HHS benötigt mehr “umsetzbare” Informationen zur Unterstützung der Gesundheits-IT-Sicherheit

  • Der Hauptsitz des Department of Health and Human Resources. (Sarah Stierch CC BY 4.0)

    Das Department of Health and Human Services hat Fortschritte bei der gemeinsamen Nutzung von Bedrohungen gemacht, um die Cybersicherheit innerhalb seiner Partnerschaften und des Gesundheitssektors zu unterstützen. Das Government Accountability Office fand jedoch Bereiche, in denen das HHS seine Bemühungen zur Unterstützung des Informationsaustauschs der Abteilung und der allgemeinen Gesundheits-IT-Sicherheit besser koordinieren könnte.

    Das HHS Office of Information Security ist mit der Verwaltung der abteilungsweiten Cybersicherheit beauftragt, für die die Behörde Richtlinien und Verfahren festgelegt hat, die die Rollen und Verantwortlichkeiten innerhalb der Behörde für die Dokumentation und Umsetzung ihres Cybersicherheitsprogramms klar umreißen.

    Die Elemente werden durch den Federal Information Security Modernization Act von 2014 gefordert. FISMA verlangt auch, dass sich das HHS mit der Cybersicherheit innerhalb der Behörde und im gesamten Gesundheitssektor befasst und gleichzeitig mit der Branche zusammenarbeitet und deren Bemühungen um Cybersicherheit koordiniert.

    Das GAO wurde damit beauftragt, den Cybersicherheitsansatz des HHS zu überprüfen, da der Sektor stark auf Informationssysteme angewiesen ist, um Gesundheitsdienstleistungen zu erbringen und auf nationale Gesundheitsnotfälle zu reagieren.

    “Angesichts des Wissens und der Erfahrung des HHS bei der Bereitstellung von Gesundheitsdiensten und der Verbesserung der öffentlichen Gesundheit dient es als die führende Bundesbehörde, die für die Koordinierung der Sicherheits- und Resilienzbemühungen für den Gesundheitssektor verantwortlich ist”, heißt es in dem Bericht.

    “Der Sektor bietet Dienstleistungen an, die für die Aufrechterhaltung der lokalen, nationalen und globalen Gesundheitssicherheit unerlässlich sind”, heißt es weiter. “COVID-19 hat die Notwendigkeit für HHS hervorgehoben, Cyber-Bedrohungen, die eine ernsthafte Herausforderung für die nationale Sicherheit, das wirtschaftliche Wohlergehen und die öffentliche Gesundheit und Sicherheit darstellen, kontinuierlich zu beachten.”

    Die Überprüfung bestätigte, dass das HHS solide mit Organisationen von Gesundheitsdienstleistern und anderen Partnern zusammenarbeitet, um Cybersecurity-Bemühungen zu unterstützen.

    Allein im letzten Jahr hat das HHS den Austausch von Bedrohungen auf der Grundlage von Erkenntnissen der Cybersecurity and Infrastructure Security Agency des Department of Homeland Security verstärkt.

    Das GAO stellte außerdem fest, dass das HHS sieben Cybersecurity-Kooperationsgruppen innerhalb des Sektors leitete oder an ihnen teilnahm, die sich auf Cyber-Response-Bemühungen konzentrierten, sowie Gesundheitseinrichtungen mit Cybersecurity-Anleitungen, Erkenntnissen und Ressourcen während der Pandemie-Reaktion versorgte.

    In den ersten Monaten der Pandemie, in denen es vermehrt zu COVID-19-bezogenen Cyberangriffen kam, veröffentlichte das HHS-Büro für Bürgerrechte beispielsweise eine Liste mit Datenschutz- und Sicherheitsressourcen, die Anbietern dabei helfen sollten, die Sicherheitsabwehr zu stärken und Verstöße gegen den Health Insurance Portability and Accountability Act zu verhindern.

    Die Warnungen des HHS wurden über das Health Sector Cybersecurity Coordination Center (HC3) versandt, das eingerichtet wurde, um den Informationsaustausch des Sektors im Bereich Cybersicherheit zu verbessern. Das HHS nutzt auch ein Threat Operations Center (HTOC), ein behördenübergreifendes Programm, das anschauliche und umsetzbare Cyberdaten liefert.

    Außerdem hält sich die Behörde konsequent an vier der sieben vom GAO identifizierten führenden Praktiken für die Zusammenarbeit.

    Das GAO stellte jedoch fest, dass es Schlüsselbereiche gibt, in denen das HHS Verbesserungen vornehmen könnte, insbesondere in Bezug auf den Austausch von verwertbaren Bedrohungsdaten und eine bessere Positionierung zur Unterstützung von Partnerschaften im Sektor. Die Partner des HHS im privaten Sektor sagten dem GAO, dass sie vom Erhalt von mehr umsetzbaren Bedrohungsinformationen profitieren könnten.

    Die Prüfung ergab, dass die Cybersicherheitsabteilungen innerhalb des HHS diese Art von Daten nicht routinemäßig austauschen, was zum Teil daran liegt, dass das HHS die notwendige Koordination nicht zu den Aufgaben der Abteilungen zählt.

    Das GAO betonte, dass einige Abteilungen keine verwertbaren Bedrohungsdaten erhalten, so dass dem Gesundheitssektor möglicherweise Informationen vorenthalten werden, die die Bemühungen um Cyber-Response und -Schutz potenziell stärken könnten.

    Eine Überprüfung der von diesen Abteilungen gesendeten Warnungen und Überprüfungen ergab, dass sich die HC3-Warnungen auf Strategien zur Eindämmung von Bedrohungen konzentrierten, um Anbieter bei der Eindämmung von Bedrohungen zu unterstützen, während sich die HTOC-Ressourcen mit Informationen zu Bedrohungen befassten, z. B. mit laufenden Bedrohungsvektoren.

    Nach Ansicht des GAO könnte die Branche davon profitieren, dass das HC3 mehr umsetzbare Bedrohungsdaten sendet, um Cyberangriffe gänzlich zu vermeiden. Allerdings nutzt das HC3 die vom HTOC gesammelten und gemeldeten Bedrohungsdaten nicht, da die Richtlinien des HHS dies nicht vorschreiben.

    “Solange das HHS die Koordination der beiden Einheiten nicht formalisiert, wird es weiterhin eine Gelegenheit verpassen, den Informationsaustausch mit Partnern aus dem Sektor zu stärken”, heißt es in dem Bericht. “Organisationen können fragmentierte, sich überschneidende und doppelte Dienste und Aktivitäten vermeiden, indem sie die Rollen und Verantwortlichkeiten innerhalb dieser Organisationen klar und deutlich definieren.”

    “Organisationen mit Zuständigkeiten im gleichen weiten Bereich der Leistungserbringung können die Umsetzung dieser Zuständigkeiten durch Koordination stärken”, heißt es weiter.

    Um diese Herausforderungen zu überwinden und die gemeinsame Nutzung von Bedrohungen im Gesundheitssektor zu verbessern, gab das GAO sieben Empfehlungen für das HHS, von denen das HHS sechs zustimmte.

    Das HHS sollte seinen Chief Information Security Officer anweisen, den Cybersecurity-Informationsaustausch zwischen dem HTOC und HC3 zu koordinieren, während sein Chief Information Officer damit beauftragt werden sollte, den Fortschritt interner Arbeitsgruppen und anderer Cybersecurity-Bemühungen zu überwachen, zu bewerten und darüber zu berichten.

    Der CISO sollte auch dafür zuständig sein, die Zusammenarbeit der HHS-Arbeitsgruppen zu steuern und sicherzustellen, dass die Führung sich an die Vereinbarungen zu den Cybersicherheitsbemühungen hält.

    Darüber hinaus sollte der HHS Assistant Secretary for Preparedness and Response (ASPR) für die Überwachung, Bewertung und Berichterstattung über die Cybersicherheits-Arbeitsgruppen der Behörde verantwortlich sein.

    Das GAO empfahl dem ASPR außerdem, die Aufsicht darüber zu führen, wie Arbeitsgruppen die Zusammenarbeit erleichtern, sowie schriftliche Vereinbarungen für die Zusammenarbeit innerhalb dieser Gruppen zu treffen, Rollen und Verantwortlichkeiten zu identifizieren, schriftliche Vereinbarungen zu überwachen und zu aktualisieren und sicherzustellen, dass Arbeitsgruppenvereinbarungen abgeschlossen werden.

    ASPR sollte auch für die Aktualisierung der Charta für die Joint Healthcare and Public Health Cybersecurity Working Group im Jahr 2021 verantwortlich sein und sicherstellen, dass die Führungsebene die aktualisierten Initiativen überprüft und genehmigt.

    “Das HHS erklärte, dass es eine Reihe von Maßnahmen plant [that] Dazu gehört die Einberufung einer Brainstorming-Sitzung, um geeignete Methoden zur Überwachung, Bewertung und Berichterstattung über den Fortschritt und die Leistung des HHS CISO Council zu prüfen”, heißt es in dem Bericht.

    Laut dem Bericht ist das HHS dabei, die Charta der Cloud Security Working Group zu aktualisieren, zu finalisieren und die Genehmigung der Leitung einzuholen, und plant, eine gemeinsame Anstrengung zwischen ASPR und OCIO zu starten, um die Charta für die Cybersecurity Working Group des Government Coordinating Council zu überarbeiten.

    ASPR und das OCIO führen bereits Umstrukturierungsmaßnahmen für die HHS Cybersecurity Working Group durch, um die operative Effizienz und die Zusammenarbeit innerhalb der Behörde zu verbessern.

    Insbesondere stimmte das HHS nicht mit den GAO-Empfehlungen zur Verbesserung der Koordination zwischen dem HC3 und dem HTOC überein, da Beamte sagten, dass es bereits eine enge Koordination zwischen den Gruppen gibt, die Interessengruppen und Vereinbarungen berücksichtigt.

    HHS-Beamte erklärten, dass sie nicht glauben, dass es doppelte Anstrengungen in Bezug auf den Austausch von Bedrohungen zwischen diesen Einheiten gibt. Und die HTOC-Partner teilen keine Bedrohungsinformationen außerhalb der Partnerschaft ohne ausdrückliche Genehmigung der Ursprungsbehörde, “aufgrund des hohen Maßes an Vertraulichkeit und Sensibilität, das die Daten der Bundesnachrichtendienste umgibt.”

    Das GAO verdoppelte seine Empfehlung und stellte fest, dass eine verstärkte Zusammenarbeit und definierte Definitionen von Verantwortlichkeiten die Koordination nachweislich unterstützen. Und die Behauptungen von HHS, dass die Sensibilität der Informationen den Austausch von Bedrohungen verhindere, werden durch die Bemühungen der Bundesbehörden, einschließlich CISA, des Verteidigungsministeriums und des Justizministeriums, nicht unterstützt.

    Ein verbesserter Austausch von Bedrohungsdaten würde nicht nur den Schutz vor Cyberangriffen innerhalb des privaten Sektors unterstützen, sondern auch eine bessere Abstimmung mit den Bemühungen des Bundes zum Austausch von Bedrohungsdaten ermöglichen.

    Emsisoft-Daten zeigen, dass allein im Jahr 2021 bisher 32 Gesundheitsdienstleister durch Ransomware gestört wurden. Der Sektor hat auch eine große Anzahl von Anbietervorfällen erlebt, die sich auf die Daten von Millionen von Patienten ausgewirkt haben.

    Da kleine und mittelgroße Gesundheitsdienstleister sowohl in Bezug auf die Sicherheitsführung als auch auf die technischen Mittel knapp an Ressourcen sind, sind freie Ressourcen für diese Einrichtungen entscheidend, um die allgemeine Cybersicherheitsabwehr zu stärken.

    Während das HHS an der Verbesserung des Bedrohungsaustauschs arbeitet, sollten Gesundheitsdienstleister die Erkenntnisse des Healthcare and Public Health Sector Coordinating Council prüfen. Der Leitfaden soll Einrichtungen bei der Entwicklung und Verwaltung von Programmen zum Informationsaustausch über Cyberbedrohungen unterstützen.

    Diese Programme unterstützen diejenigen, die nur über minimale Ressourcen verfügen, durch ein “gemeinsames Situationsbewusstsein”, das es Systemadministratoren ermöglicht, Bedrohungsinformationen von ähnlichen Einrichtungen zu nutzen, um Abwehrmaßnahmen zu schaffen, die ein wiederkehrendes Ereignis verhindern können.

    “Wenn eine Organisation an einem Programm zum Informationsaustausch teilnimmt, erfährt sie oft von Angriffen und Abhilfemaßnahmen, bevor sie selbst zum Ziel wird”, erklärten die Forscher damals. “Das Wissen darüber, welchen Angriffen andere Unternehmen ausgesetzt sind, gibt der Organisation die Möglichkeit, sich vorzubereiten.”

    “Eine Kette ist nur so stark wie ihr schwächstes Glied, und in der heutigen vernetzten Umgebung des Gesundheitswesens ist eine der besten Möglichkeiten, die Stärke der Kette durch Programme zum Informationsaustausch zu erhöhen”, fügten sie hinzu.

    Einige Teile dieses Artikels stammen aus:
    www.scmagazine.com