David Ting, CTO und Mitbegründer, Tausight
Als die Gesundheitsbranche mit der Umstellung von Papierakten auf elektronische Akten begann und schließlich weiter in sie investierte, gab es zahlreiche Folgeeffekte, von einer stärkeren Einbindung der Patienten bis hin zu einer verbesserten Effizienz. Einige der Folgen waren jedoch negativ.
Einer davon ist laut David Ting (CTO und Mitbegründer von Tausight), dass „es uns dazu veranlasst hat, unsere Wachsamkeit nachzulassen“, was die Datensicherheit betrifft. Bevor EHRs auf den Markt kamen, „war der Verlust von Patientenakten nie ein Problem“, sagte er kürzlich in einer Diskussion. Unter anderem ist es weitaus auffälliger, wenn Tausende Pfund Papier das Krankenhaus oder die Praxis verlassen, als ein unverschlüsselter Laptop, der Zehntausende Papierakten enthalten kann.
Nun „könnten Sie Millionen von Datensätzen auf einem USB-Stick verlieren, ohne es überhaupt zu bemerken.“
Es ist geradezu beängstigend für Patienten und Anbieter. Für Führungskräfte sei das jedoch inakzeptabel, stellte er fest. „Es muss eine Priorisierung geben. Und das bedeutet, alle notwendigen Cyber-Hygienemaßnahmen zu ergreifen, um die Patientenakten zu schützen.“
Leider scheint dies nicht der Fall zu sein, wie aus Erkenntnissen einer aktuellen Forschung des Ponemon Institute hervorgeht, die von Ting und Larry Ponemon, PhD, während des Webinars besprochen wurde.
Statistisch gesehen
Sie stellten fest, dass der aktuelle Technologie-Stack nicht ganz mithalten kann – insbesondere, wenn es um den Schutz von ePHI geht.
Nachfolgend einige Erkenntnisse aus dem Bericht:
- Gesundheitsorganisationen erlebten in den letzten zwei Jahren durchschnittlich 74 Cyberangriffe. Fast die Hälfte (47 Prozent) der Befragten gaben an, dass diese Cyberangriffe zum Verlust, Diebstahl oder einer Datenschutzverletzung von PHI geführt hätten.
- 58 Prozent gaben an, dass ihre Organisation nicht in der Lage sei, festzustellen, wie viele PHI außerhalb der EHR vorhanden sind, wo sie sich befinden und wie auf sie zugegriffen wird.
- 55 Prozent gaben an, dass das Unternehmen aufgrund der übermäßigen Präsenz von PHI im Rechenzentrum, am Endpunkt und in den E-Mail-Konten gefährdet sei.
Offensichtlich haben die weit verbreiteten Tools „Schwierigkeiten, die enorme Menge an PHI in diesen Systemen zu schützen“, sagte Ponemon, der Cloud-Migrations- und Kollaborationstools als einige der Faktoren nannte, die zu höheren Sicherheitsrisiken führten. „Sie verbessern nicht die Sichtbarkeit von PHI.“
Außerdem reagieren sie nach einem Vorfall nicht schnell genug, heißt es in dem Bericht, der feststellte, dass es 80 Tage dauern kann, um Daten wiederherzustellen und die Folgen eines Verstoßes zu beheben. Der Zeitaufwand für die Bewertung der Auswirkungen und die vollständige Offenlegung des Verstoßes wurde auf 76 Tage geschätzt.
„Das sind große Zahlen“, bemerkte Ponemon. Und da die Gesundheitssysteme mit „ständigen Leckagen“ zu kämpfen haben, ist es zwingend erforderlich, noch einen Schritt weiter zu gehen. „Es muss mehr Verantwortung geben.“
Die Herausforderung besteht darin, dass vielen Organisationen das interne Fachwissen für die Verwaltung von PHI und das nötige Budget für Investitionen in Technologien fehlt, insbesondere solche aus ländlichen oder kleineren Einrichtungen.
Behalten Sie die Sichtbarkeit bei
Für Ting ist das jedoch einfach nicht akzeptabel. „Das ist Gesundheitsversorgung. Die Patienten vertrauen Ihnen ihre Pflege an“, sagte er. Anstatt den Ansatz zu übernehmen, „über die Brücke zu gehen, wenn man da ist“, „muss man sich gewissenhafter darum bemühen, Patientenakten genauso kritisch zu behandeln, wie wir Patienten behandeln.“ Es muss ein höheres Verantwortungsbewusstsein vorhanden sein.“
Larry Ponemon, PhD, Vorsitzender und Gründer, Ponemon Institute
Darüber hinaus sei es angesichts der durchschnittlichen Kosten eines Sicherheitsverstoßes, die bei rund 10 Millionen US-Dollar lägen, finanziell sinnvoll, in ein besseres Verteidigungssystem zu investieren, erklärte er. „Wenn man die Größe und das Ausmaß einiger dieser Verstöße sieht, denkt man: ‚Das hätte gestoppt werden müssen‘. Sie hätten eine bessere Sicht haben sollen.‘“
Insbesondere im Gesundheitswesen, wo Aufzeichnungen eine so entscheidende Rolle spielen, kann es äußerst schädlich sein, nicht genau zu wissen, wo Daten gespeichert werden, wer sie nutzt und wie. „Es ist wirklich wichtig, Einblick in all das zu bekommen“, sagte Ting. Ohne sie „steigt Ihre Verletzlichkeit“.
Tausights Rolle
Hier könne Tausight etwas bewirken, sagte er und wies darauf hin, dass das Unternehmen gegründet wurde, um Cybersicherheitsteams dabei zu unterstützen, PHI, insbesondere in unstrukturierter Form, zu isolieren und zu identifizieren. „Während wir Maschinen schrubben, finden wir Unmengen sensibler Daten herumliegen. Das muss Priorität haben.“
Und doch gaben in der Umfrage, an der mehr als 500 Cybersicherheitsakteure teilnahmen, nur 30 Prozent an, dass ihre Unternehmen einen erheblichen Einblick in PHI haben, die sich im Rechenzentrum und an den Endpunkten befinden.
Laut Ting reicht das nicht aus. „Um dies zu gewährleisten, verlassen Sie sich auf Zugriffskontrollen und Berechtigungen, die Sie auf Ihren Computersystemen festlegen“, sagte er. „Wir wissen, dass Administrator-Anmeldedaten kompromittiert und Benutzer-Anmeldedaten gefälscht werden können.“ Und selbst wenn nur 5 bis 7 Prozent der Phishing-Versuche erfolgreich sind, kann dies zu erheblichen Verlusten führen, insbesondere wenn Benutzer bis zu 30.000 veraltete Datensätze in ihren Konten haben. „All dies sind Dinge, die wir durch bessere Hygiene und mehr Bewusstsein reduzieren können.“
Er sagte, die Plattform von Tausight nutze einen patentierten Algorithmus, um ePHI auf Geräten, Datenspeichern und Cloud-Assets zu finden, und könne in andere Systeme integriert werden, um Daten effektiver zu schützen. Dies ist besonders wichtig, da das Gesundheitswesen von allen Branchen die längste Verweildauer aufweist, was bedeutet, dass Angreifer viele Daten auskundschaften können, bevor sie überhaupt entdeckt werden.
Reduzierung der Oberfläche
„Wir müssen die Verfolgung verbessern, damit wir diese Fläche reduzieren können“, sagte er. „Das geht zurück auf die Frage, wie lauten meine Aufbewahrungsrichtlinien? Wie komme ich zu einem Modell mit den geringsten Benutzerprivilegien, damit ich nicht in großem Umfang bestimmte Konten freigeben oder Administratoren in großem Umfang Zugriff gewähren muss?“
Ohne Sichtbarkeit „kann man nirgendwo anfangen“, bemerkte Ting, was sehr problematisch sein kann. „Was ist meine riskanteste Maschine? Liegt es am Laptop, der auf dem Schreibtisch von jemandem steht? Ist es das Desktop-Gerät, das im Flur benutzt wird?“ Andererseits können Wissen und Transparenz den Sicherheitsteams helfen, zu verstehen, wo die größten Risiken liegen, und entsprechend Prioritäten zu setzen.
Einfach ausgedrückt: „Man muss wissen, wo sensible Daten gespeichert sind.“ Sie müssen dafür verantwortlich sein, ob alles verschlüsselt ist oder dem NIST-Rahmen folgt“, sagte er. „Und Sie müssen Datenbestände wie physische Vermögenswerte behandeln.“
Oder angesichts der Natur von Cyberangriffen vielleicht sogar noch wachsamer. „Man kann einen Computer jederzeit wieder aufbauen; Sie können Ihre Daten nicht neu aufbauen“, schloss Ting. „Sie können es nicht mehr zurückholen, wenn es einmal gestohlen wurde. Darüber müssen wir nachdenken, wenn uns die Behandlung unserer Patienten wirklich am Herzen liegt.“
Um das Archiv dieses Webinars – Exploring the ePHI Cyber Crisis & How to Fix It (gesponsert von Tausight) – anzuzeigen, klicken Sie bitte hier.
