Warum ist die Cybersicherheit im Gesundheitswesen so unterfinanziert?

Jun 28, 2023

Tony Fyler

@more__hybrid

[email protected]

Geld ist entscheidend, um die Gesundheitsversorgung wieder sicher zu machen.

• Die Bedeutung der Cybersicherheit im Gesundheitswesen wird oft heruntergespielt oder missverstanden.• Um angemessene Mittel zu erhalten, ist es wichtig, Gespräche über Cybersicherheit im Gesundheitswesen im Hinblick auf das klinische Risiko zu gestalten.• Gesundheitsorganisationen verfügen über unglaublich flache Cybersicherheitsoberflächen.

Gesundheitsdienste sind zunehmend anfällig für Cyberangriffe. Neue Akteure, neue – oder zumindest neu optimierte – Angriffsvektoren und ein neuer Fokus auf immer vorhandene Schwachstellen brechen jeglichen ethischen Widerstand seitens böswilliger Akteure, Orte ins Visier zu nehmen, die als Zufluchtsorte und Heilungszentren für Menschen dienen sollen, die es nicht sind ihr körperliches Bestes.

Wenn es eine Hölle gibt, werden die bösen Akteure, die es auf Gesundheitseinrichtungen mit Cybersicherheitslücken abgesehen haben, dort zweifellos für die Ewigkeit schmoren. Aber für Organisationen, die sich mit der Idee einer verzögerten und metaphysischen Bestrafung nicht trösten können, ist es wichtig, die Machenschaften dieser Hautverschwendung im Hier und Jetzt zu stoppen.

Wir haben wieder Kontakt zu Deryck Mitchelson aufgenommen, Field CISO bei Check Point Research, einer auf Cybersicherheit spezialisierten Organisation mit vielen Eisen im Feuer, wenn es darum geht, solche Cyberangriffe auf kritische nationale Infrastrukturen zu stoppen.

Wir haben speziell mit Deryck gesprochen, weil er nicht nur ein Cybersicherheitsexperte ist, sondern auch schon lange für den britischen NHS Scotland gearbeitet hat und daher über eine breite und besondere Spezialisierung auf dem Gebiet der Cybersicherheit im Gesundheitswesen verfügt.

Wir haben ihn gefragt, warum Menschen im Jahr 2023 immer noch Gesundheitsorganisationen ins Visier nehmen.

THQ:

Wir haben bereits darüber gesprochen, warum das britische Gesundheitssystem (NHS) besonders anfällig für Cyberangriffe ist, aber mittlerweile wird es auch in den USA immer wichtiger. Wo steht unserer Meinung nach die Cybersicherheit im Gesundheitswesen auf der Dringlichkeits- und Gefährdungsskala, beispielsweise im Hinblick auf staatliche oder organisatorische Investitionen? Wo steht in der Reihenfolge der Ausgabenprioritäten der Behörden der Schutz dieser kritischen Infrastrukturen vor Cyberangriffen?

DM:

Wenn Sie jemanden fragen, wird er Ihnen sagen, dass dies eine der drei obersten Prioritäten ist. Absolut. Jeder in der Regierung oder im Gesundheitswesen wird Ihnen sagen, dass dies eine der drei obersten Prioritäten ist.

Aber es ist eine Kontrollkästchen-Priorität, keine wirkliche Priorität. Der Grund, warum sie sagen, dass es Priorität hat, liegt darin, dass es dann im Risikoregister steht. Das bedeutet, dass sie mit ihren Vorständen sprechen und sagen können: „Ja, das gehört jemandem mit Priorität.“ Wenn dann aber noch jemand sagt, wir bräuchten eine deutliche Erhöhung der Investitionen für ein mehrjähriges Cybersicherheitsprogramm im Gesundheitswesen, um dies und das zu tun, dann fehlt ihm das Geld dafür.

Das bedeutet, dass es überhaupt keine Priorität hat. Offensichtlich findet man immer das Geld für Dinge, die wirklich Priorität haben.

THQ:

Das ist mehr oder weniger die Art und Weise, wie man echte Prioritäten definiert, nicht wahr? Dinge, für die wir echtes Geld ausgeben müssen und tun?

DM:

Genau. Die Cybersicherheit im Gesundheitswesen ist eines der wenigen Dinge, die als Priorität ganz oben auf der Risikoliste stehen und nicht ausreichend finanziert werden.

Also ja – wenn es nicht ausreichend finanziert wird, wenn es nicht das erforderliche Investitionsniveau erhält, wie kann es dann tatsächlich diese Priorität haben? Denn andere Dinge, die damit einhergehen, wie etwa der Austausch von Geräten, die am Ende ihrer Lebensdauer sind, bringen Investitionsgelder mit sich.

Wenn es darum geht, Personalengpässe zu beheben, die Dienstpläne zu ändern oder Kapitalinvestitionsprogramme durchzuführen, werden diese Dinge investiert.

Es ist schwer, sich darüber zu beschweren – ich weiß, dass diese Dinge eine Gesundheitsversorgung an vorderster Front bieten. Aber als ich noch CIO war, spielten digitale Sicherheit und Cybersicherheit eine große Rolle bei der Betreuung an vorderster Front. Ohne die digitalen und Cyber-Dienste, die den Menschen dies ermöglichen, wäre eine Betreuung an vorderster Front nicht möglich. Das eine bekommt man nicht ohne das andere.

Und das ist ein Teil des Problems – die Cybersicherheit im Gesundheitswesen steht zwar auf Risikoregistern, wird aber nicht mehr als gleich wichtig angesehen wie die Prioritäten im Gesundheitswesen an vorderster Front.

THQ:

Man könnte meinen, das sei offensichtlich, oder? Sie können über die intelligenteste Gesundheitseinrichtung verfügen, aber wenn Ihre Cybersicherheitssysteme anfällig sind, können Sie keine angemessene und zuverlässige Versorgung bieten. Dadurch erreicht man fast das Behandlungsniveau eines Feldkrankenhauses. Gesundheitseinrichtungen müssen sowohl für Patienten als auch für ihre Daten sichere Umgebungen bieten – was für die Bereitstellung von Gesundheitsdienstleistungen tagtäglich von entscheidender Bedeutung ist.

MASH – moderne Gesundheitsversorgung ohne Cybersicherheit.

DM:

Richtig. Absolut. Wollen Sie wirklich in einen MRT-Scanner steigen, wenn Sie nicht wissen, dass er sicher und repariert ist? Sie steigen in ein Gerät, das Sie mit geringer Strahlung beschießt. Wenn Sie wirklich paranoid sind und darüber nachdenken und wissen, dass diese Geräte nicht die Patches und den Schutz erhalten, die sie benötigen, dann werden Sie vorsichtig sein, wenn Sie in die Maschine eindringen.

INTERNET-SICHERHEIT

Man sieht nicht, dass Leute sehr oft über diese Dinge diskutieren, aber ich denke, sie sollten es tun.

THQ:

Wir haben vor einiger Zeit mit einem Unternehmen gesprochen, das genau darauf hingewiesen hat: Dinge wie MRT-Scanner und andere medizinische Geräte stellen grundlegende Schwachstellen im System dar, weil sie nicht über die Art von Patch-Systemen verfügen, die man a) vermuten würde sie würden, und b) andere, einfachere Geräte im System haben.

DM:

Auf vielen dieser Geräte werden häufig alte Windows-Versionen ausgeführt. Daher wissen die meisten Leute nicht einmal, wo sie mit dem Patchen beginnen sollen. Sie wurden gekauft, die Hersteller haben keine Patch-Systeme, sie denken nicht daran, Endpunkte darauf zu installieren, denn wer denkt schon daran, Anti-Malware-Software auf einem MRT-Scanner zu installieren? Es passiert also nicht.

Sie werden in Ruhe gelassen, sind aber im Netzwerk, insbesondere die moderneren. Sie erzeugen bei jedem einzelnen Scan Hunderte Gigabyte an Daten, und sie sind im Netzwerk und nicht isoliert in den Krankenhäusern.

Jeder, der in einem Krankenhaus oder einer Gesundheitseinrichtung gearbeitet hat, weiß, dass die Netzwerke nicht den höchsten Grad an Segmentierung und Trennung zwischen IT-Systemen, OT-Systemen und medizinischen Systemen aufweisen. Viele Netzwerke sind sehr flach.

Und natürlich sind 80 % der Krankenhäuser für die Öffentlichkeit zugänglich. Die Öffentlichkeit läuft überall in einem Krankenhaus herum – was hält sie davon ab, sich einfach an die Stelle zu setzen, an der sie den nächsten Ethernet-Anschluss finden, und etwas anzuschließen? In den meisten Krankenhäusern wird keine Software ausgeführt, die das Gerät tatsächlich schnell findet und unter Quarantäne stellt. Das ist ein flaches Netzwerk.

Krankenhäuser sorgen für Gesundheitsversorgung. Die Grundlage für die Bereitstellung einer Point-of-Care-Lösung ist, dass alles auf Vertrauen erfolgt. Niemand muss einen Ausweis vorzeigen, um sich behandeln zu lassen (zumindest nicht im Vereinigten Königreich). Sie benötigen weder Ihren Reisepass noch Ihren Führerschein – wenn Sie krank sind oder Hilfe benötigen, müssen Sie sich um Ihren Reisepass kümmern. Möglicherweise besteht die Notwendigkeit, auf ein etwas sichereres und eingeschränkteres Modell umzusteigen.

Medizinische Geräte – Lebensretter, aber Ausreißer aus Sicht der Cybersicherheit.

THQ:

Machen wir einen Schritt zurück. Sie sagen, es handelt sich um eine der drei obersten Prioritäten, die nie die nötige Finanzierung erhält. Warum erhält es nie die nötige Finanzierung? Was macht es in dieser Hinsicht anders? Warum will uns eigentlich niemand das Geld zeigen?!

DM:

Es gibt einige Gründe.

Ich glaube nicht, dass die Fachleute, deren Aufgabe es ist, das Geld einzufordern, das klinische Risiko, mit dem sie umgehen, gut artikulieren können. Und Vorstände und Führungskräfte verstehen das klinische Risiko. Was das Gesundheitswesen betrifft, wenn sie versuchen, dies als Cyber-Risiko zu artikulieren: „Das bedeutet es, wenn wir von Ransomware getroffen werden oder eine Schadsoftware in unser System gelangt oder Daten aus dem System herausgefiltert werden.“ System…“ Der Vorstand hat Schwierigkeiten zu verstehen, was das eigentlich bedeutet, soweit es um die Auswirkungen geht.

Schönes Blutlabor, das Sie da haben. Es wäre schade, wenn etwas passieren würde…

Ich würde immer mit einem klinischen Risikoszenario beginnen. „Wenn das passiert, bedeutet das wahrscheinlich, dass einige der kritischsten Systeme anfällig sind und Sie sie möglicherweise offline schalten müssen, um sie zu schützen. Also Dinge wie Laborsysteme, wenn sie zum Beispiel Blutanalysen durchführen. Wenn Sie diese offline nehmen, werden viele Blutuntersuchungen nicht durchgeführt, viel Blut gerinnt still und nutzlos, viele Leute müssen Sie dann anrufen und umbuchen, was zu Verzögerungen bei den klinischen Ergebnissen führt.

Das ist es, was das bedeutet.“

Wir müssen innerhalb des Gesundheitswesens und des klinischen Risikos viel besser artikulieren, was das Cyberrisiko tatsächlich bedeutet, und nicht über Cybersicherheit sprechen, weil die Vorstände es nicht verstehen. Es muss geschäftlich darüber gesprochen werden. Wenn es um Gesundheitsversorgung und Gesundheitsergebnisse geht, sind die Menschen nicht besonders gut darin, geschäftliche Begriffe zu sprechen.

THQ:

Wie werden wir also besser? Wie bringen wir das so zum Ausdruck, dass Vorstände, Regierungen und die Öffentlichkeit aufwachen und „Oh!“ sagen? Das ist es!“

DM:

Als ich im NHS Schottland war, habe ich mir einige starke Verbündete gemacht, und der erste war der Chief Medical Officer. Obwohl der Chief Medical Officer in der Regel nicht über das Hauptbudget verfügt, hat er großen Einfluss auf die Priorisierung der Ausgaben.

Ich habe viel Zeit mit CMOs verbracht, um herauszufinden, welche Prioritäten sie haben, damit ich meine Prioritäten am besten formulieren und sicherstellen kann, dass sie verstehen, wie sich meine Prioritäten auf ihre Prioritäten auswirken und umgekehrt. Wir sind zu einem ziemlich starken Team geworden, das weitermachen und starke Argumente für Investitionen in digitale Sicherheitsprogramme vorbringen wird.

Und oft habe ich darauf geachtet, dass der CMO tatsächlich der Executive-Sponsor ist, und was diese Programme für mich bewirkten, war, dass meine Prioritäten nicht mehr wie ein typisches Sicherheits- und Digitalgespräch wirkten, sondern dass es wie ein Geschäftsgespräch mit Unterstützung klang des CMO.

In Teil 2 dieses Artikels befassen wir uns damit, wie wichtig es ist, über die Schlagzeilen hinauszugehen, um die Cybersicherheit im Gesundheitswesen zu verbessern, und wie wir die notwendigen Kämpfe gewinnen können, um das Gesundheitswesen in einer datensicheren Umgebung zu halten.

Tony Fyler

@more__hybrid

[email protected]

29. August 2023

24. August 2023

24. August 2023