Praktiken und Videos zur Cybersicherheit im Gesundheitswesen

Allen Gesundheitssystemen wird dringend empfohlen, diese Reihe in ihre Schulungsprogramme aufzunehmen. Industriegruppen und Berufsverbände werden gebeten, ihre Mitglieder zu ermutigen, dasselbe zu tun. Und Unternehmen aus den Bereichen Medizintechnik, Pharmazie, Kostenträger, Gesundheitsinformatik und Dienstleistung werden gebeten, diese Reihe als Ergänzung zu ihrer Unterstützung auch auf ihre Kunden und Klienten auszuweiten.

Die meisten kleinen Praxen nutzen externe E-Mail-Anbieter, anstatt eine eigene interne E-Mail-Infrastruktur aufzubauen. Die E-Mail-Schutzmaßnahmen in diesem Abschnitt werden in drei Teilen vorgestellt:

1. E-Mail-Systemkonfiguration: die Komponenten und Funktionen, die in Ihrem E-Mail-System enthalten sein sollten
2. Aufklärung: So schärfen Sie das Verständnis und Bewusstsein Ihrer Mitarbeiter für Möglichkeiten zum Schutz Ihres Unternehmens vor E-Mail-basierten Cyberangriffen wie Phishing und Ransomware
3. Phishing-Simulationen: So können Sie Ihre Mitarbeiter für Phishing-E-Mails schulen und sensibilisieren

Alle Endpunkte einer kleinen Organisation müssen geschützt werden. Aber was sind Endpunkte? Und was kann eine kleine Gesundheitsorganisation tun, um ihre Endpunkte zu schützen?

David Willis, MD und Kendra Siler, PhD von der Population Health Information Analysis and Sharing Organization am Kennedy Space Center besprechen hier, was Sie tun sollten, um die Wahrscheinlichkeit eines Cyberangriffs auf Ihre Endpunkte zu verringern.

In diesem Abschnitt besprechen wir den Praxisbereich Nr. 3 der Cybersicherheit – Zugriffsverwaltung für kleine Gesundheitsorganisationen.

Die Diskussion gliedert sich in drei Abschnitte:

1. Was ist Zugriffsverwaltung?
2. Warum ist es wichtig?
3. Wie können HICP oder „Hiccup“ dazu beitragen, das Zugriffsmanagement für kleine Gesundheitsorganisationen zu verbessern?

Das National Institute of Standards and Technology (NIST) definiert einen Datenschutzverstoß als „einen Vorfall, bei dem sensible, geschützte oder vertrauliche Informationen von einer Person ohne entsprechende Befugnis kopiert, übermittelt, eingesehen, gestohlen oder verwendet werden.“

Zu den sensiblen, geschützten oder vertraulichen Daten zählen geschützte Gesundheitsinformationen (PHI), Kreditkartennummern, persönliche Kunden- und Mitarbeiterinformationen sowie das geistige Eigentum und die Geschäftsgeheimnisse Ihres Unternehmens.

Welche Informationstechnologie oder IT-Geräte haben Sie in Ihrem Unternehmen? Wissen Sie, wie viele Laptops, Mobilgeräte und Netzwerk-Switches Sie an allen Ihren Standorten haben? Welche laufen unter Windows oder Apples iOS oder einem der zahlreichen Android-Betriebssysteme? Wenn es nicht an einer Wand oder einem Schreibtisch befestigt ist, wer ist für jedes Gerät verantwortlich?

Netzwerke sorgen für die Konnektivität, die es Arbeitsstationen, medizinischen Geräten und anderen Anwendungen und Infrastrukturen ermöglicht, miteinander zu kommunizieren. Netzwerke können kabelgebunden oder kabellos sein. Unabhängig von der Form kann derselbe Mechanismus, der die Kommunikation ermöglicht, auch zum Starten oder Verbreiten eines Cyberangriffs verwendet werden. 

Eine angemessene Cybersicherheitshygiene stellt sicher, dass Netzwerke sicher sind und dass alle vernetzten Geräte sicher und geschützt auf Netzwerke zugreifen können. Auch wenn das Netzwerkmanagement von einem Drittanbieter bereitgestellt wird, sollten Unternehmen die wichtigsten Aspekte eines ordnungsgemäßen Netzwerkmanagements verstehen und sicherstellen, dass sie in den Verträgen für diese Dienste enthalten sind.

Schwachstellenmanagement ist ein kontinuierlicher Prozess zur Identifizierung, Klassifizierung, Priorisierung, Behebung und Minderung von Softwareschwachstellen. Viele Compliance-, Audit- und Risikomanagement-Frameworks für Informationssicherheit erfordern von Organisationen die Aufrechterhaltung eines Schwachstellenmanagementprogramms.

Bei der Reaktion auf Vorfälle handelt es sich um die Fähigkeit, verdächtigen Datenverkehr oder Cyberangriffe in Ihrem Netzwerk zu identifizieren, zu isolieren und zu beheben, um Datenlecks, -schäden oder -verluste zu verhindern. Normalerweise wird die Reaktion auf Vorfälle als das standardmäßige „Blockieren und Angehen“ der Informationssicherheit bezeichnet. In Organisationen jeder Größe treten regelmäßig viele Arten von Sicherheitsvorfällen auf. Tatsächlich sind die meisten Netzwerke ständigen Angriffen von außen ausgesetzt.

Gesundheitssysteme verwenden im Rahmen der routinemäßigen Patientenbehandlung viele verschiedene Geräte. Diese reichen von Bildgebungssystemen bis hin zu Geräten, die zu Diagnose- oder Therapiezwecken direkt mit dem Patienten verbunden sind. Solche Geräte können unkompliziert implementiert sein, wie z. B. Monitore am Bett, die die Vitalfunktionen überwachen, oder sie können komplizierter sein, wie z. B. Infusionspumpen, die spezielle Therapien verabreichen und kontinuierliche Aktualisierungen der Medikamentenbibliothek erfordern. Diese komplexen und vernetzten Geräte wirken sich auf die Sicherheit, das Wohlbefinden und die Privatsphäre der Patienten aus und stellen potenzielle Angriffsvektoren im digitalen Fußabdruck einer Organisation dar. Daher sollten diese Geräte in ihrem Design und ihrer Konfiguration Sicherheitskontrollen enthalten, um eine sichere Bereitstellung zu gewährleisten.

Cybersicherheitspraxis Nr. 10: Cybersicherheitsrichtlinien umfassen bewährte Praktiken, die dokumentenspezifisch für die Implementierung von Cybersicherheitsrichtlinien und -verfahren in Ihrer Gesundheitsorganisation sind.