Sicherheitsvorfälle im Gesundheitswesen und was Sie dagegen tun können

Scheint es nicht, dass in den letzten Monaten eine Flut von Sicherheitsvorfällen und Sicherheitsverletzungen die globale Gesundheitsbranche heimgesucht hat? Aus der wöchentlichen Meldung von Sicherheitsvorfällen ist eine fast tägliche geworden. Es ist eine grausame Ironie, dass die Gesundheitsbranche während der schlimmsten globalen Pandemie seit Menschengedenken auch mit einer digitalen Pandemie zu kämpfen hat. Aber das ist das Blatt, das wir erhalten haben, also müssen wir es spielen.

Vor allem Ransomware scheint die Branche hart zu treffen. Kürzlich wurde ein direkter Zusammenhang zwischen einem Ransomware-Vorfall in einem Krankenhaus in Deutschland und einem daraus resultierenden Todesfall hergestellt. Da die Dienste des Krankenhauses aufgrund des Ransomware-Angriffs nicht verfügbar waren, musste der Patient, der sich in einem kritischen Zustand befand, in eine andere Einrichtung verlegt werden, und die verlorene Zeit erwies sich als tödlich.

Leider ist dies kein neues Phänomen. Erinnern Sie sich an den Ransomware-Angriff auf den britischen National Health Service im Mai 2017, dessen Behebung Berichten zufolge 92 Millionen Pfund kostete? Solche Vorfälle zeigen nicht einmal die Schwachstellen der intelligenten Systeme auf der klinischen Seite der Gesundheitsdienstleister, der Scanner, Medikamentenverwaltungssysteme und chirurgischen Instrumente. Was passiert, wenn sie angegriffen werden?

In den USA können Sie viele sicherheitsrelevante Vorfälle im Gesundheitswesen genau verfolgen, indem Sie die Webseite des Department of Health and Human Services mit Berichten über Sicherheitsverletzungen besuchen - beachten Sie, wie oft E-Mail ein Schlüsselfaktor bei vielen der gemeldeten Sicherheitsverletzungen ist. Die Branche muss sich mit der Tatsache auseinandersetzen, dass ihre starke IT-Abhängigkeit und die allgemeine Anfälligkeit der Systeme in Verbindung mit dem Wert der Daten und Prozesse, die die Systeme ermöglichen, ein ideales Ziel für Cyberkriminelle darstellen. Ist es den Cyberkriminellen egal, dass sie möglicherweise Menschenleben aufs Spiel setzen? Im Allgemeinen nicht. Aus der Sicht der Hacker gilt: Je höher der Einsatz, desto größer die Wahrscheinlichkeit, dass sie bezahlen. Es hat sich immer wieder gezeigt, dass es sich für die Angreifer lohnt, Lösegeld für Ihre Daten und IT-Systeme und damit für Ihre kritischen Geschäftsabläufe zu verlangen.

Laut dem 2020 State of Email Security Report hielten 57 % der Organisationen im Gesundheitswesen es für unvermeidlich oder wahrscheinlich, dass sie in den kommenden 12 Monaten negative Auswirkungen eines Angriffs per E-Mail erleiden würden. Und im April 2020 meldete Interpol einen signifikanten "Anstieg der Anzahl versuchter Ransomware-Angriffe gegen wichtige Organisationen und Infrastrukturen, die an der Virenbekämpfung beteiligt sind." Diese Flut von schwerwiegenden Sicherheitsvorfällen und -verletzungen hat deutlich gemacht, dass die IT-Sicherheit und die Widerstandsfähigkeit zu vieler Gesundheitssysteme der Bedrohung nicht gewachsen sind.

Was können Gesundheitsdienstleister tun, um ihre Sicherheit und Widerstandsfähigkeit gegen Ransomware und andere häufige Sicherheitsvorfälle zu verbessern? Die besten Praktiken sind in IT-Sicherheitskreisen weithin bekannt und wurden von vielen Organisationen auf der ganzen Welt und in vielen Branchen, einschließlich des Gesundheitswesens, erfolgreich angewendet. Der Schlüssel ist, den Willen, den Fokus und das Budget zu finden, um sie zu verwirklichen.

Zu den wichtigsten Strategien zur Verringerung von Sicherheitsvorfällen und zur Verbesserung der IT-Resilienz gehören:

• Wenden Sie eine mehrschichtige Sicherheitsstrategie an, mit besonderem Schwerpunkt auf dem Schutz der E-Mail- und Web-Kanäle, von denen die meisten extern generierten Sicherheitsvorfälle abhängen. Ransomware zum Beispiel hängt in der Regel stark von einem oder beiden dieser Vektoren ab, um zu landen und zu funktionieren. Starke Kontrollen in den Bereichen E-Mail und Internet können sich daher sehr auszahlen.
• Bessere Schulungen zum Sicherheitsbewusstsein. Vergessen Sie nicht, dass Ihre Mitarbeiter oft aktiv, wenn auch unwissentlich, für Sicherheitsvorfälle verantwortlich sind. Konzentrieren Sie sich auf die Verbesserung ihres Sicherheitsbewusstseins und -verständnisses, um ihnen zu helfen, eine wichtige letzte Verteidigungslinie zu bilden, anstatt eine Hauptschwachstelle zu sein. Die meisten Angriffe sind auf Social Engineering angewiesen, um sich zu etablieren, und die meisten Social Engineering-Angriffe werden über eine Kombination aus E-Mail und Internet durchgeführt.
• Prüfen und verbessern Sie Ihre Prozesse zur Überprüfung von Sicherheitslücken und zum Patchen. Nicht gepatchte, anfällige Systeme sind ein Brandbeschleuniger für Sicherheitsvorfälle.
• Führen Sie eine Multi-Faktor-Authentifizierung und eine einmalige Anmeldung für alle IT-Systeme und -Anwendungen ein. Es ist eine große Schwachstelle, wenn Sie Cyberkriminellen einen Fernzugriff auf Ihre Systeme mit Einzelfaktor-Authentifizierung ermöglichen.
• Implementieren und testen Sie Ihre Sicherungs- und Wiederherstellungssysteme und -prozesse für alle unternehmenskritischen Vorgänge. Der Erfolg von Ransomware legt klaffende Lücken in diesen Systemen und Prozessen offen.
• Planen Sie Ihre IT-Kontinuität im Voraus. Kritische Systeme benötigen einen alternativen, wenn auch eingeschränkten Weg, um zu funktionieren, wenn das Hauptsystem nicht mehr verfügbar ist. Vernachlässigen Sie nicht die grundlegenden Kommunikationssysteme wie E-Mail und Internetzugang.
• Verlegen Sie so viele Ihrer Sicherheits- und Ausfallsicherheitskontrollen wie möglich zu Cloud-Anbietern, um die Kosten und die Komplexität des Betriebs zu reduzieren. Die meisten Unternehmen werden nicht in der Lage sein, diese Sicherheitsherausforderungen durch Anmietung zu bewältigen. Nutzen Sie Sicherheits-Clouds als Möglichkeit, Sicherheitstechnologie und Fachwissen stückweise zu "mieten".

Die Sicherheitslage im Gesundheitswesen ist schwierig und die Risiken sind extrem hoch. Doch mit einer konzertierten, organisationsweiten Anstrengung lässt sich das Risiko von Sicherheitsvorfällen mit erheblichen Auswirkungen auf den Betrieb deutlich verringern.