Kein Unternehmen möchte eine größere Sicherheitsverletzung erleiden. Aber wenn es um Gesundheitsorganisationen (HCOs) wie NHS-Trusts geht, kann dies übergroße Auswirkungen auf die lokale Gemeinschaft haben. Die WannaCry-Angriffe im Jahr 2017 und der Conti-Ransomware-Angriff auf Irlands Health Service Executive (HSE) haben Versäumnisse auf beiden Seiten der Irischen See offengelegt. Obwohl Verbesserungen erzielt wurden, setzen viele zugrunde liegende Herausforderungen den Sektor weiterhin einem erheblichen Cyberrisiko aus. Da so viel auf dem Spiel steht, ist ein umfassender, gemeinsamer Ansatz zur Bewältigung dieser Risiken längst überfällig.

Einstellen der Szene

Warum sind HCOs so einem Cyber-Risiko ausgesetzt? Als die Regierung erkennt an In seiner eigenen Sicherheitsstrategie für den Sektor bis 2030 ist ein Großteil davon auf eine Reihe einzigartiger Faktoren zurückzuführen, darunter:

  • Aufgrund seiner Größe und Vielfalt ist es schwierig, Ansätze in allen Bereichen zu standardisieren, von der Grundversorgung bis zur Sozialfürsorge für Erwachsene. Dies bedeutet auch, dass Daten von einer potenziell großen Anzahl unterschiedlicher Einheiten gemeinsam genutzt werden, was das Risiko erhöhen kann.
  • Begrenzte Ressourcen und Cybersicherheitsspezialisten, die für das Problem aufgewendet werden können
  • Unklare Berichts- und Verantwortlichkeitslinien
  • Extrem hoher Betriebsdruck, der sich durch die COVID-19-Rückstände noch verstärkt hat
  • Ein großer Bestand an unterschiedlichen Technologieressourcen – von Diagnosegeräten über Patientenbuchungssysteme bis hin zu Verschreibungsdiensten. Bei vielen OT-Systemen (Operational Technology) kann es schwierig oder nahezu unmöglich sein, Patches zu installieren

Was sind die größten Cyber-Bedrohungen für das Gesundheitswesen?

Allerdings ähneln viele der Bedrohungen, denen HCOs ausgesetzt sind, denen in anderen Sektoren. Sie beinhalten:

Software-Schwachstellen: wird oft durch die Verwendung nicht unterstützter Betriebssysteme verschärft. OT-Geräte mit einer langen Lebensdauer (> 10 Jahre) unterstützen möglicherweise keine moderne Software und Betriebssysteme, was das Patchen zu einer doppelten Herausforderung macht. Laut William Smarts „Lessons Learned“-Bericht des NHS England wurden über 1200 Diagnosegeräte als mit WannaCry infiziert identifiziert, nachdem die berüchtigte Bedrohung im Jahr 2017 aufgetaucht war.

Soziale Entwicklung: Phishing bleibt branchenübergreifend einer der größten Bedrohungsvektoren und nutzt das schwache Glied des Menschen in der Sicherheitskette aus. Unter Druck neigt das Gesundheitspersonal möglicherweise eher dazu, zu klicken, bevor es nachdenkt.

Fernarbeit: Das Gesundheitswesen setzt nach Möglichkeit auf hybrides Arbeiten, um die Produktivität und die Work-Life-Balance zu verbessern. Es bestehen jedoch weiterhin Risiken im Zusammenhang mit abgelenktem Personal und unsicheren Heimgeräten/Netzwerken.

Böswillige Insider: Interessanterweise wurden über ein Drittel (35 %) der Verstöße analysiert von Verizon In diesem Jahr kam die Branche von Insidern. Es warnt vor der Bedrohung durch verärgerte Mitarbeiter und vor Absprachen zwischen mehreren Parteien.

Versehentliche Lecks: Ein weiterer von Verizon festgestellter Trend ist die falsche Übermittlung sensibler Informationen durch das Gesundheitspersonal. Neben einfachen Angriffen auf Webanwendungen machen sonstige Fehler 68 % der Sicherheitsverletzungen aus.

Lieferkette: Bei einer großen und komplexen Lieferkette sind Gesundheitsdienstleister zusätzlichen Risiken ausgesetzt. A Ransomware-Angriff Der britische Softwareanbieter Advanced hat seit Wochen weitreichende Auswirkungen auf den NHS, einschließlich seiner wichtigen 111-Hotline. In jüngerer Zeit, Irlands HSE zugelassen Die MOVEit-Datendiebstahlkampagne hatte Auswirkungen darauf.

Was auf dem Spiel steht?

WannaCry machte zum ersten Mal deutlich, wie sehr sich moderne Gesundheitssysteme auf digitale Technologie verlassen. In Summe, es hat gestört 81 von 236 Trusts in England (34 %), was zu schätzungsweise 19,000 abgesagten Terminen und Operationen führte, wobei viele Patienten an weiter entfernte Notaufnahmeabteilungen weitergeleitet wurden.

„Mit geschätzten 950,000 Terminen in der Allgemeinmedizin pro Tag, 45,000 Besuchen in der Notaufnahme und 137,000 aufgezeichneten Bildgebungsereignissen ist das Ausmaß der direkten und indirekten Auswirkungen eines Cyberangriffs auf den Gesundheits- und Sozialwesen potenziell enorm“, räumt die Regierung ein .

Dies ist natürlich mit finanziellen Kosten verbunden. Irland hat HSE bereits ausgegeben Dutzende Millionen Euro Bewältigung der Folgen seiner gewaltigen Ausmaße Ransomware-Angriff 2021. Eine Studie aus Behauptungen von ThreatConnect dass HCOs mit einem Umsatz von bis zu 500 Millionen US-Dollar im Durchschnitt schätzungsweise 30 % des Betriebseinkommens verlieren, wenn sie von einem schweren Ransomware-Angriff getroffen werden. Es besteht sicherlich auch ein regulatorisches Risiko, insbesondere wenn personenbezogene Daten von Mitarbeitern und Patienten gestohlen werden. Bislang gab es zwar keine nennenswerten Bußgelder aufgrund der DSGVO, die Regulierungsbehörden jedoch schon gelegentlich wurden Geldstrafen verhängt, und die Verordnung klassifiziert tatsächlich die meisten medizinischen Daten als „Sonderkategorie“, was bedeutet, dass sie strengeren Regeln unterliegen.

Allerdings gibt es neben den finanziellen, rufschädigenden und Compliance-bezogenen Auswirkungen, die das Vertrauen der Patienten ernsthaft beeinträchtigen können, ein offensichtlicheres Risiko: die Patientensicherheit. Studien haben gezeigt eine wachsende Korrelation zwischen Sterblichkeitsraten und Cyberangriffen. In einem Bericht wurde sogar ein Zusammenhang zwischen den Daten festgestellt Verletzungen und Todesfälle durch Herzinfarkte. Das ist abgesehen vom Offensichtlichen Gefahr für die Gesundheit des Patienten vor Ransomware-Angriffen, die kritische digitale Systeme offline schalten.

Wie geht es den HCOs?

Angesichts dieser hohen Risiken ist es einigermaßen beruhigend, Fortschritte bei der Eindämmung von Cyber-Risiken im britischen Gesundheitssektor zu sehen. Nach Angaben der Regierung Umfrage zu Cyber-Sicherheitsverletzungen 2023Bei Organisationen im Gesundheits-, Sozialfürsorge- und Sozialarbeitssektor ist die Wahrscheinlichkeit, dass sie Best-Practice-Maßnahmen wie die Implementierung von Sicherheitsüberwachung, Risikobewertungen, Personaltests, Schwachstellenprüfungen, Penetrationstests und Bedrohungsinformationen implementieren, „erheblich“ höher als bei der durchschnittlichen Organisation. Bei den HCOs liegt dieser Wert bei 74 % gegenüber 51 % in allen Sektoren. Außerdem ist die Wahrscheinlichkeit höher (35 % gegenüber 18 %), dass sie in den letzten 12 Monaten Schulungen zum Sicherheitsbewusstsein ihrer Mitarbeiter durchgeführt haben. Und immer mehr Gesundheits-, Sozialfürsorge- und Sozialarbeitsorganisationen verfügen über Geschäftskontinuitätspläne zur Cybersicherheit (46 % gegenüber 27 %) und formelle Sicherheitsrichtlinien (57 % gegenüber 29 %).

Es gibt jedoch noch mehr zu tun, und es gibt keine Garantie dafür, dass es sich bei diesen Bemühungen nicht nur um bloße Ankreuzübungen von Organisationen handelt, die in einem stark regulierten Sektor tätig sind.

Richard Staynings, Chef-Sicherheitsstratege des britischen Gesundheitssicherheitsspezialisten Cylera, argumentiert, dass die Zertifizierung von Anwendungen, Anbietern und Drittanbietern im Gesundheitswesen sehr hilfreich wäre. 

„Eine ISO27001-Zertifizierung ist für einige Dienste, die zertifiziert werden können, sehr sinnvoll, während eine SOC2-Typ-II-Zertifizierung auf der Grundlage anwendbarer ISO 27001-Domänen und -Kontrollen für andere möglicherweise sinnvoller ist“, sagt er gegenüber ISMS.online. „Auf jeden Fall sollten Anbieter nicht jedes Jahr eine Risikobewertung ihrer Lieferanten vornehmen müssen, wie es derzeit der Fall ist. Zumindest müssen für Dritte ein gleichwertiges oder höheres Maß an Sicherheit gelten als für die Anbieter, die sie bedienen. Gemeinsame Standards würden auf jeden Fall helfen.“

Mohammad Waqas, CTO für Gesundheitswesen bei Armis, argumentiert, dass die NHS-Toolkit für Datensicherheit und -schutzZusammen mit ISO 27001 und der NIS-Richtlinie der EU verschafft das Vereinigte Königreich „eine ausgereiftere Sicherheitsbasis“ als viele andere Länder. Er warnt jedoch davor, dass insbesondere die Sicherheit medizinischer Geräte ein erhebliches Risiko darstellt.

„Die Möglichkeit, diese Geräte zu überwachen und ihr Verhalten und Risiko in Echtzeit zu verstehen, ist der Schlüssel zur Gewährleistung der Patientensicherheit und eines reibungslosen Betriebs. Es ermöglicht auch die proaktive Identifizierung von Risiken und Schwachstellen und versetzt Trusts in die Lage, rechtzeitig Maßnahmen zu ergreifen“, sagt er gegenüber ISMS.online. „Durch den Einsatz einer zentralisierten Risikomanagementlösung können HCOs einen einheitlichen Ansatz zur Risikominderung für alle Gerätetypen verfolgen, der eine ganzheitliche Sicherheitslage gewährleistet und die Gesamtsicherheit verbessert.“

Management des Compliance-Risikos im Gesundheitswesen

In der Strategie 2030 der Regierung gibt es viel zu empfehlen. Sie schreibt vor, dass alle öffentlichen Gesundheitsorganisationen regelmäßig im Rahmen des Cybersecurity Assessment Framework (CAF) des National Cyber ​​Security Centre überprüft werden. Die Strategie legt fünf Grundpfeiler für den Erfolg fest:

  1. Konzentrieren Sie sich auf die größten Risiken und Schäden
  2. Verteidigt als Einheit
  3. Menschen und Kultur
  4. Bauen Sie zukunftssicher
  5. Vorbildliche Reaktion und Wiederherstellung

 

Ein großer Teil dessen, was die Strategie erreichen soll, besteht darin, sicherzustellen, dass HCOs zunächst die Grundlagen der Cyberhygiene richtig beherrschen, um die Risiken zu beseitigen, die von relativ einfachen Fehlern wie leicht zu erratenden Passwörtern, nicht gepatchten Assets und Phishing ausgehen. Wo Prävention nicht möglich ist, besteht die Idee darin, sicherzustellen, dass Unternehmen über die richtigen Sicherheitsüberwachungstools und Vorfallreaktionsprozesse verfügen, um sicherzustellen, dass sie Bedrohungen erkennen und eindämmen können, bevor sie schwerwiegende Auswirkungen haben können.

ISO 27001 kann diese Bemühungen unterstützen, indem es:

  • Sicherheitslücken identifizieren
  • Minimierung von Risiken in der Lieferkette
  • Unterstützung der Bemühungen zur Einhaltung behördlicher/gesetzlicher Vorschriften
  • Sicherstellen, dass das Personal entsprechend geschult und sicherheitsbewusst ist
  • Reduzieren Sie das Risiko von Sicherheitsverletzungen durch ordnungsgemäß dokumentierte Richtlinien und Prozesse
  • Risikomanagement über die gesamte Cyber-Angriffsfläche

 

Es geht darum, die Cyber-Resilienz kritischer IT-Systeme zu verbessern, letztendlich das Vertrauen der Patienten aufzubauen und die finanziellen und betrieblichen Auswirkungen von Cyber-Angriffen im Gesundheitswesen zu verringern. 

Wenn Sie Ihre Reise zu besserer Informationssicherheit und Datenschutz beginnen möchten, kann ISMS.online Ihnen helfen.

Unsere ISMS-Lösung ermöglicht einen einfachen, sicheren und nachhaltigen Ansatz für Datenschutz und Informationsmanagement mit ISO 27001 und übertrifft andere Frameworks wie SOC 2, DSGVO und mehr. Entdecken Sie noch heute Ihre Compliance im Gesundheitswesen.

Sprechen Sie mit einem Experten