Ein völlig anderes Virus
Ein kurzer Überblick über den anhaltenden Kampf zur Eindämmung der Flut von Cyberangriffen im Gesundheitssektor.
healthcare-informatics.comNeben subversiven Hackerangriffen in der Geschäftswelt, bei denen private Informationen kompromittiert und vertrauliche Unternehmensdaten entwendet werden können, werden heute auch Cybersicherheitsmaßnahmen eingesetzt, um die Auswirkungen von Hackerangriffen durch ausländische Unternehmen zu verhindern, die als politische Waffe eingesetzt werden. Es handelt sich um ein zunehmend ernstes globales Problem, das die Implementierung fortschrittlicher Cybersicherheitsmethoden erforderlich macht, um den immer ausgefeilteren Fähigkeiten von Hackern entgegenzuwirken, die genau diese Systeme unterwandern.
„In den letzten Jahren ist die Cybersicherheit im Gesundheitswesen zu einem wachsenden Problem geworden, da spektakuläre Cyberangriffe und Schwachstellen zu Störungen bei Versicherern, Krankenhäusern und Herstellern medizinischer Geräte führen. Auch für die Patienten steht viel auf dem Spiel, da Patientendaten verloren gehen oder manipuliert werden könnten, Krankenhausdienste unterbrochen werden oder Patienten durch Angriffe auf bestimmte Geräte geschädigt werden könnten …“ 1
Staatliche Interventionen zur Bekämpfung der Cyberkriminalität
Die rasante Digitalisierung des Gesundheitswesens macht diesen Sektor besonders anfällig für Cyberangriffe, und diese Tatsache ist dem US-Kongress nicht entgangen. Der Energie- und Handelsausschuss des Repräsentantenhauses hat sich kürzlich mit der Cybersicherheit im Gesundheitssektor befasst. Information Sharing and Analysis Centers (ISACS) könnten der Schlüssel zur Verbesserung der Sicherheit von Gesundheitsdienstleistern und zur Vereitelung potenzieller Cyberangriffe sein.
Durch die interaktiven Bemühungen der 24 Organisationen, die den National Council of ISACs (NCI) bilden, werden große Anstrengungen unternommen, „den Informationsfluss zwischen den kritischen Infrastrukturen des privaten Sektors und mit der Regierung zu maximieren. Sektoren und Teilsektoren kritischer Infrastrukturen, die keine ISACs haben, sind eingeladen, sich an den NCI zu wenden, um zu erfahren, wie sie an den Aktivitäten des NCI teilnehmen können.“2
Es ist natürlich eine Herkulesaufgabe, die Partnerschaft zwischen öffentlichen und privaten Einrichtungen im Gesundheitswesen in Bezug auf die Cybersicherheit zu stärken, wenn man bedenkt, dass unzählige Branchen und Regierungsbehörden für die Regulierung und Bereitstellung dieser Gesundheitsversorgung verantwortlich sind. Der Kongress wurde ermutigt, Steuererleichterungen und andere Anreize zu schaffen, um Unternehmen zu ermutigen, sich an den laufenden Bemühungen der ISACs zu beteiligen.
Geringe Beteiligung behindert die Umsetzung der Cybersicherheit
Leider ist die geringe Beteiligungsquote der Gesundheitseinrichtungen ein anhaltendes Problem bei den laufenden Bemühungen, wirksame Cybersicherheitsmaßnahmen im gesamten Sektor umzusetzen. Laut Terry Rice, Vizepräsident für IT-Risikomanagement und Chief Information Security Officer bei Merck, „zögern Unternehmen möglicherweise, Informationen innerhalb eines ISAC auszutauschen, wenn sie befürchten, dass die Informationen für die Mitglieder nicht vertraulich bleiben.“3
„Die schockierendste Statistik war meiner Meinung nach die Tatsache, dass 40 % der Personen an der Spitze eines Unternehmens – Führungskräfte wie CEOs und CIOs und sogar Vorstandsmitglieder – sich nicht persönlich für die Cybersicherheit oder den Schutz der Kundendaten verantwortlich fühlten.“ Dave Damato, Chief Security Officer bei Tanium, über Die Squawk Box von CNBC, spricht über Cybersicherheit in der Gesundheitsbranche 13
Die hohen Kosten der Cyberkriminalität im Gesundheitswesen
Abgesehen von der offensichtlichen Bedrohung durch kompromittierte Patienteninformationen und andere Fälle von Datendiebstahl sind Versäumnisse bei der Cybersicherheit unglaublich kostspielig und belaufen sich laut einem Forschungsprojekt des Poneman Institute aus dem Jahr 2016 auf 146,2 Milliarden TP2T jährlich. Die Erkenntnisse aus ihren Studien zeigten, dass „fast 90 Prozent der Gesundheitsorganisationen … in den letzten zwei Jahren einen Datenverstoß erlitten hatten. 45 Prozent hatten in diesem Zeitraum mehr als fünf Datenverstöße, wobei die durchschnittlichen Kosten eines Cyberangriffs 142,2 Millionen TP2T betragen. Die in elektronischen Gesundheitsakten (EHRs) enthaltenen Daten werden oft als Grund dafür genannt, dass das Gesundheitswesen in den Augen von Hackern ein so attraktives Ziel ist.“4
So sicher die Menschen auch glauben, dass ihre Gesundheitsdaten im Besitz ihrer Arztpraxis oder ihres Krankenhauses sind, das ist oft nicht der Fall. Die fortschreitende Digitalisierung von Gesundheitsakten ist für die Gesundheitsbranche ein kostspieliges Unterfangen. Die Sicherung all dieser Informationen ist ein weiterer enormer Kostenfaktor, und manchmal wird dieser Teil der Cybersicherheitsgleichung aus Kostengründen oder einfach aufgrund des großen Umfangs des Gesamtvorhabens vernachlässigt.
Die lukrative Natur des Cyberdiebstahls im Gesundheitswesen
Natürlich sind Gesundheitsakten auf dem Schwarzmarkt ein begehrtes Gut und können von Parteien, die an persönliche Informationen, Rechnungsadressen und Kreditkartennummern gelangen wollen, Höchstpreise einbringen. Hacking kann in der Tat ein sehr lukratives Geschäft sein. Betrachten wir dieses Beispiel. „Hacker erbeuteten im März 2016 mehr als 2,2 Millionen Patientenakten von 21st Century Oncology mit Sitz in Fort Myers, Florida. Einen Monat später stahl jemand einen Laptop mit 205.748 ungesicherten Patientenakten von Premier Healthcare, LLC.“ 5
Das Aufkommen von Ransomware
Ransomware ist für die meisten Menschen ein neuer Begriff, die mit den jüngsten WannaCry-Angriffen weltweit vertraut sind, die kritische Infrastruktursysteme lahmlegen und hohe Lösegeldforderungen von denjenigen einfordern, die der Angst und dem potenziellen Datenverlust zum Opfer fallen, die für solche Angriffe charakteristisch sind. Insbesondere die Gesundheitsbranche ist anfällig für Ransomware-Angriffe.
„Krankenhäuser sind das perfekte Ziel für diese Art der Erpressung, da sie Intensivpflege leisten und auf aktuelle Informationen aus Patientenakten angewiesen sind. Ohne schnellen Zugriff auf Medikamentenhistorien, Operationsanweisungen und andere Informationen kann die Patientenversorgung verzögert oder gestoppt werden, was Krankenhäuser eher dazu veranlasst, ein Lösegeld zu zahlen, als Verzögerungen zu riskieren, die zu Todesfällen und Klagen führen könnten.“ 6
Ransomware-Malware sperrt einen Computer und macht Daten unzugänglich, bis dem Täter ein Lösegeld gezahlt wird. Normalerweise erfolgt diese Zahlung in Form von Bitcoins. In den meisten Fällen ist für die Zahlung des Lösegelds eine Frist festgelegt, andernfalls werden die Daten auf dem Computer vernichtet. Obwohl die meisten Betroffenen das Lösegeld nicht zahlen, tun es doch genügend, um es zu einem besonders lukrativen kriminellen Unternehmen zu machen.
Die Gesundheitsbranche ist anfällig für Ransomware-Angriffe, da überraschenderweise viele Krankenhäuser unzureichende Maßnahmen zur Verhinderung von Cybersicherheitsverletzungen ergriffen haben. Stattdessen haben sich die meisten Krankenhäuser in erster Linie darauf konzentriert, die HIPAA-Konformität und die Bundesrichtlinien einzuhalten, um die Sicherheit der Patienteninformationen zu gewährleisten. Letztendlich sind die meisten Mitarbeiter im Gesundheitswesen einfach nicht gut genug geschult, um Cyberangriffe zu erkennen und abzuwehren, bevor sie stattfinden. Selbst wenn angemessene Schulungen und Cybersicherheitsmaßnahmen vorhanden sind, ist es eine ständige Herausforderung, Täter auszutricksen, die dem Spiel ständig einen Schritt voraus sind.
Auch IoT-Geräte sind gefährdet
Um die aktuelle Situation noch ernster zu machen, können Cyberangriffe nicht nur Computer, sondern auch die mit ihnen verbundenen Geräte betreffen. Medizinische Geräte, Herz- und Blutzuckermessgeräte sind nur einige Beispiele für Geräte, die anfällig für Cyberangriffe sind. Vizepräsident Dick Cheney forderte bekanntlich, dass sein Herzschrittmacher vor Cyberangriffen geschützt werden müsse, damit Personen mit böser Absicht die Funktion seines Geräts nicht aus der Ferne manipulieren könnten. Offen gesagt kann die Manipulation solcher Geräte für die Patienten, die zum Überleben auf sie angewiesen sind, tödlich sein.
Ein Beispiel für medizinisches Hacking: „Bei einem derzeit verwendeten Exploit namens MedJack injizieren Angreifer Malware in medizinische Geräte, um sie dann über ein Netzwerk zu verbreiten. Die bei solchen Angriffen entdeckten medizinischen Daten können für Steuerbetrug oder Identitätsdiebstahl verwendet werden und sogar zur Nachverfolgung aktiver Medikamentenrezepte verwendet werden, sodass Hacker Medikamente online bestellen und dann im Darknet verkaufen können.“ 7
„Soweit mir bekannt ist, ist noch kein Patient durch einen gehackten Herzschrittmacher gestorben, aber Patienten starben aufgrund von Fehlfunktionen ihrer medizinischen Geräte, Konfigurationsfehlern und Softwarefehlern. Das bedeutet, dass Sicherheitsforschung in Form von präventivem Hacking, gefolgt von koordinierter Offenlegung von Schwachstellen und Anbieterbehebungen, dazu beitragen kann, Menschenleben zu retten.„Marie Moe, Sicherheitsforscherin bei SINTEF, in „Macht weiter, Hacker. Brecht mir das Herz” (Wired)13
Die FCC hat nun vorgeschlagen, dass IoT-Anbieter von medizinischen Geräten Sicherheitsmaßnahmen in die von ihnen hergestellten Produkte einbauen sollen; das Schlüsselwort dabei ist „vorgeschlagen“. Die tatsächliche Einführung verbindlicher Sicherheitspraktiken und -anforderungen für diese Hersteller ist ein zeitaufwändiges Unterfangen. Darüber hinaus besteht auch für Netzwerke, die Daten zwischen Geräten und Datenbanken übertragen, ein dringender Bedarf an der Implementierung und Überwachung von Cybersicherheit.
Ein neuer Präsident, eine neue Ordnung
Es gab viele Spekulationen darüber, wie die Trump-Regierung das Thema Cybersicherheit angehen würde. Am 11. Mai 2017 unterzeichnete der Präsident eine Executive Order, die eine Überprüfung der allgemeinen Fähigkeiten des Landes zur Bekämpfung krimineller Cyberaktivitäten vorschrieb. Die Hauptverantwortung für die Cybersicherheit wurde den Bundesbehörden übertragen, die Risikobewertungen vornehmen und ihre entsprechenden Berichte innerhalb von 90 Tagen vorlegen mussten. Weitere Berichte über die Risiken kritischer Infrastrukturen mussten sechs Monate nach Erlass der Executive Order des Präsidenten vorgelegt werden.
„Die Anordnung fordert eine Überprüfung der Bedrohung durch Botnetze, die Websites mit automatisch generiertem Spam-Verkehr angreifen. Die Mirai-Botnetz war im vergangenen Jahr für erhebliche Internetausfälle verantwortlich. Access Now sagt jedoch, dass die Anordnung auch das Verfahren der Regierung zur Offenlegung von Schwachstellen und ihre Reaktion auf Datenschutzverletzungen berücksichtigen sollte.“
Risikobewertungen
Notfallwiederherstellung und Notfallpläne
Dedizierte Sec-Op-Teams
Prüfung von Geschäftspartnern/Lieferanten
Bessere Mitarbeiterschulung
Mehrschichtige Verteidigung
Verbesserte Technikhygiene
Partnerschaften im Bereich Cybersicherheit
Bessere Software
Forensische Berater
Es gibt keine allgemeine Präventivmaßnahme oder Maßnahme, die das Risiko von Cyberangriffen ausschließen kann. Vielmehr können Krankenhäuser, Kliniken und Privatpraxen nur darauf hoffen, zusammenzuarbeiten und die ständigen Risiken im Interesse des Schutzes privater Informationen und der allgemeinen Sicherheit ihrer Patienten zu bewältigen. Gleichzeitig werden kontinuierliche technologische Fortschritte hoffentlich die Anfälligkeit von medizinischen Geräten und Computernetzwerken verringern.
Diese Bemühungen, die potenziell verheerenden Auswirkungen der Cyberkriminalität im Gesundheitssektor und darüber hinaus einzudämmen, reichen weit über die Vereinigten Staaten hinaus. Derzeit laufen weltweite Bemühungen, die Flut der Cyberangriffe weltweit einzudämmen oder zumindest die Auswirkungen der scheinbar nie endenden Bemühungen der Cyberkriminellen zu minimieren, Gesundheitssysteme zu infiltrieren und Chaos anzurichten und zu erpressen, wo immer es möglich ist, zu welchen schändlichen Zwecken auch immer.
Politische Motivationen für Cyberangriffe
Angesichts des feindseligen politischen Klimas, das zwischen Nordkorea und praktisch jedem anderen Land der zivilisierten Welt herrscht, überrascht es nicht, dass der Schurkenstaat als mutmaßlicher Täter für die jüngsten WannaCry-Ransomware-Angriffe und andere böswillige, aus politischen Gründen und zum Zweck der finanziellen Erpressung unternommene Unternehmungen genannt wird.
„Cybersicherheitsforscher haben technische Hinweise gefunden, die ihrer Meinung nach Nordkorea mit dem globalen Cyberangriff mit der „Ransomware“ WannaCry in Verbindung bringen könnten, der … infizierte mehr als 300.000 Rechner in 150 Ländern. Symantec und Kaspersky Lab sagten … ein Code in einer früheren Version von die WannaCry-Software sei auch in Programmen der Lazarus Group aufgetaucht, die von Forschern vieler Unternehmen als eine von Nordkorea gesteuerte Hackeroperation identifiziert wurde.“ 10
Nicht alle Experten glauben, dass der WannaCry-Ransomware-Angriff finanzielle Gründe hatte. Manche, wie Matthew Hickey von der britischen Cyber-Beratung Hacker House, glauben, dass die Täter einfach „so viel Schaden wie möglich anrichten“ wollten. Dies war sicherlich in den Ländern der Fall, die am stärksten von dem Angriff betroffen waren, darunter Indien, Taiwan, die Ukraine und Russland.
Einige, wie der russische Präsident Wladimir Putin, machten die NSA für ihre angebliche Rolle bei den WannaCry-Ransomware-Angriffen verantwortlich. Die WannaCry-Technologie basiert vermutlich auf einem durchgesickerten Tool, das eine Sicherheitslücke in Windows ausnutzt, die anscheinend von der NSA stammt. „Wir sind uns völlig bewusst, dass die Genies, insbesondere die von Geheimdiensten geschaffenen, ihren eigenen Autoren und Schöpfern schaden könnten, wenn sie aus der Flasche gelassen werden“, sagte Putin in Peking. laut dem russischen staatlichen Nachrichtendienst Tass.” 11
„Dieser nächste Präsident wird die ausgefeilteste und hartnäckigste Cyber-Spionage-Kultur erben, die die Welt je gesehen hat. Er muss sich mit Experten umgeben, die die Bereitstellung wirksamer Verteidigungsschichten der nächsten Generation um die Silos unserer anvisierten kritischen Infrastrukturen herum beschleunigen können.“ James Scott, Senior Fellow, Institute for Critical Infrastructure Technology 14
Trends im Kampf gegen Cyberangriffe im Gesundheitssektor
Offensichtlich wird die Bedrohung durch Cybersicherheitsverletzungen in allen Wirtschafts- und Industriezweigen nicht abnehmen. Im Gesundheitswesen wird es einen anhaltenden und unaufhörlichen Bedarf an verbesserter Technologie und allgemeiner Wachsamkeit geben, um katastrophale Vorfälle in Zukunft zu vermeiden. Es zeichnen sich bestimmte Schutztrends ab, die als die Zukunft der Cyberkriminalitätsabschreckung im Gesundheitswesen angesehen werden könnten.
Ganz oben auf der Liste steht die zunehmende Migration zu Cloud-basierten Informationssicherheitstools. Dieser Schritt „ermöglicht eine dynamischere Aktualisierung der Tools, um Malware vom Typ Zero Day zu bekämpfen. Dieser Schritt in die Cloud sollte es letztendlich wirtschaftlicher machen, diese Tools allen Gesundheitsdienstleistern – ob groß oder klein – zur Verfügung zu stellen.“ 12
Darüber hinaus wird die Gesundheitsbranche gezwungen sein, den Informationsaustausch und die Zusammenarbeit zwischen Gesundheitsnetzwerken und -einrichtungen zu fördern. Diese gemeinsamen Bemühungen um Cybersicherheit werden schwierig zu erreichen sein, da Gesundheitseinrichtungen oft von Natur aus recht isoliert sind. Es wird erwartet, dass dieser Informationsaustausch über das Gesundheitswesen hinausgehen und viele Geschäftsbereiche und institutionelle Bestrebungen einbeziehen wird, um die Risiken für alle Beteiligten zu minimieren.
Letztendlich wird es darauf ankommen, die Gefahren von Cybersicherheitsverletzungen, Ransomware und neuen und aufkommenden Bedrohungen in diesem Bereich zu beseitigen, indem alle Mitarbeiter im Gesundheitswesen und darüber hinaus geschult und sensibilisiert werden. Wenn alle gut geschult sind und Warnsignale für Cyberrisiken erkennen und wissen, was sie tun können, um Teil einer umfassenden Anstrengung zur Eindämmung der Flut von Cyberangriffen zu sein, werden die Gesundheitsbranche und alle Beschützer eines zivilisierten Informationsaustauschs auf der ganzen Welt weiterhin bedeutende Fortschritte bei der Eindämmung der schädlichen Auswirkungen der Cyberkriminalität in allen Sektoren machen.
Wir unterstützen Sie bei Ihren Bemühungen zur Cybersicherheit
SIS International Research arbeitet seit Jahrzehnten auf vielen Ebenen mit der Gesundheitsbranche zusammen, von freistehenden Hausarztpraxen bis hin zu mehrstufigen und monolithischen Gesundheitsnetzwerken. Unser einzigartiges Verständnis der Herausforderungen, denen Unternehmen und Institutionen im Gesundheitssektor gegenüberstehen, ist beispiellos. Wir bieten Forschung und Informationen zu Stakeholdern[/fusion_text][fusion_text]
Unsere Lösungen umfassen:
Angesichts der zunehmenden Bedrohung durch Cyberkriminalität, die sich gegen unsere angesehensten Gesundheitseinrichtungen und ihre Patienten richtet, nehmen wir unsere Rolle heute mit höchster Ernsthaftigkeit wahr. Als Unternehmen, das stolz darauf ist, die Bedeutung und Vielschichtigkeit der Gesundheitsbranche zu verstehen, werden wir weiterhin gesundheitsbezogene Praxen, Einrichtungen und Organisationen mit der gleichen hochwertigen und umfassenden Forschungskapazität versorgen, die unsere Kunden erwarten und verlangen. Auf diese Weise hoffen wir, unseren Teil dazu beizutragen, der medizinischen Gemeinschaft zu helfen, die sehr reale und ernste Bedrohung durch Cyberangriffe im Gesundheitssektor zu verstehen und zu bekämpfen.
Bei der Erstellung dieser Untersuchung wurden die folgenden Ressourcen verwendet:
-
http://www.raps.org/Regulatory-Focus/News/2017/04/04/27267/Cybersecurity-House-Committee-Looks-to-Build-on-Public-Private-Partnerships/#sthash.x4Xvdf6q.dpuf
-
https://www.nationalisacs.org/
-
http://www.raps.org/Regulatory-Focus/News/2017/04/04/27267/Cybersecurity-House-Committee-Looks-to-Build-on-Public-Private-Partnerships/#sthash.x4Xvdf6q.dpuf
-
https://learningnetwork.cisco.com/blogs/talking-tech-with-cisco/2017/03/21/cybersecurity-and-healthcare-a-forecast-for-2017
-
https://learningnetwork.cisco.com/blogs/talking-tech-with-cisco/2017/03/21/cybersecurity-and-healthcare-a-forecast-for-2017
-
https://www.wired.com/2016/03/ransomware-why-hospitals-are-the-perfect-targets/
-
https://www.wired.com/2017/03/medical-devices-next-security-nightmare/
-
https://techcrunch.com/2017/05/11/trump-signs-long-delayed-executive-order-on-cybersecurity/
-
http://www.healthcareitnews.com/news/top-10-cybersecurity-must-haves-2017
-
http://www.dingit.tv/highlight/1441974?utm_source=Embedded&utm_medium=Embedded&utm_campaign=Embedded
-
www.healthcareitnews.com/blog/3-trends-shaping-future-cybersecurity
-
https://www.forbes.com/sites/danmunro/2016/12/18/top-ten-healthcare-quotes-for-2016/#5f47fb6b127f
-
http://www.goodreads.com/quotes/tag/cyber-security