Jedes Gesundheitssystem in den Vereinigten Staaten ist auf seine eigene Weise anfällig für Cyberangriffe. Und jedes System versucht, soweit es seine Ressourcen und Wahrnehmung zulassen, diese Schwachstellen zu beseitigen. Doch viele Krankenhäuser haben kein klares Bild davon, wo und wie sie anfällig für Angriffe sind.
Den Systemen fällt es schwer, die Mindest-Compliance-Anforderungen zu erfüllen, während ihnen gleichzeitig die Ressourcen oder die Unterstützung für die Umsetzung umfassenderer Cybersicherheitsmaßnahmen fehlen. Infolgedessen durchbrechen Cyberkriminelle mit alarmierender Häufigkeit die Mauern. Halten:
Der Cyberangriff von Change Healthcare Anfang dieses Jahres hat die Muttergesellschaft UnitedHealth 900 Millionen US-Dollar gekostet und fast ein Drittel der Amerikaner direkt oder indirekt betroffen. Ein Angriff im Mai beeinträchtigte die Gesundheitsversorgung in Ascension, einschließlich verschobener Operationen, abgesagter Termine und umgeleiteter Krankenwagen. Ein Datenhack von HCA Healthcare, der 11 Millionen Menschen betraf Die Zahl der Patienten war im Jahr 2023 am größten, einem Jahr, in dem es eine Rekordzahl von 725 Verstößen gab
Gesundheitsdienstleister und Anbieter müssen auf die harte Tour lernen, dass Hacker unerbittlich und einfallsreich sind, Taktiken und Tools ständig anpassen und neue Technologien, einschließlich KI, nutzen, um ausgefeiltere Angriffe zu starten. Die Abwehrmaßnahmen in Krankenhäusern hinken in der Regel hinterher. Cyber-Abwehrmaßnahmen, die vor einigen Jahren funktionierten, reichen nicht mehr aus. Oftmals ist den Opfern unklar, wo und wie sie ihren Schutz verbessern können.
Öffentliche und private Maßnahmen
Der öffentliche und private Sektor sind durch die Angriffe alarmiert und drängen die Gesundheitssysteme, mehr zu tun. Versicherer, die Versicherungen gegen Cyberangriffe verkaufen, bestehen darauf, dass Krankenhäuser ihre Abwehrmaßnahmen verstärken oder den Versicherungsschutz verlieren.
Die Regierung stellt im vorgeschlagenen Budget für Gesundheits- und Sozialdienste (HHS) für das Geschäftsjahr 2025 800 Millionen US-Dollar für Cybersicherheit bereit. Darüber hinaus gibt es im Repräsentantenhaus und im Senat separate Gesetzentwürfe zur Cybersicherheit im Gesundheitswesen. Die Maßnahme des Senats würde Systeme bestrafen, die es nicht schaffen, ihre Verteidigung zu verbessern.
New York ist der erste Staat, der die Cybersicherheit reguliert. Aufgrund der neuen Anforderungen müssen Krankenhäuser Datenschutzmaßnahmen ergreifen, die über die Vorgaben des Bundesgesetzes über die Portabilität und Rechenschaftspflicht von Krankenversicherungen (HIPAA) hinausgehen. Sie verlangen von den Gesundheitssystemen, dass sie jährlich eine Bewertung potenzieller Risiken und Schwachstellen durchführen und auf der Grundlage dieser Prüfung ein Cybersicherheitsprogramm erstellen, das Bestimmungen für die Meldung, Abwehr und Wiederherstellung nach einem Datenverstoß enthält.
Darüber hinaus müssen Krankenhäuser über einen Chief Information Security Officer (CISO) in Teil- oder Vollzeit verfügen, der Cybersicherheitsmaßnahmen leitet und unterstützt.
Unterfinanziert und angegriffen
Gesundheitsorganisationen können es sich nicht leisten, zu warten. Sie müssen schnell und kontinuierlich handeln, um Angriffe abzuwehren. Allerdings verfügen viele Systeme nicht über die nötigen Budgets, das Know-how oder das nötige Personal, um alles zu erledigen, was sie benötigen.
Ein besonderes Problem stellt die Besetzung von Cybersicherheitsteams dar. Laut einer HIMSS-Umfrage zur Cybersicherheit im Gesundheitswesen:
74 % der Befragten gaben an, dass die Rekrutierung qualifizierter Cybersicherheitsfachkräfte eine Herausforderung darstellte. 47 % gaben an, dass mangelnde Erfahrung oder Fähigkeiten im Bereich Cybersicherheit eine Herausforderung bei der Einstellung darstellten. 38 % gaben an, dass der Mangel an Kandidaten mit Erfahrung im Gesundheitswesen eine Herausforderung darstellte
Abgesehen davon, dass es an qualifizierten Kandidaten mangelt, verfügen Gesundheitsorganisationen oft nicht über das Budget, um sie einzustellen:
43 % der Befragten gaben an, dass ihr Budget nicht ausreicht, um das benötigte Personal einzustellen. 28 % gaben an, dass eine nicht wettbewerbsfähige Vergütung ein Hindernis darstelle
Unzureichende Vergütung, Stress und lange Arbeitszeiten tragen zu einem Bindungsproblem bei. In der HIMSS-Umfrage gaben 57 % der Befragten an, dass es ein Problem sei, qualifizierte Arbeitskräfte zu halten.
Allerdings steigen die Budgets für Cybersicherheit, was einige der Probleme lindern könnte.
Risikomanagement Dritter
Die Angriffe werden nicht aufhören.
Gesundheitsorganisationen sind aus mehreren Gründen verlockende Ziele für Hacker. Sie speichern enorme Mengen an Patientendaten, die besonders wertvoll sind, da sie sowohl persönliche als auch finanzielle Informationen umfassen. Darüber hinaus weisen sie intern und extern zahlreiche Schwachstellen auf, insbesondere weil die Daten fragmentiert sind und an mehreren Orten gespeichert sind. Und im Fall von Ransomware übt jede Unterbrechung kritischer Vorgänge einen enormen Druck aus, die Situation zu lösen, selbst wenn dies die Zahlung eines Lösegelds erfordert.
Krankenhäuser werden am häufigsten indirekt über Drittanbieter angegriffen, deren Software sie lizenzieren. Für Gesundheitssysteme, die mit Hunderten von Drittanbieteranwendungen arbeiten, ist es mit manuellen Methoden äußerst schwierig, wenn nicht unmöglich, sicherzustellen, dass jeder Anbieter über angemessene Abwehrmaßnahmen verfügt und Best Practices für die Cybersicherheit befolgt.
Selbst wenn der Anbieter schuld ist, tragen Gesundheitsorganisationen die Hauptlast des Angriffs. Glücklicherweise gibt es Möglichkeiten, sich zu schützen:
Risikobewertung – Kartierung des Anbieternetzwerks, Prüfung der Sicherheitsprozesse der Anbieter und regelmäßige Überwachung ihrer Sicherheitslage. Behebung von Schwachstellen – Behebung der in Schritt 1 identifizierten Schwachstellen der Anbieter, gegebenenfalls Anpassung der Haftung für direkte Schäden oder Austausch von Anbietern, die sich nicht daran halten. Anpassung der Praktiken – Einführung von Richtlinien und Verfahren, die dem Risikomanagement Dritter weiterhin Priorität einräumen, wie z. B. die Integration von Sicherheitsüberprüfungen in den Kaufprozess VOR dem Kauf.
Das Bedürfnis nach Hilfe von außen
Gesundheitssysteme arbeiten mit geringen Margen, da sie mit Arbeitskosten und Arbeitskräftemangel zu kämpfen haben. In diesem Umfeld müssen Finanzierungsanträge zur Stärkung der Cybersicherheit mit anderen Prioritäten konkurrieren. Krankenhausvorstände können bei der Bereitstellung von Mitteln zurückhaltend sein, weil sie sich der Verwundbarkeit ihrer Organisationen nicht bewusst sind. Das Ergebnis ist oft ein Patchwork-Ansatz zur Cybersicherheit, der Lücken für Angreifer hinterlässt. Und die bevorstehende Welle staatlicher Vorschriften zur Cybersicherheit wird die finanzielle Belastung für Krankenhäuser erhöhen.
Die meisten Gesundheitssysteme verfügen nicht über die Ressourcen oder das Fachwissen, um zuverlässige Abwehrmaßnahmen zu ergreifen und allen Bedrohungen auf dem Laufenden zu bleiben. Viele finden es effizienter, mit einem Unternehmen zusammenzuarbeiten, das sich auf Cybersicherheits- und Risikomanagementdienste spezialisiert hat. Experten für Cybersicherheit im Gesundheitswesen sind mit Krankenhaustechnologie, Geschäftspraktiken, Interoperabilität und den besten Abwehrmaßnahmen gegen Cyberangriffe vertraut. Sie können Organisationen einen umfassenden Überblick über Risiken bieten und die Erstellung und Verbesserung des gesamten Cybersicherheitsprogramms eines Gesundheitssystems leiten.
Sie helfen auch dabei, von Anbietern ausgehende Risiken Dritter zu identifizieren und zu verwalten. Diese Experten können Gesundheitsorganisationen Sicherheit geben und es ihnen ermöglichen, sich auf die Bereitstellung der Gesundheitsversorgung zu konzentrieren.
Es gibt keinen narrensicheren Schutz gegen Hacker, aber Gesundheitsorganisationen sind es sich selbst, ihren Patienten und Partnern schuldig, den bestmöglichen Schutz zu bieten.
Foto: anyaberkut, Getty Images
George C. Pappas ist CEO von Intraprise Health und eine erfahrene High-Tech-Führungskraft mit über 35 Jahren funktionsübergreifender Erfahrung in den Bereichen Vertrieb und Marketing, professionelle Dienstleistungen, Betrieb, Produktmanagement und Forschung und Entwicklung. Zuvor war er als Chief Customer Officer und Chief Operating Officer bei DrFirst tätig, wo er den Kundenstamm erheblich auf über 1.400 Krankenhäuser und 100.000 verschreibende Ärzte in den USA und Kanada erweiterte.
George verfügt über eine nachgewiesene Erfolgsbilanz bei der Führung von Software- und Dienstleistungsunternehmen von der Gründung bis hin zu wachstumsstarken Phasen, einschließlich Börsengängen, mit Umsätzen zwischen 5 und über 100 Millionen US-Dollar. Vor seiner Zeit bei DrFirst war er Chief Operating Officer bei Motionsoft und Mitglied des Vorstands sowie Executive Vice President und Vorstandsmitglied bei Presidium. Seine umfangreiche Erfahrung umfasst Gesundheitswesen, Finanzdienstleistungen, Telekommunikation, nationale Sicherheit und Hochschulbildung. George hat Forschungs- und Entwicklungsteams in den USA, Indien, Russland, Polen und China geleitet. Er ist bei CHIME aktiv und Mitglied des CFCHE-Programms. George besitzt außerdem ein Patent für Vertriebsrisikomanagement und ist Absolvent der Boston University.
Dieser Beitrag erscheint über das MedCity Influencers-Programm. Über MedCity Influencer kann jeder seine Sicht auf Wirtschaft und Innovation im Gesundheitswesen auf MedCity News veröffentlichen. Klicken Sie hier, um herauszufinden, wie.
