Angesichts zunehmender Vorfälle und Datenschutzverletzungen in der gesamten Branche reagieren Gesundheitsorganisationen, indem sie ihre proaktiven Cyber-Abwehrmaßnahmen verstärken, um den bereits von HIPAA geforderten Datenschutz- und Sicherheitskontrollen gerecht zu werden.
Doch während es für Gesundheitsorganisationen zur Standardpraxis geworden ist, sich auf die Identifizierung und Abwehr externer Bedrohungen für den Datenschutz und die Sicherheit von Daten zu konzentrieren, kann ein oft übersehenes Risiko direkt in Ihren Büros bestehen – das Ausspionieren von Mitarbeitern und böswillige Insider-Bedrohungen.
Selbst bei routinemäßiger und effektiver Mitarbeiterschulung, die sich mit gängigen Angriffsmethoden wie Social Engineering und Phishing befasst, bleiben Gesundheitsdaten anfällig. Tatsächlich sind fast 70 % aller Datenschutzverstöße menschlich bedingt. Dieses Risiko ist neben dem regulatorischen Risiko der Grund, warum es so wichtig ist, die Benutzeraktivität in Ihrem gesamten Unternehmen – und wo immer möglich in Ihrer Lieferkette – genau im Auge zu behalten, und zwar für jeden, der auf Patientendaten und andere geschützte Daten zugreift.
Was ist User Activity Monitoring (UAM)?
Das National Institute of Standards and Technology (NIST) definiert User Activity Monitoring (UAM) als die Fähigkeit, „die Aktionen und Aktivitäten einer Person jederzeit und auf jedem Gerät zu beobachten und aufzuzeichnen“. Weiter heißt es, UAM könne „Insider-Bedrohungen erkennen und autorisierte Untersuchungen unterstützen“.
Arten von UAM
Die Überwachung der Benutzeraktivität kann Gesundheitsorganisationen dabei helfen, verdächtige oder unbefugte Zugriffe auf geschützte Daten wie ePHI in elektronischen Gesundheitsdatensystemen (EHR) zu verfolgen und schützend zu identifizieren.
Branchenweit anerkannte UAM-Kontrollen tragen außerdem dazu bei, die Einhaltung der HIPAA-Standards sicherzustellen, um die Vertraulichkeit, Integrität und Verfügbarkeit von Gesundheitsdaten zu schützen.
Es gibt viele Arten der Überwachung der Benutzeraktivität, zum Beispiel:
Zugriffsprotokolle und Überwachung Daten- und Dateiübertragungen, Downloads oder Exporte Benutzerauthentifizierung (Multi-Faktor-Authentifizierung und andere Kontrollen zum Schutz von Anmeldeinformationen) Rollenbasierter Zugriff Echtzeitwarnungen Zugriff mit geringsten Berechtigungen (Benutzer greift nur auf das zu, was je nach Rolle erforderlich ist) Tastendruck Protokollierung, Internet-Tracking, Endpunktschutz und Datenexport-Tracking, routinemäßige Zugriffsüberwachung, Verhaltensanalysen
Warum Gesundheitsorganisationen UAM brauchen
Gesundheitsorganisationen können UAM nutzen, um Insider-Bedrohungen und böswillige Benutzeraktivitäten proaktiv zu erkennen und nicht nur die Planung und Aktivitäten zur Reaktion auf Vorfälle, sondern auch den Risikoanalyseprozess des Unternehmens zu steuern. Dies ist besonders wichtig, da die Gesundheitsbranche mit unerbittlichen und immer ausgefeilteren Cyberangriffen konfrontiert ist, zu denen auch Social Engineering gehören kann, um an Anmeldeinformationen von Mitarbeitern mit gültigem Zugriff auf Daten zu gelangen, sowie echte Insider-Bedrohungen.
Bedrohungsakteure zielen auf das Gesundheitswesen ab, da betroffene Unternehmen und ihre Geschäftspartner große Mengen sensibler und identifizierbarer Daten verarbeiten. Und diese Akteure sind nicht nur auf Gesundheitsinformationen aus. Ein erfolgreicher Verstoß kann zur Ausschleusung anderer wertvoller persönlich identifizierbarer Informationen (PII) aus Krankenakten wie Sozialversicherungsnummern, Kreditkartennummern, Bankkonten, Geburtsdaten, Adressen und mehr führen.
Daher ist es nicht verwunderlich, dass das Gesundheitswesen die höchsten durchschnittlichen Kosten für Datenschutzverletzungen hat und im Jahr 2023 fast 10 Millionen US-Dollar erreicht und damit den IBM-Bericht „Cost of a Data Breach Report“ seit mehr als einem Jahrzehnt anführt.
Kriminelle arbeiten rund um die Uhr daran, Schwachstellen und Sicherheitslücken auszunutzen, wohlwissend, dass sie über die Fähigkeit verfügen, Daten zu stehlen oder Lösegeld zu erpressen, sich negativ auf die Patientenversorgung und die Leistungserbringung auszuwirken und, schlimmer noch, sogar direkten Schaden, einschließlich des Verlusts von Menschenleben, anzurichten.
UAM-Kontrollen, insbesondere wenn sie zur Überwachung des Zugriffs innerhalb der EHR implementiert werden, können Gesundheitsorganisationen dabei helfen, einen Teil dieses Risikos – und die damit verbundenen Reaktions- und Reputationskosten – zu mindern und gleichzeitig die Einhaltung von HIPAA und anderen Standards wie dem NIST Cybersecurity Framework sicherzustellen. Zu den weiteren Vorteilen der Implementierung von UAM gehören:
Proaktive Bedrohungserkennung Echtzeit-Überwachung und -Warnungen Schnellere und effektivere Reaktion auf Vorfälle Reduzierte Ausfallzeiten und erhöhte betriebliche Belastbarkeit Reduzierte Compliance-Kosten Erhöhtes Vertrauen der Patienten in die Servicebereitstellung Marken- und Reputationsverbesserung (wir nehmen Datenschutz und Sicherheit ernst) Möglichkeit, Konkurrenten zu verdrängen, die dies nicht tun Es werden keine UAM-Steuerelemente verwendet
Risikoanalyse und UAM
HIPAA verlangt von den abgedeckten Unternehmen und Geschäftspartnern die Implementierung angemessener und angemessener Kontrollen zum Schutz der Vertraulichkeit, Integrität und Verfügbarkeit von Patientendaten, einschließlich der Durchführung von HIPAA-konformen Risikoanalysen.
Mit einer Risikoanalyse können Sie nicht nur ermitteln, wo Sie Insider- und Lieferkettenrisiken ausgesetzt sein könnten. Ihr Unternehmen kann die Risikoanalyse auch als Grundlage für Ihre UAM-Strategien nutzen, einschließlich der effektivsten und umfassendsten UAM-Kontrollen für Ihre individuelle Umgebung.
Eine ordnungsgemäß durchgeführte Risikoanalyse hilft Ihnen dabei, Ihre kritischen Vermögenswerte zu identifizieren, Ihre Schwachstellen zu verstehen und Priorisierungsbemühungen zu steuern, um Schwachstellen proaktiv anzugehen.
Sobald Sie Ihre Sicherheits- und Datenschutzrisiken identifiziert und Ihre Risikoanalyse verwendet haben, um diese Risiken mit Ihren Geschäftszielen in Einklang zu bringen, können Sie diese Informationen nutzen, um die Entscheidungsfindung bei der Auswahl angemessener und angemessener UAM-Kontrollen zu leiten und die Aus- und Weiterbildung Ihrer Mitarbeiter zu leiten .
Im Gegenzug können Sie auch UAM-Daten, beispielsweise Benutzeraktivitätsprotokolle, nutzen, um das laufende Risikomanagement, die Reaktion auf Vorfälle und Strategien zur Mitarbeitereinbindung voranzutreiben.
Über die Risikoanalyse hinausgehen
Während jedes abgedeckte Unternehmen und jeder Geschäftspartner über eine einzigartige Angriffsfläche und Geschäftsziele verfügt, gibt es branchenweit anerkannte Best Practices zur Überwachung der Benutzeraktivität, die jedes Unternehmen anwenden kann, um die Einhaltung der HIPAA-Sicherheits- und Datenschutzbestimmungen sicherzustellen. Hier sind vier Empfehlungen für den Einstieg:
Verwenden Sie rollenbasierte Zugriffskontrollen (RBAC). Rollenbasierte Zugriffskontrollen stellen sicher, dass Benutzer nur auf die geringste Datenmenge zugreifen können, die für die Ausführung bestimmter Aufgaben erforderlich ist. Diese Kontrollen können rollen- oder verantwortungsspezifisch sein. Die Verwendung von RBAC ist keine Übung, bei der man alles schnell erledigt. Es sollte ein fortlaufender Prozess mit routinemäßigen Überprüfungen und Anpassungen sein, insbesondere wenn Mitarbeiter ihre Rolle wechseln oder Ihr Unternehmen verlassen. Führen Sie routinemäßige Mitarbeiterschulungen durch. Ihre UAM-Kontrollen sind nur so effektiv wie diejenigen, die sie verwenden. Routinemäßige Mitarbeiterschulungen und -schulungen sind unerlässlich, aber dies sollte über Ihre Teammitglieder hinausgehen und sich auf Ihre Führungsebene, den Vorstand, andere wichtige Stakeholder und sogar Ihre Lieferkette erstrecken, wo immer möglich. Dazu gehört das Bewusstsein für grundlegende Best Practices im Cyber- und Datenschutz, wie sichere Passwörter, Verfahren zur Identifizierung verdächtiger Aktivitäten und wie und wo verdächtige Benutzeraktivitäten gemeldet werden können. Indem Sie diese Schulung auf die spezifische Rolle oder Jobfunktion jedes Benutzers abstimmen, können Sie die Zustimmung der Benutzer erhöhen und ihnen helfen, ihre Rolle bei den allgemeinen Sicherheits- und Ausfallsicherheitsanforderungen Ihres Unternehmens besser zu verstehen. Nutzen Sie Verhaltensanalysen. Nutzen Sie die Überwachung der Benutzeraktivität und zugehörige Datenprotokolle, um Benutzermuster besser zu verstehen. Dadurch können Sie Anomalien schnell erkennen und in Echtzeit auf potenzielle Vorfälle reagieren. Durch die proaktive Bedrohungserkennung können Sie Angreifern immer einen Schritt voraus sein und Risiken effektiv mindern, bevor sie zu echten Sicherheitsvorfällen werden. Führen Sie Routineprüfungen durch und erstellen Sie Prüfpfade. Alle Gesundheitsorganisationen mit ePHI benötigen routinemäßige interne und externe Audits und Bewertungen, um die HIPAA-Konformität sicherzustellen, insbesondere um das Risiko eines Verstoßes und potenzieller Bußgelder und Strafen zu verringern. Audits und Compliance-Bewertungen, die zeigen, dass Sie UAM-Kontrollen effektiv verfolgen, überwachen und dokumentieren, können einen umfassenden Prüfpfad erstellen, um sicherzustellen, dass Sie bei Ihrer nächsten Prüfung oder behördlichen Untersuchung erfolgreich sind, und können nachweisen, dass Sie den Datenschutz und die Sicherheit von Patientendaten wirksam schützen.
Die Überwachung der Benutzeraktivität ist für die Cybersicherheits- und Datenschutzstrategie jeder Gesundheitsorganisation von entscheidender Bedeutung. Diese Kontrollen können eine wichtige Rolle dabei spielen, Ihr Unternehmen vor Insider-Bedrohungen und potenziellen Datenschutzverletzungen zu schützen und gleichzeitig die fortlaufende HIPAA-Konformität sicherzustellen.
Foto: Traffic_Analyzer, Getty Images
Andrew Mahler, JD, CIPP/US, AI Governance Professional (AIGP), CHC, CHPC, CHRC ist Vizepräsident für Datenschutz und Compliance Services bei Clearwater, wo er die Beratung und Managed Services für Datenschutz und Compliance im Gesundheitswesen leitet. Andrew hat verschiedene Kunden bei Datenschutz- und Compliance-Bewertungen, beratender Unterstützung und Beratung sowie in der Position des Interim Chief Privacy Officer unterstützt. Vor Clearwater war Andrew als Chief Privacy and Research Integrity Officer für die University of Arizona tätig, wo er für die Implementierung von Datenschutz- und Forschungs-Compliance-Programmen für die Colleges, Abteilungen, Kliniken, Krankenhäuser und akademischen Gesundheitswissenschaften in ganz Arizona verantwortlich war.
Andrew ist Anwalt und verfügt über die Zertifizierungen CIPP/US, CHC, CHRC und CHPC. Er hat Kurse zu Gesundheitsrecht und Datenschutz entwickelt und ist Gastdozent für andere Rechts- und Wirtschaftskurse in den Bereichen Recht, Gesundheitswesen und Compliance. Darüber hinaus hat er zu Themen wie Gesundheitsrecht, Datenschutz und HIPAA, Forschungscompliance und Risikomanagement veröffentlicht und Vorträge gehalten.
Dieser Beitrag erscheint über das MedCity Influencers-Programm. Über MedCity Influencer kann jeder seine Sicht auf Wirtschaft und Innovation im Gesundheitswesen auf MedCity News veröffentlichen. Klicken Sie hier, um herauszufinden, wie.
