Cybersicherheit und Gesundheitswesen

20/12/21

Cyber-Angriffe auf Gesundheitsinfrastrukturen nehmen in Zahl und Qualität zu und sind immer erfolgreicher, was die Notwendigkeit einer Verbesserung der Präventions- und Reaktionsstrategien deutlich macht. Die wichtigsten technologischen und organisatorischen Bereiche, denen sofort Aufmerksamkeit gewidmet und Maßnahmen auch auf Budgetebene ergriffen werden müssen, werden kurz beschrieben.

Medizinische Instrumente sind mittlerweile von digitaler Technik durchdrungen und daher immer gefährlicheren Angriffen ausgesetzt. Aus diesem Grund müssen sie entsprechend geschützt werden. Im Gesundheitssektor kann der Großteil der verarbeiteten Daten als sensibel eingestuft werden und wird von unterschiedlichen Nutzertypen auf unterschiedliche Weise verwendet. Aus diesem Grund müssen sie durch präventive und schützende Maßnahmen verwaltet und geschützt werden. Im Folgenden werden wir uns auch mit der Frage der verwalteten Sicherheitsdienste befassen, die entscheidend dabei sein können, Gesundheitsorganisationen dabei zu helfen, ihre Wirksamkeit bei der Prävention und Reaktion auf Cybersicherheitsrisiken zu steigern. Tatsächlich sehen wir einen großen strategischen Wert in diesem Ansatz, da sie es Ihnen ermöglichen, diese zu ergreifen Vorteil hoher Fähigkeiten, schwer zu erlangen, ohne übermäßig belastende Auswirkungen auf die Strukturen selbst.

Entwicklung und aktueller Rahmen des Cyber-Risikos

Im Jahr 2019 verklagte eine Frau aus Alabama ein örtliches Krankenhaus, weil es ihr nicht mitgeteilt hatte, dass sie am Tag zuvor einen Cyberangriff erlitten hatte. Laut der Frau hätte das Gesundheitspersonal während der Entbindung keinen vollständigen Zugriff auf die während der Operation notwendigen digitalen Werkzeuge gehabt, was zu Schäden vor und nach dem Tod des Neugeborenen geführt hätte. Das Krankenhaus gab an, dass der Angriff am Tag vor der Entbindung stattgefunden habe. Die Staatsanwaltschaft argumentierte, dass die Frau, wenn sie über den Angriff informiert worden wäre, ihre Entscheidung hätte ändern und eine andere Einrichtung wählen können. 

Eine weitere wichtige Episode, die im September 2020 stattfand, ist der Tod einer Frau durch einen Cyberangriff in Deutschland. Durch den Ransomware-Angriff waren die digitalen Empfangsdienste nicht mehr verfügbar und die Frau musste in ein anderes Krankenhaus transportiert werden. Die Verzögerung führte zu seinem Tod.

In Italien scheint der Stand der Technik nicht viel günstiger zu sein, auch wenn bisher keine konkreten Fälle registriert wurden.

Genauer gesagt gab es im Jahr 2021 bis zu 30 Vorfälle, Angriffe und Datenschutzverletzungen, die sich auf die Welt des Gesundheitswesens auswirkten, wie der Bericht für das 3. Quartal 2021 anschaulich darlegtExprivia Cybersecurity Observatory. Zu Beginn des Jahres wurden zahlreiche Angriffe registriert, in geringerem Maße auch Unfälle (erfolgreiche Angriffe).

Trotz einer positiven Zahl in puncto Sicherheit sind die guten Nachrichten damit beendet. Tatsächlich hat sich die Kluft zwischen Angriffen und Unfällen im 2. Quartal 2021 und im 3. Quartal 2021 drastisch verringert.

Wenn man die Daten im Detail analysiert, deutet dieser Anstieg an Sicherheitsvorfällen unweigerlich auf eine größere Aufmerksamkeit von Cyberkriminellen bei der Durchführung immer ausgefeilterer Angriffe und zweitens auf eine geringere Aufmerksamkeit von Benutzern und Betreibern hin, die zu Opfern werden.

Neben der Cyberkriminalität sind die vom Garantiegeber gemeldeten Datenschutzverletzungen von erheblicher Bedeutung. Im ersten Teil des Jahres gab es nicht weniger als 12 Meldungen, und dieser Aspekt, der sicherlich nicht auf kriminelle Aktivitäten zurückzuführen ist, legt aus organisatorischer und struktureller Sicht starke Überlegungen nahe.

Letzte Überlegung zu den Daten in Italien, die von der gesammelt und analysiert wurdenObservatorium für Cybersicherheit di Expriviabetrifft die Angriffstechniken, die gegen Gesundheitseinrichtungen und -systeme eingesetzt werden; Die Techniken, bei denen bekannte Schwachstellen ausgenutzt und Phishing-Kampagnen mit fatalen Folgen verfolgt werden, sind die Meister.

Wenn einerseits das Wohlergehen einer Gemeinschaft die Notwendigkeit nicht außer Acht lassen kann, in die Gesundheit zu investieren, muss diese aus organisatorischer Sicht zunehmend effektiver werden und andererseits die auf dem Markt verfügbaren Technologien optimal genutzt werden Es ist undenkbar, dass diese Vorteile nicht einen aggressiven Digitalisierungsprozess durchlaufen, der mit einer kontinuierlichen Bewertung des damit verbundenen IT-Risikos einhergeht.

Je stärker die Nutzung digitaler Dienste, desto größer ist die Gefährdung dieser Dienste durch Angriffe und damit auch durch Vorfälle. 

Im Lichte der uns vorliegenden Daten folgen daher die Bereiche, denen die größte Aufmerksamkeit gewidmet wird, und entsprechende Vorschläge.

Bewusstsein für die Risiken eines Cyberangriffs

Obwohl Angreifer in der Lage sind, äußerst ausgefeilte Techniken auszunutzen, wird der Vorfall häufig dadurch verursacht, dass sie Opfer von Fallen werden, die durch Phishing-Kampagnen begangen werden, die für Insider äußerst trivial sind, für Mitarbeiter mit unterschiedlichen Aufgaben und Spezialgebieten jedoch möglicherweise weniger offensichtlich sind. Insbesondere ist der Prozentsatz des auf IT spezialisierten Personals im Vergleich zu denen, die in direktem oder indirektem Kontakt mit dem Patienten arbeiten (Ärzte, Krankenschwestern usw.), minimal. Es sollte daher nicht überraschen, dass Phishing einen erheblichen Teil der im Gesundheitswesen eingesetzten Angriffsmethoden ausmacht. 

Daher ist es notwendig, in Sensibilisierungsprogramme zu investieren. Die menschliche Firewall ist oft die wirksamste Barriere gegen Cyberkriminalität. 

Überprüfung des Bekanntheitsgrades

Der nächste Schritt nach der Sensibilisierung und Sensibilisierung besteht darin, in die Überprüfung der Qualität des Ansatzes zu investieren und somit zu bewerten, wie die verschiedenen Sensibilisierungsprogramme zu Verbesserungen geführt haben.

Bescheinigung

Die Zertifizierung von Kompetenzen ist eine Best Practice der Branche, die auch im Gesundheitswesen nicht ignoriert werden darf. Eine Konsequenz daraus ist die Zertifizierung von Awareness-Programmen auf geeigneten Plattformen (z. B. Open Badge 2.0). 

Cyber-Bereich

Um zu überprüfen, wie hoch die Sensibilisierung des Einzelnen ist und wie gut die Gesundheitsorganisation auf einen Cyberangriff vorbereitet ist, können Simulationen durchgeführt und das Verhalten der Bevölkerung beobachtet werden. Diese als Cyber-Range bekannte Praxis ist in IT-Umgebungen und in anderen Branchen üblich, die ad hoc entwickelte Frameworks verwenden können (z. B. TIBER-EU), die jedoch an die Welt des Gesundheitswesens angepasst werden müssen und können. 

Geräteaktualisierung und Zero-Trust

Die meisten erfolgreichen Angriffe im Gesundheitswesen gehen auf bekannte Schwachstellen zurück und sind daher vermeidbare Vorfälle. Dies sollte nicht überraschen, da der Umkreis im Gesundheitswesen extrem groß ist und die physische Kontrolle schwierig zu überwachen ist, da häufig persönliche Computergeräte verwendet werden. Aufgrund der Vielfalt der angebotenen Dienste und der Heterogenität des Personals, das auf die Dienste zugreift, ist es äußerst schwierig und komplex, eine einzige Verwaltung der Infrastruktur zu haben, die die Richtlinien identifiziert und durchsetzt. 

Wir müssen auch hinzufügen, dass die Digitalisierung eine starke Vernetzung von Diensten und Geräten mit sich bringt und daher die Fehlfunktion eines solchen Geräts zu Problemen für einen Patienten führen kann, der scheinbar nicht in den Unfall verwickelt ist.

In Deutschland ist der Tod des Patienten eine Folge des Angriffs auf die Patientenaufnahme, der offenbar nicht besonders kritisch erscheint, da er reversibel ist.

Schutz digitaler Gesundheitsgeräte

Im Gesundheitswesen und in der Medizin im Allgemeinen werden immer mehr elektronische Hilfsmittel zur Unterstützung der Diagnostik, Therapie und Behandlung des Patienten eingesetzt. Der Einsatz intelligenter Geräte (IoT) ist ein Beweis dafür.

Diese Tools, die in Krankenhäusern immer zahlreicher werden und oft direkt den Patienten anvertraut werden, bieten einerseits die Möglichkeit, die Arbeit des Gesundheitspersonals qualitativ und quantitativ zu verbessern, andererseits setzen sie die Gesundheitseinrichtung leider IT-Angriffen aus, die sein können äußerst gefährlich und verursachen schwere Schäden an Personen und Sachen.

IoT-Geräte sind für Cyberkriminelle äußerst attraktiv, da sie als Grundlage für Distributed Denial of Service (DDoS)-Angriffe genutzt werden können. Darüber hinaus kommt es häufig vor, dass die Kriminellen den Dienst ganzer Krankenstationen unterbrochen haben, indem sie ein oder mehrere Lösegelder forderten (sogenannte doppelte Erpressung).

Daher ist es unumgänglich und notwendig, damit zu beginnen, IT- und Netzwerkstrukturen entsprechend dieser Risikofaktoren zu gestalten und geeignete Abwehrinstrumente bereitzustellen.

Die Einführung von Zero-Trust-Richtlinien, die auch Netzwerk-Mikrosegmentierungstechniken nutzen, ist notwendig, um zu verhindern, dass unzureichend geschützte Geräte mit Personen und anderen Geräten in Kontakt kommen, die andere Sicherheitsrichtlinien haben. 

Privatsphäre und Datenschutz

Wenn wir über Cybersicherheit sprechen, beziehen wir uns oft auf die Möglichkeit, dass ein Dienst unterbrochen wird. Wir dürfen jedoch nicht vergessen, dass es in Italien mehr Datenschutzverletzungen im Zusammenhang mit der Privatsphäre gab als Sicherheitsvorfälle im Gesundheitswesen. 

Hinzu kommt, dass es Kriminellen häufig nicht so sehr um die Unterbrechung des Dienstes geht, sondern um den Diebstahl von Daten (in letzter Zeit wurden auch Techniken der doppelten Erpressung entwickelt, bei denen zuerst die Daten und dann die verschlüsselte Datenbank gestohlen werden, um dies zu verhindern). Erpressung des Opfers zur Wiederherstellung der Daten, aber auch zur Rückgabe der Daten). 

Während die Daten für die Erbringung der Dienstleistung tatsächlich von grundlegender Bedeutung sind, sind sie im Gesundheitswesen äußerst kritisch und auf dem Schwarzmarkt attraktiv. Generell sind Daten „kritisch“, weil sie Maschinen helfen, Patienten am Leben zu halten, aber sie sind auch „sensibel“. Wenn einerseits die Daten vor möglichen böswilligen Eingriffen geschützt werden müssen, ist es andererseits notwendig, ein hohes Maß an Datenschutz zu gewährleisten.

Aus diesem Grund sind unterschiedliche Schutzniveaus erforderlich, wie z. B. die Einführung geeigneter Verschlüsselungstechniken sowohl bei der Speicherung als auch bei der Übertragung, eine sorgfältige Profilierung der Benutzer/Systeme und Rollen, die auf sie zugreifen können, und schließlich eine kontinuierliche Kontrolle der Aktivitäten, die zur Erkennung betrügerischer Handlungen geeignet sind sowohl von externen als auch internen Akteuren der Organisation. 

Die Besonderheiten personenbezogener Daten im Gesundheitsbereich legen besondere Managementstrategien nahe

Gesundheitsdaten zeichnen sich dadurch aus, dass sie von mindestens drei Makrokategorien von Nutzern und verschiedenen Diensten gleichzeitig verarbeitet werden:

  • Sie werden aus klinischer Sicht offensichtlich zur Unterstützung des medizinischen Personals bei der Steuerung diagnostischer und therapeutischer Aktivitäten eingesetzt.
  • Gleichzeitig dienen die Daten auch der Unterstützung der Betriebsstruktur des Krankenhauses, um dessen Betrieb, Kosten und Ausstattung angemessen steuern zu können;
  • Schließlich sind Gesundheitsdaten häufig für die Forschung zu statistischen oder analytischen Zwecken interessant, auch in diesem Fall mit spezifischen Besonderheiten der Verwendung.

Diese drei Ansätze, die auf denselben Daten basieren, müssen tatsächlich nicht immer auf den gesamten Satz vorhandener Informationen zugreifen und tun dies auch nicht auf identische Weise.

Beispielsweise erfordert eine Behandlung zu wissenschaftlichen Zwecken wahrscheinlich nie den Zugang zu persönlichen Identitätsdaten von Personen, die für andere Arten von Behandlungen unerlässlich sind, und umgekehrt müssen leitende und betriebliche Behandlungen im Allgemeinen nicht besonders detailliert auf die Aspekte der Analyse von Informationen eingehen Typischerweise beschränken sie sich jedoch auf quantitative Faktoren wie die Anzahl und Art der verschiedenen Tests, unabhängig von den Ergebnissen der Tests selbst.

Diese Überlegungen legen nahe, umgehend eine Datenschutz- und Zugriffsstrategie zu verabschieden, die diese Nutzungsunterschiede berücksichtigt und eine effiziente und effektive Segmentierung der Daten und ihrer Zugriffsebenen ermöglicht.

Aus diesem Grund ist es angemessen, bereits in der Entwurfsphase der Datenbanken Strategien zum Schutz klassifizierter und granularer Informationen ins Auge zu fassen, gerade weil nicht alle Verwendungszwecke die Gesamtheit aller Informationen erfordern. Auch wenn dies komplexer erscheinen mag als eine monolithische Verwaltung der Verschlüsselung, in Wirklichkeit unter Berücksichtigung des gesamten Lebenszyklus der Daten und der Notwendigkeit einer Zugriffskontrolle, ist dies nicht der Fall, da einzelne Zugriffsprofile einfacher zu schützen sind und weniger Daten preisgeben . 

Die präventive Trennung und die Granularität der kryptografischen Maskierung stellen einen wichtigen Faktor bei der Gestaltung eigener Schutzerhaltungsstrategien entsprechend den verschiedenen Verwendungszwecken dar, wodurch während der Verwendung weniger Informationen preisgegeben werden und dann der gesamte Teil der Kontrolle und des Schutzes der Verarbeitungsergebnisse vereinfacht wird. 

Organisation der Gesundheitssicherheit

Gesundheitseinrichtungen streben den Schutz und das Wohlergehen des Einzelnen an und sind daher hauptsächlich kapillare und strukturierte Organisationen auf dem Territorium. Das bedeutet, dass sie tendenziell über das Territorium verteilt und beweglich sein müssen. 

Diese Eigenschaft stellt offensichtlich einige Herausforderungen im Kontext des Cyber-Sicherheitsmanagements dar, vor allem weil die Fähigkeiten und Sicherheitsstrukturen, die notwendig sind, um die Rolle erfüllen und mit der bestmöglichen Wirksamkeit schützen zu können, auf kleinen und mittleren Unternehmen nur schwer zu organisieren sind. Größe, entweder aufgrund eines inhärenten Mangels an Fähigkeiten im aktuellen Sicherheitssektor, aber auch und vor allem aus offensichtlichen wirtschaftlichen und organisatorischen Gründen. 

Daher wird es als angemessen erachtet, die Einführung von Organisationsstrategien zu bewerten, die die gemeinsame Nutzung und Nutzung hochspezialisierter Fähigkeiten begünstigen, die für die Cyber-Umgebung von entscheidenderer Bedeutung sind, damit sie von mehreren Strukturen mit größerer Effizienz und Wirtschaftlichkeit gemeinsam genutzt werden können.

Der auf Managed Services basierende Ansatz ist daher mit äußerstem Interesse zu betrachten, da er den Zugriff auf die besten Fähigkeiten in den vielen und unterschiedlichen spezifischen Sektoren des Sicherheitsbereichs ermöglicht, wann und so viel wie nötig, ohne übermäßige wirtschaftliche Belastungen zu verursachen und ohne interne Verpflichtungen einzugehen Zahlen zu Schulungen mit übermäßigem Wissens- und Kompetenzengagement. 

Die Cybersicherheit befindet sich strukturell in einem kontinuierlichen Wandel, mit neuen Ansätzen und neuen Strategien aufgrund der Einführung neuer Technologien. Es ist undenkbar, dass eine agile Struktur wie ein Krankenhaus in die Lage versetzt werden kann, sich innerhalb seiner IT-Strukturen mit allen heute unverzichtbaren Cyber-Sicherheitskompetenzen auszustatten. 

Fabiano Vincenzo Malerba (Exprivia-Sicherheitsforscher)