Technischer Support
Dokumentation
Anmeldung
Kontakt
TuxCare BlogAufrechterhaltung der Cyber-Hygiene im Gesundheitswesen
von
März 24, 2023 - TuxCare PR Team
Das Erreichen eines akzeptablen Niveaus an Cyber-Hygiene ist eine Herausforderung für alle Gesundheitsdienstleister, Krankenhäuser und Pharmaunternehmen. Viele Sicherheitsverletzungen entstehen durch Altsysteme und redundante Prozesse, die oft nicht gepatcht und verwaltet werden, wodurch Schwachstellen entstehen, die in Zukunft ausgenutzt werden können.
Mit einem modernen Ansatz für das Patchen von Schwachstellen können Organisationen im Gesundheitswesen ihr Patching auf Autopilot stellen, patchingbedingte Unterbrechungen minimieren und die sensiblen Daten ihrer Patienten schützen.
Doch bevor wir uns damit befassen, sollten wir einen Blick auf den aktuellen Stand der Cybersicherheitsrisiken im Gesundheitswesen werfen.
Herausforderungen für Unternehmen des Gesundheitswesens beim Erreichen einer angemessenen Cyber-Hygiene
Ähnlich wie andere Branchen ist auch das Gesundheitswesen dabei, seine Geschäfts- und Betriebsmodelle umzugestalten, um das Kundenerlebnis zu verbessern und gleichzeitig die Kosten zu senken. Diese Veränderungen entwickeln sich weiter und haben die Art und Weise verändert, wie das Gesundheitswesen für Anbieter und Patienten gleichermaßen funktioniert - mit dem Ziel, effizienter, kostengünstiger und sicherer zu werden.
Transformationsstrategien tragen zwar zu einer Veränderung der Betriebsabläufe und der Effizienz bei, führen aber auch zu neuen Cyberangriffsvektoren. Viele Sicherheitsverantwortliche im Gesundheitswesen stehen vor der Herausforderung, dass Cloud-basierte Anwendungen sicher bleiben und Ransomware-Angriffe von entfernten Patientengeräten ausgehen, die mit Telemedizin-Plattformen verbunden sind. Viele neuere Technologien mussten eingeführt werden, um frühere Altsysteme zu ersetzen. In vielen Fällen führte die Aufrechterhaltung des Betriebs sowohl alter als auch neuer Systeme zu mehr betrieblicher Komplexität und Sicherheitsrisiken.
Um das Unternehmensrisiko zu verringern und den Schutz vor Cyberangriffen zu verbessern, müssen CIOs und CISOs die Komplexität reduzieren und doppelte Anwendungen, Dienste und Plattformen aus der IT im Gesundheitswesen entfernen. Indem sie Maßnahmen ergreifen, um das wachsende Problem der Cybersicherheit anzugehen, können Organisationen ihre sensiblen Daten schützen und gleichzeitig die Vorschriften einhalten.
Cyberangriffe auf Organisationen des Gesundheitswesens
Die jüngsten Ransomware-Angriffe auf Gesundheitsdienstleister in San Diego, Irland und Neuseeland haben die schädlichen Auswirkungen solcher Vorfälle gezeigt. Leider werden viele Details noch nicht bekannt gegeben. Dennoch sind veraltete Systeme und ungeschützte medizinische Geräte häufige Sicherheitslücken, die Einrichtungen des Gesundheitswesens gefährden - und damit auch deren sensible Daten.
Werden in Einrichtungen des Gesundheitswesens keine Sicherheitspatches und andere Schutzmaßnahmen implementiert, können böswillige Personen durch mögliche Sicherheitsverletzungen die Kontrolle über große Mengen sensibler Daten oder sogar den Zugang zu klinischen Geräten erlangen, wodurch Patienten in Gefahr geraten könnten.
Hersteller medizinischer Geräte sind für die Verhinderung von Cyberangriffen auf die IT im Gesundheitswesen von entscheidender Bedeutung. In den letzten Jahren gab es bei mehreren Geräteherstellern Sicherheitsverletzungen. Aus anderen Ländern wurde über Todesfälle im Zusammenhang mit Cybersicherheitsvorfällen berichtetSo zum Beispiel in Deutschland, wo ein Ransomware-Vorfall dazu führte, dass ein Patient in eine andere Gesundheitseinrichtung verlegt wurde und leider während des Transports verstarb. Später stellte sich heraus, dass der Zustand des Patienten so schlecht war, dass das gleiche Ergebnis auch ohne die Ransomware-Infektion eingetreten wäre. Dennoch lässt die Tatsache, dass dies überhaupt als mögliche Ursache in Betracht gezogen wurde, die Bedeutung solcher Vorfälle für die Qualität und die Fähigkeit von Gesundheitseinrichtungen, Patienten rechtzeitig zu versorgen, neu überdenken.
Etwa 83 % der bildgebenden Technologien müssen aktualisiert werden, etwa 75 % der Infusionspumpen weisen ungelöste Sicherheitslücken auf, und in bis zu 72 % der medizinischen Zentren laufen sowohl IT- als auch medizinische Geräte im selben Netzwerk. Viele Organisationen im Gesundheitswesen müssen ihre Sicherheitsstrategien in den Griff bekommen.
Patching für On-Premise- und Cloud-basierte medizinische Anwendungen
Einrichtungen des Gesundheitswesens können das Risiko eines unbefugten Zugriffs verringern, indem sie eine Reihe von Best Practices für die Cybersicherheit einführen, einschließlich Live-Patching kritischer Systeme, selbst bei älteren medizinischen Geräten.
Aber nicht alle Einrichtungen des Gesundheitswesens sind dafür gerüstet, dies so schnell zu tun, wie es wirklich nötig wäre. Einige Hindernisse für das Patchen in der modernen IT im Gesundheitswesen sind:
- Budgetbeschränkungen: Die Sicherheitsbudgets im Gesundheitswesen werden auch nach COVID-19 weiter gekürzt, was zum nächsten Punkt beitragen kann.
- Unterbesetzung: Viele Gesundheitsdienstleister benötigen mehr IT-Personal. Ohne die zusätzlichen Ressourcen muss das SecOps- oder IT-Team mehr mit weniger Ressourcen für Patching-Aktivitäten tun.
- Begrenzte Erkennungsfähigkeiten: IT-Teams im Gesundheitswesen benötigen häufig mehr Mittel und Fachwissen, um Data Loss Prevention, E-Mail-Sicherheit und Mikrosegmente zur Erkennung und Verhinderung von Cyberangriffen einzusetzen.
- Alarm-Müdigkeit: Die Ermüdung durch ständige Cyberangriffe macht den Gesundheitsdienstleistern weiterhin zu schaffen. Viele Anbieter stehen vor der Herausforderung, qualifizierte und erfahrene IT-Ressourcen einzustellen und zu halten, um die Geschwindigkeit dieser Angriffe zu bewältigen. Burnout und psychischer Stress nehmen bei Cybersicherheitsteams zu, weil sie die Menge an Nachrichten und Angriffen bewältigen müssen.
- Cybersecurity-Talentlücke: Ähnlich wie andere Branchen braucht auch das Gesundheitswesen weiterhin Unterstützung bei der Einstellung und Bindung erfahrener Cybersecurity-Talente für die Bereitstellung von Sicherheits-Update-Patches.
- Herausforderungen bei der Cloud-Sicherheit: Viele Gesundheitsdienstleister haben ihre alten Plattformen in HIPAA/HITrust-Cloud-Plattformen verlagert, was neue Anforderungen an die Cybersicherheit mit sich bringen kann.
HIPAA Patching-Anforderungen und C.F.R 45 Mandate Kontrollziele
Was ist mit der Einhaltung des HIPAA? Müssen Gesundheitsdienstleister nicht ständig gepatcht werden, um die Vorschriften einzuhalten? Die Wahrheit ist - nicht wirklich.
Die Einhaltung des HIPAA erfordert kein Patching als Element der Compliance. Patching-Systeme sind jedoch für die Einhaltung verschiedener Bundesvorschriften (C.F.R.) erforderlich, darunter 45 C.F.R. § 164.308 (a) (5) (ii) (B), Schutz vor bösartiger Software. Der HIPAA verweist in seinen Compliance-Vorschriften auf mehrere CFRs. Patching steht auch im Zusammenhang mit anderen HIPAA-Anforderungen, da Sie ein ordnungsgemäßes System-Patching benötigen, um über sichere Systeme zu verfügen und das Risiko eines Informationsverlusts/einer Informationsbeschädigung zu verringern.
Patching für HITrust-Anforderungen
Das 2007 gegründete Unternehmen HITrust ist weltweit für die Verwaltung von Informationssicherheitssystemen und Datenschutzmaßnahmen bekannt. Ursprünglich für den Gesundheitsbereich entwickelt, hat HITrust im Januar 2019 CSF 9.2 veröffentlicht. Um die Standards von HITrust zu erfüllen, haben Cloud-Anbieter viel in die Zertifizierung nach dem CSF-Framework investiert, indem sie die verschiedenen Kontrollkategorien erfüllen, den HITrust-Compliance-Prozess implementieren und alle erforderlichen Zertifizierungsanforderungen erfüllen.
Warum ist die HITrust-Zertifizierung für Gesundheitsdienstleister wichtig?
Viele Gesundheitsdienstleister verlangen nun, dass alle Anbieter, die Zugang zu Gesundheitsdaten haben, innerhalb von zwei Jahren die HITrust CSF-Zertifizierung erhalten, um angemessene Sicherheits- und Datenschutzverfahren nachzuweisen.
Das HITrust CSF verlangt vier Kontrollen im Zusammenhang mit dem Risikomanagement der Informationssicherheit:
- Entwicklung eines Risikomanagementprogramms
- Durchführung von Risikobewertungen
- Risikominderung
- Risikobewertung
Das Patchen von Systemen spielt bei der HITrust-Zertifizierung eine entscheidende Rolle, da es eine Lösung zur Risikominderung darstellt, indem es die in der Risikobewertungsphase entdeckten Schwachstellen reduziert.
Warum Live-Patching die Cybersicherheit im Gesundheitswesen optimieren kann
Glücklicherweise gibt es eine erschwingliche, automatisierte Lösung, die es Gesundheitsdienstleistern ermöglicht, ihre Schwachstellen-Patches auf Autopilot zu stellen und patchingbedingte Ausfälle und Ausfallzeiten vollständig zu vermeiden. Es handelt sich um Live-Patching, bei dem alle aktuellen Patches für Sicherheitslücken im Hintergrund bereitgestellt werden, während die Systeme laufen. Mit Live-Patching können Unternehmen des Gesundheitswesens ihre Systeme auf dem neuesten Stand halten, ohne sie vom Netz nehmen oder Wartungsfenster einplanen zu müssen.
Ähnlich wie andere Branchen bietet das Gesundheitswesen lebensrettende Dienstleistungen an, die eine nahezu 100-prozentige Aktualisierung und Verfügbarkeit ihrer kritischen Systeme erfordern. TuxCare's KernelCare Enterprise, die automatisierte Live-Patching-Lösung von TuxCare, schützt Ihre Linux-Systeme durch die schnelle Beseitigung von Schwachstellen, ohne dass Ihr IT-Team irgendwelche Ausfallzeiten einplanen muss.
Mit KernelCare Enterprise können IT-Teams im Gesundheitswesen die Einspielung neuer Patches für alle gängigen Linux-Distributionen durch Staging, Tests und Produktion automatisieren. TuxCare bietet auch Live-Patching für gemeinsam genutzte Bibliotheken, Datenbanken, virtuelle Maschinenumgebungen und medizinische IoT-Geräte - so bleibt Ihr gesamtes Ökosystem ohne Neustarts oder Unterbrechungen gepatcht.
Planen Sie ein Gespräch mit einem unserer Experten, um eine persönliche Erklärung zu erhalten, wie die Live-Patching-Automatisierung von TuxCare funktioniert.
