So können Sicherheitsverletzungen im Gesundheitswesen verhindert werden
Das Gesundheitswesen ist ein Hauptziel von Cyberangriffen und anderen Sicherheitsverletzungen – und die Zahl der Sicherheitsverletzungen im Gesundheitswesen nimmt weiter zu. Laut Becker's Hospital Review betrifft eine von drei großen Datenschutzverletzungen ein Krankenhaus oder ein Gesundheitssystem. Diese Verstöße stellen nicht nur eine Bedrohung für die Privatsphäre der Patienten dar, sondern bergen auch das Risiko hoher Bußgelder für die Einhaltung der Vorschriften, einer langfristigen Schädigung des Rufs und des Vertrauens und können sogar ein Krankenhaus oder ein Gesundheitssystem zum Stillstand bringen, was die Versorgung beeinträchtigt und die Patientensicherheit gefährdet. Um diesem Trend entgegenzuwirken und Sicherheitsverletzungen im Gesundheitswesen vorzubeugen, ist ein umfassenderes Verständnis der Risiken und der wichtigsten Schwachstellen erforderlich – und ein umfassendes Programm für Datensicherheit und Identitätsauthentifizierung, um diese Risiken zu mindern.
Die Bedeutung der Datensicherheit im Gesundheitswesen
Die Zahl der Sicherheitsverletzungen im Gesundheitswesen hat 2021 einen neuen Höchststand erreicht. Damit setzt sich ein Aufwärtstrend fort, der dazu geführt hat, dass sich die Zahl der verletzten Gesundheitsdaten in den USA in den letzten drei Jahren mehr als verdreifacht hat. Krankenakten sind aus einem einfachen Grund ein beliebtes Ziel: Medizinische Daten sind im Darknet bis zu 40 Mal mehr wert als gestohlene Kreditkarten. Das liegt daran, dass Gesundheitsdaten in der Regel alles enthalten, von der Sozialversicherungsnummer bis hin zu Informationen über Begünstigte von Krankenversicherungen und sogar biometrische Identifikatoren – und oft auch Informationen über Finanzkonten.
Aber das größere Problem ist, dass die zunehmenden Sicherheitsverletzungen im Gesundheitswesen direkt mit der digitalen Transformation der Gesundheitsbranche zusammenhängen. Die Gesundheitsversorgung ist heute vollständig von Daten abhängig. Vernetzte Geräte erfassen Vitaldaten und andere Gesundheitsinformationen, die in die Pflege einfließen. Die elektronischen Gesundheitsakten speichern diese Informationen und steuern die Arbeitsabläufe im Gesundheitswesen, von der Genehmigung von Verfahren bis zur Verschreibung von Medikamenten. Alles, von den einfachsten bis zu den komplexesten und fortschrittlichsten Behandlungen, wird heute mit Hilfe digitaler Technologien durchgeführt. Die digitale Infrastruktur bildet die Grundlage für die Einrichtungen und Räume, in denen die Pflege erbracht wird – sie sorgt dafür, dass das Licht brennt, steuert komplexe HLK-Systeme und kontrolliert den physischen Zugang und die Sicherheit. Das rasche Wachstum der Telemedizin bringt zusätzliche Anforderungen an die Datensicherheit mit sich. Die Anbieter integrieren Technologien von Drittanbietern und webbasierte Plattformen, um die Telemedizin nahtlos und bequem für die Patienten und effizient für die Anbieter zu gestalten.
Die Datensicherheit ist entscheidend für den Schutz dieses gesamten Ökosystems. Ein gut gemachtes, umfassendes Datensicherheitsprogramm führt zu drei Hauptergebnissen:
- Vertrauen und Treue der Patienten
Die Patienten von heute sind als Verbraucher in der Lage, die „beste“ Versorgung zu finden – und sie sind zunehmend sensibel für den Schutz ihrer Daten. Ein wirksames Datensicherheitsprogramm schützt vor dem Imageschaden – und den daraus resultierenden Verlusten an Patientenvolumen – einer Datenschutzverletzung. - Pflegequalität und Patientensicherheit
Die Gewährleistung eines ununterbrochenen Zugriffs auf Gesundheitsdaten von Patienten und das Funktionieren entscheidender Technologien und Systeme ist für das Ziel von Gesundheitsdienstleistern der Erbringung einer hochwertigen Pflege und Verringerung der Risiken für die Patientensicherheit unabdingbar. - Vermeidung von Kosten im Zusammenhang mit Datenschutzverletzungen
Das Gesundheitswesen ist im Bereich der Datenschutzbestimmungen bereits führend und die ständig verschärften Anforderungen bedeuten, dass selbst kleine Verstöße zu erheblichen Geldstrafen führen können. Aber Geldstrafen sind nur die Spitze des Eisbergs, wenn es um die vollen Kosten einer Sicherheitsverletzung geht. Ein mittelgroßes Krankenhaus muss beispielsweise damit rechnen, dass ein typischer Cyberangriff es für durchschnittlich 10 Stunden lahmlegt – mit Kosten von 45.700 Dollar pro Stunde.
Was sind die wichtigsten Fragen der Datensicherheit im Gesundheitswesen?
Das übergreifende Thema ist, wie bereits erwähnt, die exponentielle Digitalisierung aller Aspekte des Gesundheitswesens. Zweifellos bringt dieser digitale Wandel enorme Vorteile für Patienten und Leistungserbringer gleichermaßen mit sich – und wird auch in den kommenden Jahren neue Möglichkeiten und Potenziale freisetzen. Aber sie birgt auch erheblich höhere Sicherheitsrisiken, vor allem weil sie ein viel breiteres und komplexeres digitales Ökosystem schafft, mit weitaus mehr Punkten, an denen ein schädlicher Akteur Zugang erhalten oder Daten durchsickern oder offengelegt werden könnten. In einem Bericht vom Frühjahr 2022 werden fünf Hauptquellen für Datensicherheitsprobleme im Gesundheitswesen genannt:
- Mit dem IoT verbundene/intelligente medizinische Geräte: Die Zahl der vernetzten Geräte in Krankenhäusern und Kliniken nimmt exponentiell zu. USA Die US-amerikanische Gesundheitsbehörde HHS (Health and Human Services) berichtet, dass mehr als die Hälfte der am häufigsten verwendeten vernetzten medizinischen Geräte für Cyberangriffe anfällig sind.
- Zunehmende Nutzung der Telemedizin: Die pandemiebedingte Umstellung auf die Telemedizin und die mobile Gesundheitsfürsorge erweist sich als unumgänglich. Der Zugang von Patienten zur Gesundheitsfürsorge außerhalb des traditionellen Perimeter der Datensicherheit birgt eine Vielzahl von Sicherheitsrisiken und Herausforderungen.
- Das US-amerikanische Heilungsgesetz (Cures Act): Das Heilungsgesetz Cures Act von 2016 zielt darauf ab, Hindernisse für die Interoperabilität von Systemen und Geräten im Gesundheitswesen abzubauen. Dies unterstützt und beschleunigt unmittelbar die technologische Innovation, bietet aber auch zusätzliche Angriffspunkte für Datenlecks oder Datendiebstahl während der Übertragung.
- Unterausgestattete IT-Abteilungen: Personalknappheit und Budgetkürzungen betreffen alle Abteilungen im Krankenhaus, was dazu führen kann, dass Dinge wie Sicherheits-Patches durch das Raster fallen und Technologie-Stacks nicht aktualisiert und verstärkt werden, um mit modernen Anforderungen und Risiken Schritt zu halten. Darüber hinaus berichtet das HHS, dass das typische Krankenhaus den Cyberangreifern technisch und personell einfach unterlegen ist.
- Mangelnde Sicherheitsschulung der Mitarbeiter: Der Faktor Mensch ist nach wie vor das größte Sicherheitsrisiko, sei es durch das Klicken auf einen Phishing-Link, den Verlust oder die Weitergabe von Anmeldedaten oder den Zutritt unregistrierter Besucher zur Einrichtung.
Es wird geschätzt, dass 3 von 4 Sicherheitsverletzungen im Gesundheitswesen auf eines dieser fünf Kernprobleme zurückzuführen sind.
5 Strategien zur Verhinderung von Sicherheitsverletzungen im Gesundheitswesen
Konzentrieren Sie sich zunächst auf den Schutz von Patientendaten
Die grundlegendste Strategie für die Datensicherheit besteht darin, sich auf den Schutz der Patientendaten zu konzentrieren, die die Grundlage für die moderne Gesundheitsversorgung bilden, d. h. die richtigen Technologien und Prozesse einzuführen und eine Kultur der Datensicherheit aufzubauen. Um die Verfügbarkeit und Integrität von Patientendaten zu gewährleisten, sollten Krankenhäuser und Gesundheitssysteme mehrere Maßnahmen ergreifen:
- Verschlüsselung und Tokenisierung aller Patientendaten – während der Übertragung und im Ruhezustand – zum Schutz vor unberechtigtem Zugriff
- Ermöglichen Sie die digitale Unterzeichnung von Patientenakten, um eine sichere Kontrollkette über Patientendaten aufrechtzuerhalten und das Betrugs- und Fälschungsrisiko zu verringern.
- Bei der Weitergabe oder Übertragung von Patientendaten sollten alle persönlich identifizierbaren Informationen (PII) mit Token versehen werden, um die Privatsphäre der Patienten weiter zu schützen.
Kreuzen Sie alle Compliance-Kästchen an
Abgesehen von der klinischen Bedeutung der Patientendatensicherheit müssen Krankenhäuser und Gesundheitssysteme eine Reihe von immer strengeren gesetzlichen Vorschriften einhalten – von HIPAA und dem Health Information Technology for Economic and Clinical Health Act (HITECH) bis hin zur Datenschutz-Grundverordnung (DGSVO), dem California Consumer Privacy Act (CCPA), elektronischer Identifizierung, Authentifizierung und Vertrauensdiensten (eIDAS) und weiteren.
Für die meisten Organisationen des Gesundheitswesens ist die Einhaltung des HIPAA das wichtigste Anliegen. Hier sind vier Bereiche der Datensicherheit, die für die Einhaltung des HIPAA wichtig sind:
- Starke Authentifizierung: Der HIPAA legt großen Wert auf die Beschränkung, Kontrolle und Überwachung des physischen und digitalen Zugangs zu Räumen, Anlagen und Daten. Geben Sie autorisierten Benutzern eine hochsichere, auf Anmeldeinformationen basierende Authentifizierung, mit der sie schnell und einfach ihre Identität und Zugriffsrechte bestätigen können.
- Digitale Zertifikate:: Digitale Zertifikate ergänzen die starke Authentifizierung, indem sie die Identität eines Geräts, Servers oder Benutzers bestätigen. Ein robustes digitales Zertifikatsprogramm wird immer wichtiger, um ein reibungsloses, vollständig integriertes Ökosystem von vernetzten IoT-Geräten innerhalb eines Krankenhauses oder Gesundheitssystems zu ermöglichen.
- Datenschutz: Der HIPAA schreibt vor, dass geschützte Gesundheitsinformationen (PHI) verschlüsselt werden müssen, es sei denn, es wird eine „vernünftige und angemessene“ Rechtfertigung gegeben. Darüber hinaus kann eine wirksame Datenverschlüsselung – sowohl bei der Übertragung als auch im Ruhezustand – Unternehmen dabei helfen, erhebliche Strafen im Falle einer Sicherheitsverletzung zu vermeiden.
Verstärkung der Datensicherheit im Bereich der kritischen digitalen Architektur
Die Standards und Best Practices für die Datensicherheit, die für die Sicherung von Desktop-Arbeitsplätzen und älteren, lokalen Technologien verwendet wurden, können im Zeitalter von cloudbasierten Anwendungen, mobiler Konnektivität und Technologie-Stacks ohne Perimeter einfach nicht mehr mithalten. Krankenhäuser und Gesundheitssysteme müssen ein zukunftssicheres Sicherheitssystem aufbauen, das den erforderlichen sofortigen, reibungslosen Zugang ermöglicht und gleichzeitig die wachsenden Risiken von Cyberangriffen, Betrug und Sicherheitsverletzungen abwehrt. Hier sind drei Bereiche, auf die Sie sich konzentrieren sollten:
- Ergreifen Sie Maßnahmen zum Schutz von ePA-Systemen: Digitale Zertifikate für IoT-Geräte; passwortlose Logins; hochsichere, auf Anmeldeinformationen basierende Authentifizierung; und nach Federal Information Processing Standards (FIPS) validierte Hardware-Sicherheitsmodule (HSMs) können Ihrer Organisation helfen, die digitale Integrität Ihres ePA-Systems zu schützen und Sicherheitsverletzungen im Gesundheitswesen zu verhindern.
- Sichere IoT-Geräte: Verschlüsselung und digitale Signaturen in Unternehmensqualität sowie eine Vertrauensbasis zum Schutz der zugrundeliegenden kryptografischen Schlüssel sollten stets als bewährte Verfahren eingesetzt werden, um eine sichere Umgebung zu gewährleisten.
- Schutz von Hardware und Firmware: Eine hochsichere digitale Infrastruktur muss Schlüssel, Zertifikate und eine Ende-zu-Ende-Verschlüsselung verwenden, um auch die Authentizität und Integrität der Firmware zu gewährleisten, die intelligente, vernetzte IoT-Geräte betreibt.
Nutzung intelligenter Datensicherheitstechnologien für eine moderne, produktive Belegschaft
Die „neue Normalität“ hat die Arbeitsweise des Gesundheitspersonals umgestaltet. Die Leistungserbringer interagieren mit den Patienten virtuell über Telemedizin und mobile Gesundheitsdienste. Das klinische und das Verwaltungspersonal setzen auf Remote- und Hybrid-Arbeitsmodelle. Die Ermöglichung dieser neuen Arbeitsweisen ist von entscheidender Bedeutung für die Erweiterung und Verbesserung der Art und Weise, wie die Pflege erbracht wird. Sie ist auch entscheidend für den Schutz der wirtschaftlichen Ergebnisse sowie für die Gewinnung und Bindung von Mitarbeitern angesichts des unerbittlichen Drucks auf die Arbeitskräfte.
- Integration von Technologien der nächsten Generation: Das Innovationstempo in der Welt der Produktivitäts- und Kollaborationstechnologien beschleunigt sich ständig. Dies sind die Werkzeuge und Technologien, die es medizinischem Personal und Mitarbeitern ermöglichen, auf neue, intelligentere und bessere Weise zu arbeiten. Die Fähigkeit eines Krankenhauses oder Gesundheitssystems, neue Technologien schnell zu integrieren, hängt von einem flexiblen, zukunftsfähigen Sicherheitstechnologie-Stack ab, der in der Lage ist, die notwendigen Authentifizierungs-, Verschlüsselungs- und anderen Datensicherheitsmaßnahmen für neue Anwendungen, neue Integrationen und neue Arbeitsabläufe bereitzustellen.
- Ermöglichen Sie einen reibungslosen Zugang: Der Wert innovativer neuer Technologien wird durch die Fähigkeit begrenzt, schnell auf sie zuzugreifen – und zwischen ihnen zu wechseln, um Pflege zu leisten und wichtige Arbeitsabläufe durchzuführen. Um das volle Potenzial der digitalen Transformation auszuschöpfen – von den Produktivitätsvorteilen über die verbesserte Pflegequalität bis hin zu einer höheren Patienten- und Mitarbeiterzufriedenheit – muss diese Art von reibungslosem Zugang ermöglicht werden.
- Unterstützen Sie die Flexibilität Ihrer Mitarbeiter mit physischer Sicherheit: Eine der am meisten übersehenen Auswirkungen eines hybriden Arbeitsmodells ist, dass es häufig Änderungen bei den Programmen für die physische Sicherheit und die Zugangskontrolle erfordert. Von der Ermöglichung des Zugangs autorisierter Mitarbeiter zu den Einrichtungen außerhalb der regulären Schichten über die Erleichterung des kontaktlosen Eincheckens für Patienten und Besucher bis hin zum Onboarding und Offboarding von Mitarbeitern und Freiwilligen müssen Krankenhäuser und Gesundheitssysteme Lücken und Probleme in ihrem physischen Sicherheitsprogramm neu bewerten, die ein Risiko für den Datenschutz und die Sicherheit von Patientendaten darstellen können.
Erleichterung und Schutz der medizinischen Fernversorgung und digitaler Transaktionen
Die Nachfrage der Patienten nach Telemedizin, mobiler Pflege und anderen virtuellen und ferngesteuerten Versorgungsoptionen ist ungebrochen. Auch die Gesundheitsorganisationen haben die vielen Vorteile dieser neuen Formen der Leistungserbringung erkannt. Aber die Bereitstellung der bequemen, personalisierten und privaten Erfahrungen, die Patienten erwarten, und die Realisierung des Potenzials, den Zugang zu unterversorgten Bevölkerungsgruppen zu erweitern und gleichzeitig die Effizienz zu steigern, bringt eine Reihe völlig neuer Herausforderungen für die Datensicherheit mit sich.
- Onboarding und Authentifizierung von Fernpatienten: Die einfachste Herausforderung für die Datensicherheit bei der medizinischen Fernversorgung ist die Authentifizierung der Identität eines Patienten, der nicht physisch anwesend ist. Organisationen des Gesundheitswesens müssen Technologien einführen, die eine sichere Identitätsüberprüfung der Patienten per Self-Service ermöglichen. Außerdem müssen sie neue Arbeitsabläufe für die Aufnahme neuer Patienten in einem vollständig virtuellen Versorgungsszenario entwickeln.
- Schutz von geschützten Gesundheitsinformationen (PHI) in der cloudbasierten Pflege: Die Verbindung mit Patienten und die Bereitstellung von Pflegeleistungen über web- und cloudbasierte Anwendungen bedeutet, dass eine enorme Menge an vertraulichen Informationen weit außerhalb der Sicherheit des traditionellen Netzwerks hin- und hergeschoben wird. Eine umfassende Datenschutzstrategie muss eine fortschrittliche Ende-zu-Ende-Verschlüsselung, robuste Zertifikate und eine Public-Key-Infrastruktur (PKI) umfassen, um den nahtlosen Austausch von Patientendaten zu erleichtern und sie gleichzeitig vor Abfluss oder Diebstahl zu schützen.
- Sicherheit von Wearables und anderen Geräten jenseits des Perimeters: Über die Grundversorgung hinaus ist der größte Treiber für die Fernversorgung der Fortschritt der vernetzten medizinischen Geräte, die es den Leistungserbringern ermöglichen, die Gesundheitsdaten der Patienten in Echtzeit zu überwachen und darauf zu reagieren. Das reicht von „intelligenten“ Gesundheitsgeräten wie CPAPs, Dialysegeräten und Herzschrittmachern bis hin zur boomenden Zunahme von Wearables wie Smartwatches und kontinuierlichen Blutzuckermessgeräten. Organisationen des Gesundheitswesens müssen nicht nur die Übertragung von vertraulichen Daten von diesen angeschlossenen Geräten auf ihre internen Systeme schützen, sondern auch starke Datensicherheitstechnologien einsetzen, um die Hardware und Firmware der angeschlossenen Geräte selbst zu schützen.
- Digitalisierte Transaktionen und Zahlungen: Hochentwickelte digitale Unterschriftentechnologien spielen sowohl im sichtbaren als auch im internen Bereich der Fernbetreuung eine entscheidende Rolle. Organisationen im Gesundheitswesen benötigen eine sichere, nahtlose Methode zur schnellen und zuverlässigen Authentifizierung von Bestellungen wie Laboranforderungen und Rezepten. Auf der Rückseite müssen sie die Echtheit von Versicherungsansprüchen sicherstellen und die technische Infrastruktur bereitstellen, damit die Patienten sichere Zahlungen leisten können.