht entgehen würden, bemerkte Schwering.
Foto: Nick Fanion, Breaking Media
