Von vertraulichen Daten über Finanzinformationen bis hin zur Bedrohung durch Geräteübernahmen - Sicherheitsverletzungen im Gesundheitswesen nehmen zu, und die Organisationen arbeiten hart daran, damit Schritt zu halten. Das U.S. Department of Health and Human Services verfolgt Verstöße im Gesundheitswesen in Echtzeit, und die Berichte sind sowohl erschütternd als auch ernüchternd für diejenigen, die hart daran arbeiten, die Bedrohungen in Schach zu halten.
Der größte Faktor, der Cyberkriminelle in das Gesundheitswesen führt, ist der Wert der in der IT-Infrastruktur gespeicherten Daten. Ironischerweise sind die Zahl der Verstöße und versuchten Verstöße im Gesundheitswesen im Allgemeinen höher als in anderen Branchen, während die IT-Budgets und die Mittel für die digitale Sicherheit insgesamt geringer sind.
Wie kann eine Organisation für die Bereitstellung von Gesundheitsdiensten (HDO) also den Bedrohungen einen Schritt voraus sein? Hier sind drei Wege, die wir empfehlen:
1. Netzwerk-Hygiene
Während wir oft von Datenbereinigung und -hygiene hören - die Praxis der Bereinigung, Optimierung und Einbeziehung hochwertiger, genauer Daten für verschiedene Verwendungszwecke in Unternehmen - gibt es noch eine andere Art der Hygiene, die wir zur Optimierung der digitalen Sicherheit innerhalb Ihrer Gesundheitsorganisation empfehlen.
Eine gute Netzwerkhygiene optimiert die Sicherheitsmaßnahmen, in die Sie investiert haben, und stellt sicher, dass das, was Sie eingerichtet haben, auch funktioniert. Dazu gehört die kontinuierliche Überwachung dessen, was mit Ihrem Netzwerk verbunden ist, welche Sicherheitsprotokolle vorhanden sind, welche Benutzer Zugang zu den verschiedenen Teilen des Netzwerks haben und welche Programme und Anwendungen ausgeführt werden. Dieser Prozess hilft nicht nur dem HDO, proaktiv zu bleiben, sondern dient auch Ihren Patienten, die sich darauf verlassen, dass Sie ihnen ein sicheres Erlebnis bieten.
2. Laufende Audits und kontinuierliche Überwachung
Während eine gute Hygiene die Grundlage bildet, ist es ebenso wichtig, die bewährten Praktiken der fortlaufenden Audits und der kontinuierlichen Überwachung beizubehalten.
Trotz unserer besten Absichten können eingeschränkte oder begrenzte IT-Ressourcen zu Versäumnissen führen. Ein Beispiel hierfür ist die Sicherheitsverletzung bei Equifax vor einigen Jahren. Das IT-Team hatte nicht bemerkt, dass die digitalen Zertifikate, die zur Authentifizierung ihres Netzwerküberwachungsdienstes verwendet wurden, abgelaufen waren. Der Überwachungsdienst erkannte zwar die Datenexfiltration, konnte aber aufgrund der abgelaufenen Zertifikate keine anderen Dienste oder Mitarbeiter benachrichtigen. Wie frustrierend ist es, wenn man weiß, dass man hart arbeitet und Zeit für die richtigen Dinge aufwendet, nur um dann festzustellen, dass die Sicherheit durch etwas so Einfaches wie die Erneuerung eines Zertifikats untergraben werden kann? Wenn Ihr Unternehmen ein paar Zertifikate hat, ist das eine Sache. Aber für kleine, oft überlastete Teams ist es eine unglaubliche Herausforderung, Hunderte, wenn nicht Hunderttausende von Zertifikaten gleichzeitig zu verwalten.
Es gibt viele weitere Beispiele dafür, wie eine gute Verwaltung digitaler Zertifikate das Risiko von Ausfällen und Sicherheitsverletzungen verringern kann. Benutzerzertifikate, insbesondere solche, die mit der automatischen Anmeldung oder der Verwaltung mobiler Daten verbunden sind, können übersehen werden, weil es so viele davon gibt. Diese Zertifikate können für Eskalationsangriffe verwendet werden und müssen überwacht werden.
3. Code-signierte Zertifikate
Organisationen wie Anbieter von elektronischen Gesundheitsakten (EHR), die an der Entwicklung von Anwendungen beteiligt sind, müssen software signieren, bevor sie in ihrer Organisation eingesetzt werden. Code-Signatur-Zertifikate gehören zu den wertvollsten für Cyberkriminelle. Jemand, der im Besitz eines Signierzertifikats ist, kann dieses Zertifikat zum Signieren von Malware verwenden und sie problemlos in großen Krankenhausnetzwerken verbreiten. Es ist wichtig, diese Signierzertifikate sicher zu verwalten, bevor sie gegen Sie verwendet werden.
Die schiere Anzahl der Zertifikate, die selbst in einer mittelgroßen Organisation des Gesundheitswesens verwendet werden, übersteigt bei weitem das, was manuell verwaltet werden kann - vorausgesetzt, es gibt ein Budget, um das richtige Personal für die Verwaltung zu haben.
Schlussfolgerung
Die Investition in Automatisierungstechnologie ist sinnvoll. Sie sorgt für ein hohes Maß an Sicherheit, ermöglicht es dem IT-Personal, sich anderen wichtigen Initiativen zu widmen, und trägt dazu bei, eine gute Hygiene aufrechtzuerhalten und gleichzeitig das begrenzte Budget im Auge zu behalten. Die Automatisierung kann die Erneuerung wichtiger digitaler Zertifikate vereinfachen und eine Benachrichtigung über die erfolgte Erneuerung ermöglichen. Die Automatisierung kann auch über Anomalien in den Ausstellungsmustern berichten und dabei nahtlos mit den bereits vorhandenen Workflow-Management-Tools zusammenarbeiten.
Das vielleicht wichtigste Ergebnis der Automatisierung ist die Fähigkeit, Problemen zuvorzukommen, die erhebliche finanzielle Auswirkungen auf das Unternehmen haben können. Metriken und Berichte liefern den Leitfaden, um sicherzustellen, dass Zertifikate vor Ablauf der Gültigkeit ersetzt werden. Proaktive Maßnahmen durch Automatisierung können das Risiko finanzieller Verluste durch unzufriedene Patienten, Klagen, Bußgelder und allgemeines Krisenmanagement verringern.
Suchen Sie nach weiteren Anleitungen? Laden Sie ein Exemplar unseres neuen E-Books"Your Playbook for Driving Digital Security in Healthcare" herunter:"
