NIS-Vorschriften: Eine neue Ära der Cybersicherheit für den englischen Gesundheitssektor
Inhaltsverzeichnis:
Wenn Sie an die Herausforderungen denken, mit denen der Nationale Gesundheitsdienst konfrontiert ist, fallen Ihnen möglicherweise Dinge wie mangelnde Finanzierung und Personal, lange Wartelisten, eine wachsende Bevölkerung und sich ständig ändernde Patientenbedürfnisse ein.
Doch ein einziger Cyberangriff kann alle wichtigen Informations- und Kommunikationssysteme des NHS außer Betrieb setzen, was es für Ärzte und Pflegepersonal an vorderster Front schwieriger macht, ihre Arbeit zu erledigen und letztendlich Leben zu retten. Der berüchtigte WannaCry-Cyberangriff, durchgeführt von nordkoreanischen Hackern, entzündet Computer in 595 Arztpraxen in England und störte den Betrieb eines Drittels der englischen NHS-Krankenhausstiftungen.
Cyberangriffe auf den NHS können nicht nur den täglichen Betrieb von Arztpraxen und Krankenhäusern im ganzen Land beeinträchtigen, sondern auch zur Offenlegung sensibler Gesundheitsdaten führen. Im Juni, The Independent berichtet dass Cyberkriminelle die persönlichen Daten von 1.1 Millionen NHS-Patienten in 200 Krankenhäusern gestohlen haben, nachdem sie einen Ransomware-Angriff auf die Universität Manchester gestartet hatten. Es wird angenommen, dass diese durchgesickerten Daten die NHS-Nummern der Patienten und einen Teil ihrer Heimatpostleitzahlen umfassten.
Um zukünftige Cyberangriffe und Datenlecks zu verhindern, die den NHS betreffen, hat die Joint Cyber Unit veröffentlicht neue Anleitung bezüglich der Einführung der Netzwerk- und Informationssystemvorschriften (NIS) in Gesundheitsorganisationen in England. Diese Entscheidung legt nahe, dass die Regulierungsbehörden Gesundheitsdaten nun als kritische nationale Infrastruktur (CNI) betrachten. Warum ist das so und was bedeuten die neuen Leitlinien für Gesundheitsdienstleister in England?
Was sind NIS-Vorschriften?
Die NIS-Vorschriften, die im Mai 2018 in die Gesetzesbücher aufgenommen wurden, zielen darauf ab, die Cybersicherheitsposition von Betreibern wesentlicher Dienste (OES) zu stärken. Diese Organisationen erbringen Dienstleistungen, die für eine funktionierende Gesellschaft und Wirtschaft von entscheidender Bedeutung sind, darunter Transport, Wasser, Elektrizität und jetzt auch Gesundheitsversorgung.
In neuen Leitlinien beschreiben Regierungsbeamte die Gesundheitsversorgung als „eine wesentliche Dienstleistung gemäß den NIS-Verordnungen“. Es klassifiziert NHS-Trusts, Foundation Trusts, Integrated Care Boards (ICBs) und bestimmte unabhängige Anbieter als „OESs für Gesundheitsdienste“, was bedeutet, dass sie geeignete Maßnahmen ergreifen müssen, um die NIS-Vorschriften einzuhalten.
Nach diesen Regeln müssen Gesundheitsorganisationen in der Lage sein, alle Cybersicherheitsbedrohungen zu bewältigen, die sich auf die Netzwerk- und Informationssysteme auswirken, die sie zur Bereitstellung wesentlicher Dienste nutzen. Dabei geht es darum, die Auswirkungen von Cyberangriffen auf Gesundheitsnetzwerke und Informationssysteme zu verhindern und zu minimieren und gleichzeitig „die Kontinuität dieser Dienste sicherzustellen“.
Laut Jack Porter, Spezialist für den öffentlichen Sektor bei Logpoint, bedeuten die NIS-Vorschriften, dass Gesundheitsdienstleister „umfassende Risikomanagementpraktiken“ anwenden müssen. Zu diesen Maßnahmen gehören „die Bewertung potenzieller Risiken, die Umsetzung von Sicherheitsmaßnahmen und deren regelmäßige Überprüfung zum Schutz der Patientendaten“.
Gesundheitsdienstleister müssen außerdem „mehr Richtlinien zur Lieferkettensicherheit“ umsetzen, um die NIS-Vorschriften einzuhalten. Porter sagt: „Das bedeutet sicherzustellen, dass Partner und Lieferanten strenge Sicherheitsstandards für Gesundheitsdienstleister einhalten, insbesondere beim Umgang mit Patientendaten oder der Bereitstellung kritischer Dienste.“
Wenn es darum geht, Cyber-Sicherheitsrisiken zu mindern und letztendlich die NIS-Vorschriften einzuhalten, empfiehlt Porter Gesundheitsdienstleistern die Einführung eines Informationssicherheits-Managementsystems (ISMS). Er fügt hinzu, dass die Implementierung eines SIEM-Systems (Security and Incident Event Management) es Gesundheitsorganisationen ermöglichen würde, „Vorfälle zu erkennen und darauf zu reagieren“ und Industriestandards wie ISO 27001 einzuhalten.
Neue Technologien wie Blockchain könnten Gesundheitsdienstleistern auch dabei helfen, wichtige Systeme vor Cyberangriffen und Datenlecks zu schützen. Simon Bain, KI-Experte und CEO von OmniIndex, erklärt, dass die dezentrale Technologie „im Vergleich zur herkömmlichen Infrastruktur mehr Sicherheit, Datenschutz und Transparenz bietet“.
Er fährt fort: „Das liegt daran, dass es Ende-zu-Ende verschlüsselt ist, keinen zentralen Ort hat, an dem ein Krimineller angreifen könnte, und KI verwendet, um den Zugriff kontinuierlich zu authentifizieren und zu autorisieren, um sicherzustellen, dass nur diejenigen, die die Berechtigung zum Anzeigen bestimmter Daten haben, diese sehen können.“ Darüber hinaus sind gespeicherte Daten unveränderlich. Das heißt, selbst wenn ein Angriff erfolgreich war, können die Daten nicht von einem Angreifer verschlüsselt und als Lösegeld erpresst werden.“
Meldung von Cyber-Vorfällen
Wenn das Netzwerk und die Informationssysteme eines Gesundheitsdienstleisters von einem Cybersicherheitsvorfall betroffen sind, der die Kontinuität seiner wesentlichen Dienste beeinträchtigt, muss er über das eine Meldung einreichen Datensicherheits- und Datenschutz-Toolkit (DSPT).
Sie müssen den Vorfall mindestens 72 Stunden nach der Entdeckung melden und Angaben dazu machen, wie viele Benutzer von der Sicherheitsverletzung betroffen waren, wie lange sie dauerte und an welchem geografischen Standort sie sich befanden.
Porter sagt, dass die NIS-Regeln ähnlich sind DSGVO Sie zielen darauf ab, „die Anforderungen an die Meldung von Vorfällen über diejenigen hinaus auszuweiten, die die Kontinuität des Dienstes beeinträchtigen“. Er erklärt: „Gesundheitsdienstleister müssen erhebliche Vorfälle, die ihre Netzwerk- und Informationssysteme beeinträchtigen, mit der Empfehlung eines Sicherheitsaudits melden.“
Er sagt, dass die Einführung einer SIEM-Plattform es Fallmanagern von Cybersicherheitsvorfällen im Gesundheitswesen ermöglicht, „die Untersuchung und Reaktion zu beschleunigen“. Diese Systeme liefern protokollierte Bedrohungsinformationen, geben den Ermittlern ein „vollständiges Bild der Vorgänge“ und ermöglichen es ihnen, „direkt aus jedem Fall Berichte zu erstellen“.
Warum ist NIS für das Gesundheitswesen wichtig?
Es gibt mehrere mögliche Gründe für die Entscheidung der britischen Regierung, die NIS-Vorschriften auf den englischen Gesundheitssektor anzuwenden. Der vielleicht größte Beweggrund ist, dass eine komplexe Vielfalt miteinander verbundener Systeme eine entscheidende Rolle bei der täglichen Bereitstellung moderner Gesundheitsversorgung spielt.
Von elektronischen Gesundheitsakten bis hin zu mit dem Internet verbundenen Diagnosegeräten: Gesundheitstechnologien schlagen im Jahr 2023 das Herz des NHS. Sie sind aber auch ein lukratives Ziel für Cyberkriminelle und müssen geschützt werden, um katastrophale Cyberverstöße zu vermeiden, die sich auf das englische Gesundheitssystem auswirken könnten.
Matt JD Aldridge, leitender Lösungsberater bei OpenText Cybersecurity, sagt, dass die „extrem sensible“ Natur von Gesundheitsdaten und ihr Wert für Cyberkriminelle wahrscheinlich wesentliche Faktoren bei der Entscheidung der Regierung sind, die NIS-Vorschriften auf das englische Gesundheitssystem anzuwenden.
„Wenn ein Angriff eine medizinische Einrichtung stören würde, birgt er ein erhebliches Risiko für die Patienten. Aus diesem Grund steht die Branche sehr im Rampenlicht und muss sich daher auf vielfältige Weise mit der Sicherheit befassen“, sagt er.
„Außerdem kam es in den letzten Jahren zu zahlreichen, vielbeachteten Angriffen oder Verstößen gegen den NHS, die möglicherweise zu dieser Neuausrichtung geführt haben, um einen besseren Schutz und eine bessere Anleitung für Gesundheitsorganisationen insgesamt zu gewährleisten.“
Die Coronavirus-Pandemie hat die Bedeutung des NHS während eines öffentlichen Gesundheitsnotstands deutlich gemacht, sodass man argumentieren könnte, dass ein gestörtes Gesundheitssystem schlecht für die nationale Sicherheit Großbritanniens wäre. Durch die Verbesserung der Cyber-Resilienz des NHS werden die Nationalstaaten nicht in der Lage sein, die Fähigkeit Großbritanniens zu beeinträchtigen, bei künftigen Pandemien und anderen Krisen im Bereich der öffentlichen Gesundheit Intensivpflege bereitzustellen.
Indem Gesundheitsdienstleister den NIS-Vorschriften unterworfen werden, können sie Best Practices für die Cybersicherheit umsetzen, um künftige Cyberangriffe und Datenschutzverletzungen zu verhindern, die andernfalls Patienten gefährden, hohe Geldstrafen nach sich ziehen und ihren Ruf schädigen würden. Die Entscheidung Englands, die Cybersicherheit seines Gesundheitssektors auf diese Weise zu stärken, wird wahrscheinlich andere Nationen zu ähnlichen Schritten inspirieren und so den Einfluss Großbritanniens auf der Weltbühne erhöhen.
Damit die NIS-Vorschriften funktionieren
Trotz ihrer Vorteile können die NIS-Vorschriften für Gesundheitsorganisationen in England verschiedene Herausforderungen mit sich bringen. Vor allem kleinere Anbieter werden von der finanziellen Belastung durch die Anschaffung von Cybersicherheitssystemen und die Aktualisierung bestehender IT-Systeme betroffen sein. Um diese Aufgaben zu erledigen, ist auch spezifisches Fachwissen erforderlich, über das kleine Gesundheitsdienstleister möglicherweise nicht intern verfügen. Die Schulung des Personals zur Erkennung und Reaktion auf Cyber-Angriffe wird einige Zeit in Anspruch nehmen.
Insgesamt wird die Einführung von NIS-Vorschriften im gesamten englischen Gesundheitssektor diesen vor bestehenden und neuen Bedrohungen der Cybersicherheit schützen. Damit dieser Übergang jedoch erfolgreich verläuft, ist eine enge Zusammenarbeit zwischen Regierungen, Regulierungsbehörden, Gesundheitsdienstleistern und Cybersicherheitsexperten von grundlegender Bedeutung.
