“Accountability Framework” zur Förderung sicherer Gesundheitspraktiken vorgeschlagen

Cyber Security News

Eine Krankenschwester kümmert sich um einen COVID-19-Patienten. (US Navy Mass Communication Specialist 2nd Class Sara Eshleman, Public domain, via Wikimedia Commons)

In einem neu veröffentlichten strategischen Analysebericht hat das CyberPeace Institute diese Woche den hohen Tribut dargestellt, den Cyberangriffe auf das Gesundheitswesen fordern, insbesondere die menschlichen Auswirkungen auf Mitarbeiter des Gesundheitswesens, Patienten und die Gesellschaft.

Als Reaktion darauf hat die Non-Profit-Organisation einen Einblick in ihr in Arbeit befindliches “Accountability Framework” gegeben, das relevanten Akteuren im Gesundheitswesen dabei helfen soll, Verantwortung für die Sicherheit des Cyberspace zu übernehmen, indem sie Verhaltensnormen durchsetzen und auch die zugrunde liegenden Ursachen verstehen und beseitigen, wenn es zu Angriffen kommt.

“Zu oft führt das Fehlen einer gründlichen Untersuchung nach großen Angriffen dazu, dass die Menschen desensibilisiert, desillusioniert und entmachtet werden, was ihr Vertrauen in Institutionen und Regierungen lähmt”, heißt es im Bericht. “Die Verantwortungslücke nicht zu schließen, bedeutet, die digitale Kluft zwischen denjenigen, die die Möglichkeit haben, auf Angriffe zu reagieren, und denjenigen, die dies nicht tun, zu vergrößern. Noch wichtiger ist, dass das Nicht-Ansprechen und Schließen der Verantwortlichkeitslücke die Kluft zwischen Opfern, Zielen und Bedrohungsakteuren verschlimmert.”

Das ultimative Ziel des Rahmenwerks ist es, einen Zustand des “Cyberfriedens” zu erreichen, in dem die Sicherheit, Würde und Gleichheit der Menschen innerhalb des globalen digitalen Ökosystems gewährleistet ist. Aber es wird Herausforderungen geben, wenn die Methodik an Zugkraft gewinnen und weithin angenommen werden soll, sagten Beobachter. Das Framework muss sich von ähnlichen Bemühungen abheben, die Führungsebene muss legitim in die Verantwortungsstruktur eingebunden werden und eine offizielle Stelle oder Einrichtung muss die Verantwortlichkeit tatsächlich durchsetzen.

[Blocked Image: https://www.scmagazine.com/wp-content/uploads/2021/03/Screen-Shot-2021-03-11-at-3.28.25-PM.png]Marietje Schaake, Präsidentin des Cyber Peace Institute.

“Es ist klar, dass wir ein besseres Gespür dafür haben müssen, wo Risiken liegen könnten”, sagte Marietje Schaake, Präsidentin des Cyber Peace Institute, in einer virtuellen Podiumsdiskussion anlässlich der Veröffentlichung des neuen Berichts. “Und diese Verantwortungskette muss geklärt und optimiert werden, wo es noch Schwachstellen gibt, die ausgenutzt werden können. Ich denke also, dass es noch viel zu tun gibt, und sicherlich muss die Schließung der Verantwortungslücke dabei helfen, diesen Angriffen einen Preis beizumessen. [cyber]Verbrechen einen Preis zu geben und sie hoffentlich weniger lukrativ, weniger attraktiv und weniger vorteilhaft für die Täter zu machen.”

Die Struktur des Frameworks

Das Rahmenwerk des Instituts für die Abbildung von Verantwortlichkeit soll den Stakeholdern – einschließlich der Geschäftsleitung, IT-Fachleuten, medizinischem Personal, Anbietern und der Regierung – dabei helfen, sich zu verpflichten und die Erwartungen an ein verantwortungsbewusstes Cyber-Verhalten einzuhalten, und dann Konsequenzen zu ziehen, wenn diese Normen gebrochen werden. Durch diese gemeinsame Anstrengung sollen Schwachstellen in der Cybersicherheitskette identifiziert werden, die in der Vergangenheit zu Angriffen geführt haben. Außerdem sollen rollenbasierte praktische Schritte identifiziert werden, die jede Stakeholder-Gruppe ergreifen kann, um zukünftige Angriffe zu verhindern, und eine bessere Kommunikation zwischen den Stakeholdern ermöglicht werden.

“Das Institut glaubt, dass die Anwendung des Rechenschaftsrahmens das Potenzial hat, das Verständnis der aktuellen Cybersicherheitslandschaft auf innovative Weise zu vertiefen, indem es die Schwachstellen in der Cybersicherheit beleuchtet, die sich sowohl auf Menschen als auch auf Systeme und Infrastrukturen direkt auswirken”, heißt es im Bericht. “Die möglichst häufige Anwendung des Frameworks wird es ermöglichen, die Lücken in der Cybersicherheit effektiver zu schließen, indem aufgedeckt wird, welche davon die größten Auswirkungen auf die Opfer als Menschen haben.”

[Blocked Image: https://www.scmagazine.com/wp-content/uploads/2021/03/Screen-Shot-2021-03-11-at-3.21.10-PM-1024x724.jpg]Abgebildet: Eine Abbildung, die die Erwartungen und Verpflichtungen der Beteiligten des CyberPeace Institute Accountability Frameworks darstellt.(CyberPeace Institute)

Darüber hinaus könnte die Anwendung des Frameworks auf vergangene Angriffe möglicherweise auch gemeinsame Probleme wie fehlende Cyber-Investitionen und -Richtlinien, unzureichende Ausbildung oder unzureichende Gesetzgebung aufdecken, so der Bericht weiter.

Das Institut sucht aktiv die Zusammenarbeit mit Einrichtungen des Gesundheitswesens, die bereits Opfer eines Cyberangriffs waren, um die Methodik anhand ihrer Vorfälle zu testen. Einen tieferen Einblick in das Framework bietet der Bericht mit dem Titel: “Playing with Lives: Cyberattacken auf das Gesundheitswesen sind Angriffe auf Menschen.”

Experten sind der Meinung, dass das Framework gut gemeint und vielversprechend ist, aber es muss sich noch weiter von ähnlichen Bemühungen abheben und wichtige Herausforderungen meistern, die vor ihm liegen.

“Ein Rechenschaftsrahmen hat Potenzial, aber es gibt Bereiche, die gründlich überdacht werden müssen, wie z. B.: Was passiert, wenn es niemanden gibt – wie eine Regierungsbehörde, eine Aufsichtsbehörde oder ein geeignetes Koordinationsgremium -, der einen Stakeholder zur Rechenschaft zieht?”, so Dr. Bryan Cline, Chief Research Officer bei HITRUST, der Health Information Trust Alliance. “In seinem jetzigen Zustand ist es einfach noch zu früh, um zu sagen, ob das Framework in Bezug auf seine Methodik auf dem richtigen Weg ist.”

Cline merkte an, dass die Kreation des Instituts Elemente anderer bestehender Rahmenwerke aufgreift, die vielleicht nicht ganz so weitreichend oder hochtrabend” sind, aber bereits dazu beitragen, Einrichtungen des Gesundheitswesens einen sicheren Hafen zu gewähren, der sie im Falle eines Cybervorfalls vor Geldstrafen und Bußgeldern schützt.

Während dieses neue Rahmenwerk “helfen könnte, etwaige Lücken zu identifizieren und zu schließen, und auch als Brücke für ähnliche Bemühungen auf internationaler Ebene dienen könnte”, sagte Cline, dass es auch die Angehörigen des Gesundheitswesens dazu zwingt, noch ein weiteres Rahmenwerk zu übernehmen, “wenn viele der Elemente bereits anderswo existieren und bestehende Rahmenwerke leichter verbessert und erweitert werden können, um zusätzliche Fähigkeiten zu bieten.”

So merkte Cline an, dass das NIST Cybersecurity Framework bereits “eine gemeinsame Sprache und einen gemeinsamen Ansatz für die Implementierung umfassender Cybersicherheitsprogramme über alle Branchen hinweg bietet, um bestimmte Cybersicherheitsergebnisse zu erreichen, und eine von der US-Regierung geleitete öffentlich-private Partnerschaft hat spezielle Anleitungen für die Gesundheitsbranche erstellt, wie das NIST Cybersecurity Framework (NIT CSF) zu implementieren ist, wobei Kontrollen, Framework-basierte Risikoanalysen und bestehende informative Ressourcen wie NIST SP 800-53, ISO/IEC 27001 und das HITRUST CSF genutzt werden.”

“HITRUST bietet auch die am weitesten verbreiteten Programme zur Bewertung und Sicherung der Cybersicherheit in der Gesundheitsbranche, die aktiv das Bewusstsein für Cybersicherheit fördern und starke Cybersicherheitsprogramme unterstützen”, so Cline weiter. “Es ist unklar, was das CyberPeace-Framework auszeichnen wird. Die Initiative könnte möglicherweise all diese und andere verwandte Aktivitäten in den USA miteinander verbinden, aber es gibt bereits Arbeit in diesem Bereich.”

David Finn, Executive Vice President of Strategic Innovation bei CynergisTek, stellte ebenfalls fest, dass das Framework “auf dem richtigen Weg ist, aber nicht schockierend neu.” Zum Beispiel, sagte er, haben das NIST CSF und die Health Care Industry Cybersecurity Task Force an den Kongress bereits “Aufruf[ed] für die meisten dieser Maßnahmen”, die das CyberPeace Institute befürwortet.

Die Tatsache, dass es gesundheitsspezifisch und global ist, unterscheidet es jedoch in hohem Maße”, insbesondere weil die Risiken von Branche zu Branche variieren, räumte er ein.

Finn sagte, dass, wenn das Framework funktionieren soll, die Verantwortlichkeit des Senior Managements nicht auf der Ebene des CISOs enden darf. Vielmehr muss das Senior Management die gesamte C-Suite einbeziehen, insbesondere diejenigen, die die Schecks ausstellen.

“Wenn der CIO und der CISO keine finanziellen oder personellen Mittel erhalten, wie kann man sie dann zur Verantwortung ziehen?”, fragte Finn. Cyber-Risiken “manifestieren sich zwar in der IT und der Sicherheit, sind aber Unternehmensrisiken, die sich auf den klinischen Betrieb und die Pflege, die Patientenversorgung und die Einnahmen auswirken… Es muss einen Weg geben, diese Führungskräfte zur Verantwortung zu ziehen – wenn nicht direkt, dann durch… Governance. Lassen Sie den CEO und den CFO Entscheidungen zur Risikoakzeptanz und -minderung abzeichnen, sowohl im Guten als auch im Schlechten. So hat die Bankenbranche ihr Problem gelöst.”

Letztendlich, so Finn, wird das Accountability Framework wahrscheinlich bei jenen Gesundheitseinrichtungen Anklang finden, die sich auf die kritische Natur der Informationssicherheit eingestellt haben, während jene Einrichtungen, die in der Vergangenheit leben, mit dem Konzept zu kämpfen haben werden.

“Die Organisationen und Menschen, die verstehen, dass Sicherheit eine strategische Funktion für die Bereitstellung und den Betrieb des Gesundheitswesens ist, sind auf dem richtigen Weg”, so Finn. “Diejenigen jedoch, die noch im alten Paradigma des Gesundheitswesens operieren, werden es wahrscheinlich nicht begreifen. Dieser Zug war bereits in vollem Gange, aber COVID-19 hat ihn aus dem Bahnhof geworfen und es gibt kein Zurück mehr. Die Gesundheitsfürsorge wird von den Verbrauchern bestimmt werden, und die Verbraucher wollen Sicherheit und Privatsphäre.”

Tony Cook, Leiter der Abteilung für Bedrohungsanalysen im Beratungsteam von GuidePoint Security, sprach kürzlich mit SC Media darüber, wie immer mehr Einrichtungen des Gesundheitswesens nach größeren Angriffen auf Bedrohungsjagd gehen, um ausnutzbare Schwachstellen in Anwendungen von Drittanbietern zu finden und zu beseitigen.

Einige Teile dieses Artikels stammen aus:
www.scmagazine.com