Ändern der Cyber-Kultur
Ransomware und malware-Angriffe weiter zu Pest Krankenhäuser und Einrichtungen, scoring häufige und störende trifft. Internen Datenmissbrauch sind an der Tagesordnung. Risiko-Ladens Netzwerk-links mit externen Agenturen und Partnern im überfluss. Sicherheits-Schwachstellen entdeckt werden, sind in legacy-Systeme und neue Anwendungen gleichermaßen. Klinikern arbeiten, um Sicherheit für medizinische Geräte-Protokolle setzen Ritzen der Sicherheitsanfälligkeit in der IoMT.
Wer Gebäude ein Bild von dem Stand der Cyber-Sicherheit im Gesundheitswesen weltweit würde kämpfen, um zu finden Ermutigung für die bedrängten Krankenhaus CIO, der mit vielen Organisationen offenbar nicht in der Lage zu brechen, aus einer reaktiven Zyklus und die Umschalttaste, um mehr proaktive Verteidigung-Strategien.
Fett die Statistiken etwas zu verbessern-und das anekdotische Bild. Im April, das US Department of Health und Human Services berichtete 44 Gesundheitswesen Daten, Verstöße gegen die für den Monat, ein Rekord. Die Tatsache, dass die Zahl der betroffenen sank um 29% von 963,794 zu 686,953 im Vergleich zum März war nicht gerade Anlass zum Optimismus, angesichts der möglichen Ausmaß der Auswirkungen.
Cyber-Risiko-und Datenschutz-management-Spezialist IT-Governance veröffentlicht einen monatlichen blog von Datenschutzverletzungen weltweit gemeldet. Die healthcare-Branche ist gut vertreten und während diese Listen sind eine Litanei von phishing, ransomware und DDoS-Attacken, Sie sind auch gespickt mit banaler cybersecurity Fehler, dass der Hinweis auf die kulturelle Herausforderung des Risikomanagement in vielen Institutionen. Diese reichen von unbefugten Mitarbeitern den Zugriff auf Patientenakten, um coding-Fehler, die unwissentlich aussetzen records.
Der Juni-Beitrag verwiesen wird, die unbeabsichtigte Weitergabe von 37 Patienten‘ E-Mail-Adressen eine Einladung zu einem support-Gruppe vertrieben von NHS Highland. Mittlerweile im Staat New York, Mitglied der freien Krankenkasse wurde per E-Mail Dokumente, die persönliche Informationen enthalten, die auf mehr als 7.600 Kolleginnen und Kollegen. Und eine web-Werbung Unternehmen helfen Anwaltskanzleien zu Unterschreiben, die Kunden ausgesetzt als 150.000 Datensätze aus einer unsicheren Datenbank mit persönlichen Daten von Unfällen, Verletzungen und Krankheiten.
Verizon 2019 Data Breach Investigations Report betont das Ausmaß, wenn es um die Verwaltung von cybersecurity-Risiken, die internen Prozesse und Richtlinien-Durchsetzung Ausfälle (59%) sind eher als externe Bedrohungen (42%), Leck Daten. Trotz dieser, führende cybersecurity-Experten vermuten, es gibt Grund für vorsichtigen Optimismus in der Weise, die einige Krankenhäuser sind Gebäude mehr proaktive Strategien trotz Ihrer komplexen kulturellen und technologischen Vermächtnisse.
Zeichen des Fortschritts
Dave Kennedy, Gründer und senior principal security consultant bei TrustedSec, sagt eine Anzahl von seinen healthcare-Kunden haben einen erheblichen kulturellen Anpassungen und Mach jetzt einen sehr guten job cybersecurity-management. Aber dies ist nicht etwas, das überwunden werden durch das werfen mehr Menschen und Ressourcen an.
„Mehr Eigeninitiative bedeutet die Fähigkeit, die Probleme lösen, wie Sie erkannt werden, im Laufe der Zeit“, sagt er. “Die größte Herausforderung für ein Krankenhaus CIO ist in der Lage zu kommunizieren, um die Wahrscheinlichkeit und die Auswirkungen einer Verletzung und einzuführen, was notwendig ist, zu verhindern. Und beschreiben mögliche Auswirkungen auf ein Brett, ist schwierig.“
Kennedy plädiert Rekrutierung von Menschen, die speziell zum Aufbau eines nachhaltigen Programme, die Ihnen helfen, eine institution, die Abkehr von einer Infrastruktur, gespickt mit fehlenden patches und Fehlkonfigurationen. Eine weitere häufige patch-management-Programm für Anwendungen und Systeme ist eine zentrale Empfehlung, neben der verbesserten – und auch durchgesetzt – multifunktionale Passwort-management.
Er sagt, es ist auch von entscheidender Bedeutung für IT-Führungskräfte haben eine hohe Sichtbarkeit in Ihrer Infrastruktur mit einem umfassenden log management. Die Fenster der Gefahr oft am größten zwischen einem Angreifer die erste Verletzung einer administrativen system und Ihre anschließende passage in klinischen und Patienten-Akte-Systeme – der Punkt, an dem es ein großes Problem.
„Im Durchschnitt dauert es zwei Stunden, um zu reagieren, um eine Verletzung“, sagt er. „Sie können nicht verhindern, dass Sie alles, aber Sie können versuchen, darauf zu reagieren und entfernen Sie die Bedrohung schneller als die Angreifer durchbrechen kann zu anderen Systemen.“
Anwendung Schwäche
Elliott Frantz, Geschäftsführer der Tugend-Sicherheit, hat zuvor gesprochen, die Cyber-Schwächen verursacht durch Krankenhäuser laufen unnötige IT-Dienstleistungen und insbesondere der Verwundbarkeit von Anwendungen in Ihre runtime-Zustand. Er stimmt zu, dass system-Sicht ist entscheidend, um zu sehen und verstehen das Risiko zu einem bestimmten Zeitpunkt. Proaktiv die Verringerung des Krankenhauses Allgemeine Risiko und Exposition ist, wie er sagt, eine wirksamere Strategie als das, was oft schien die Standardeinstellung ist – ein laufendes Spiel „Quetsch-Ameisen“!
„Diese sind so stark vernetzten Umgebungen“, sagt er. “Viele Mitarbeiter benötigen Zugriff auf eine Menge von Systemen – und dies schafft Risiken. Traditionell, ein Krankenhaus gewickelt hat Technologie, um sein Geschäft, was zu mehreren getrennten Stücken. Statt, die Sie benötigen, um Technologie zu lösen security-by-design. Das positive Zeichen ist, dass eine Menge von neuen Netzwerk-und Virtualisierungs-Technologie hilft zu schaffen, weniger exponierte Infrastrukturen.“
Er hätte gerne mehr getan, um die Anwendungssicherheit erhöhen. „Wir haben gesehen, viel mehr Krankenhäuser unter einem größeren Interesse bei der Bekämpfung von Anwendungs-Sicherheit Probleme, und das ist eine gute Sache“, sagt er. „Aber das Bild hat sich nicht wesentlich verbessert.“
Für Jason Gillam, CIO bei Secure-Ideen, die wichtigsten Probleme, die angesprochen werden, sind oft mehr Kultur als die technologischen. Er weist darauf hin, dass low-level-Angriffen und Verstößen gegen die besonders erfolgreich sind – und nicht notwendig erfordern ausgeklügelte high-tech-Lösungen.
Soft target
Die Bedrohungen selbst bleiben relativ unverändert, und healthcare ist ein weiches Ziel aus weicher durch die Natur „Unternehmen“, die haben nie als sich Technologie-Unternehmen. Dies führt Häufig zu lax technische Kompetenz, wenn es um cybersecurity. Wo eine Verletzung tritt auf, weil der eine falsch konfigurierte server oder die Datenbank, ist es in der Regel, weil jemand etwas auf einer relativ grundlegenden Ebene, ohne zu verstehen, die Folgen für die Sicherheit.
„Im Gesundheitswesen Sicherheit, die man uns beigebracht, vor allen Dingen, die Leib und Leben sind wichtig“, sagt er. “Also Daten und persönlichen Informationen sind nicht immer die oberste Priorität, und dies treibt Sie, was passiert. Eine Menge von Aktivitäten, die möglicherweise als verdächtige in jeder anderen Branche wird übersehen. Wir brauchen einen kulturellen Wandel von Cyber-Sicherheit als compliance-check-box an die behandelnden ärzte, die den Schutz des Patienten zu persönlichen Daten wie Priorität“, sagt er.
Während Gillam hat bereits einige Beispiele, dass dies geschieht, ist der sea-change wird bei weitem nicht genug. Das Gesundheitswesen steht vor einer großen Herausforderung in der Berufung eine so große kulturelle Verschiebung über seine oft Massiv verteilten Umgebungen – und die Statistiken deuten darauf hin, weiterhin Fortschritte werden im shuffle-Tempo. Cybersecurity ist nicht etwa zum Verzicht auf seinen status als der größte Dorn im Auge der CIO Seite in absehbarer Zeit.
Dieser Artikel wurde zuerst publiziert in der neuesten Ausgabe von HIMSS Insights, das sich mit Cyber-Sicherheit im Gesundheitswesen. Healthcare-IT-News und HIMSS Insights sind HIMSS Medien.