Starkes Sicherheitsbewusstsein bei medizinischen Geräten wird durch Inventar und Wissenslücken behindert

  • Der Radiology and Imaging Sciences Technologist Rob Evers (links) spricht mit einem Patienten vor einem Scan in einem PET/MRI-Gerät. MRTs gehören zu den Technologien, um die viele Anbieter kämpfen. (Klinisches Zentrum, National Institutes of Health)

    Gesundheitsdienstleister sind sich zunehmend der Notwendigkeit bewusst, die riesige Landschaft an medizinischen Geräten zu sichern. Der Sektor hat jedoch noch nicht die notwendigen Bestands- und Sicherheitsmaßnahmen getroffen, um diese kritische Bedrohung abzuwehren.

    Tatsächlich zeigt der neueste Armis-Bericht, dass 63 % der Organisationen im Gesundheitswesen in den letzten zwei Jahren von einem Sicherheitsvorfall betroffen waren, der durch nicht verwaltete Geräte oder IoT verursacht wurde. Und 26 % dieser Einrichtungen verfügen über keine Richtlinien, die sowohl Arbeits- als auch private Geräte schützen würden.

    Armis-Forscher befragten im Mai mehr als 2.000 Fachleute, was zeigte, dass die meisten Anwender großen Cybersecurity-Angriffen gegen kritische Infrastrukturen und betriebliche Technologieeinheiten, wie dem Angriff auf Colonial Pipeline Anfang Mai, keine Aufmerksamkeit schenken. In Anbetracht der 65.000 Ransomware-Angriffe in den USA im letzten Jahr und der kontinuierlichen Zunahme von Cyber-Ereignissen ist dies eine große Lücke im Sicherheitsbewusstsein.

    Wie Sumit Sehgal, Strategic Product Director bei Armis, feststellte, könnte das Gesundheitswesen die nächste Angriffsfläche für Angreifer sein, zumal 60 % der Mitarbeiter im Gesundheitswesen angaben, dass sie nicht glauben, dass ihre persönlichen Geräte eine Sicherheitsbedrohung für ihre Organisation darstellen.

    Die aktuelle Landschaft der medizinischen Geräte

    Während des Verlaufs der Pandemie haben die Anbieter im Gesundheitswesen schnell neue Technologien und Prozesse eingeführt, die darauf abzielen, die Patientenversorgung unter schwierigen Umständen zu verbessern und zu unterstützen.

    “COVID-19 drängte die Gesundheitsversorgung dazu, proaktiv zu sein. Sie nahmen Governance-Prozesse, die zuvor acht Jahre dauern konnten, und implementierten technische Innovationen in nur acht Monaten”, sagte Sehgal. “Die Sicherheit ist besser, weil fast jeder verstanden hat, dass er wissen muss, wo seine Assets sind und wie er sie sichern kann.”

    “Aber es ist immer noch nicht einfach zu verstehen, wo diese Assets sind, da viele historische Prozesse verwenden, die von der Unternehmenskultur nicht berücksichtigt werden”, fuhr er fort. “Technisch gesehen gibt es keine Ausrede: Man sollte wissen, was man hat. Und es gibt viele Tools, die das leisten können. Aber selbst fortschrittliche Tools können Ihnen nicht sagen, wem es gehört – oder was es für die Organisation in Bezug auf das Risiko bedeutet.”

    Im Jahr 2019 skizzierte das College of Healthcare Information Management Executives (CHIME) die größten Sicherheitslücken in der Gesundheits-IT, mit denen Anbieterorganisationen konfrontiert sind, als Antwort auf eine Anfrage von Senator Mark Warner, D-Virginia, wie die allgemeine Cybersicherheit im Gesundheitswesen verbessert werden kann.

    Die Last, die Privatsphäre der Patienten zu schützen, liegt allein auf den Schultern der Anbieter. Oft werden sie durch begrenzte Ressourcen und Personalprobleme herausgefordert. Vernetzte medizinische Geräte und IoT stellen sogar noch größere Hürden dar, die durch Probleme mit dem Patch-Management und der Dateninventarisierung verursacht werden.

    “Ein Echtzeit-Patch-Informationskreislauf ist fast unmöglich”, betonten CHIME-Mitglieder damals. “Sie haben zwar Informationen über einen ‘Zeitpunkt’, aber die meisten werden sich einer Schwachstelle und damit eines Patches erst bewusst, nachdem ein Schwachstellenscan abgeschlossen ist.”

    “In einigen Organisationen, die rund um die Uhr Scans durchführen, kann ein Bedarf für einen Patch frühestens nach 48 Stunden bestehen”, fügten sie hinzu. “Die CIOs und CISOs wiesen darauf hin, dass der Echtzeit-Patch-Status zwar für bestimmte Geräte bekannt sein mag, für viele aber nicht existiert.”

    Hinzu kommt, dass es möglicherweise nicht möglich ist, alle Schwachstellen zu beseitigen, selbst mit zusätzlichen Investitionen in die Cybersicherheit.

    Die Dateninventarisierung birgt ihre eigenen Herausforderungen: Die meisten sind nicht so umfassend wie nötig und oft aus Gründen, die außerhalb der Kontrolle des Anbieters liegen. CHIME hat auch festgestellt, dass viele Sicherheitsverantwortliche berichtet haben, dass sie routinemäßig Geräte oder Apps finden, die zuvor nicht im Netzwerk des Anbieters betrieben wurden.

    Sicherheitslücken bei medizinischen Geräten werden auch durch einen Mangel an rationalisierten Prozessen für die Beschaffung von Geräten, IT und Systemen im gesamten Unternehmen verursacht. Ein CHIME-KLAS-Bericht aus dem Jahr 2018 stellte fest, dass die durchschnittliche Anzahl der angeschlossenen medizinischen Geräte in der Gesundheitsumgebung etwa 10.000 beträgt.

    Führungskräfte von Sicherheitsunternehmen haben wiederholt berichtet, dass bei Bewertungen von Gesundheitsumgebungen die Anbieter routinemäßig gefragt werden, wie viele Geräte im Netzwerk betrieben werden. Die Schätzungen sind in der Regel weitaus geringer als die tatsächliche Anzahl, nämlich um Tausende von Geräten.

    Tatsächlich kann selbst eine kleine Krankenhausumgebung mehr als 150 Gerätefamilien beherbergen, die insgesamt Tausende von medizinischen Geräten umfassen können.

    Obwohl seit dem CHIME-Bericht zwei Jahre vergangen sind, bleiben viele der Herausforderungen, denen sich Gesundheitseinrichtungen gegenübersehen, dieselben. Ein Masergy-Bericht aus dem Jahr 2021, der von Fortinet gesponsert wurde, zeigt, dass die Sicherheit der Cloud und der angeschlossenen medizinischen Geräte die größten IT-Herausforderungen sind, denen sich Gesundheitseinrichtungen in der aktuellen Situation stellen müssen.

    Für Sehgal bestätigen die anhaltende Bedrohungslandschaft und die fortbestehenden Sicherheitslücken die Notwendigkeit für alle Gesundheitsdienstleister, “einen Weg der Selbstbeobachtung einzuschlagen.”

    “Mit der Verbreitung der Telemedizin im letzten Jahr hat sich das Versorgungsmodell verändert”, sagte er. “Viele Anbieter sind nicht so besorgt über Ziegel und Mörtel, um Pflege zu bieten”, sagte Sehgal. “Die Bedeutung von Anlagen ändert sich.”

    [Blocked Image: https://www.scmagazine.com/wp-content/uploads/2021/07/1280px-Doctor_attending_by_teleconsultation-e1625164230434-1024x614.jpg]Ein Arzt kümmert sich um einen Patienten während einer Telekonsultation. (Ceibos/CC BY-SA 4.0/https://creativecommons.org/licenses/by-sa/4.0/deed.en)

    Die Wissenslücke angehen

    Die Ergebnisse des Armis-Berichts zeigen mehrere Bereiche, die den Stand des IoT und das konzeptionelle Verständnis von Ökosystemen für medizinische Geräte widerspiegeln. Sehgal erklärte, dass sich die meisten Einrichtungen bewusst sind, dass die Sicherheit medizinischer Geräte ein kritischer Bereich ist, aber der operative Übergang ist noch nicht erfolgt.

    Es gibt mehrere Gründe für die verzögerte Umstellung, einschließlich einer Wissenslücke darüber, wie man eine Strategie für medizinische Geräte, IoT oder Biotechnologie umsetzt und in einer Sicherheitsumgebung implementiert.

    “Es hat sich noch nicht manifestiert, auch aufgrund von Ressourcenproblemen und Alarmmüdigkeit”, sagte Sehgal. “Es gibt eine riesige Menge an Daten, die auf diese Teams zukommen. Sie sind mit der Umstellung auf IT vertraut, aber nicht mit vernetztem IoT, wie Infusionspumpen. Viele fühlen sich nicht wohl dabei, Maßnahmen zu ergreifen, da es eine Überschneidung der Rollen und Verantwortlichkeiten gibt.”

    Ein weiterer Faktor ist die Ausbildung, sowohl aus regulatorischer als auch aus Compliance-Perspektive. Sehgal merkte an, dass es auch ein Ungleichgewicht in Bezug auf das Verständnis des Risikos gibt, das Geräte für das Unternehmen selbst darstellen, sowie für die allgemeine Patientensicherheit und klinische Risiken.

    IT- oder Sicherheitsteams verstehen nicht immer die Nuancen der Sicherheit und Kommunikation dieser Geräte. Er erklärte, dass Unternehmen die Sicherheit medizinischer Geräte häufig als ein Problem betrachten, das zwar existiert – aber in erster Linie bei anderen Anbietern, und dass es weniger wahrscheinlich ist, dass es in ihrer Umgebung auftritt.

    Als ehemaliger Chief Information Security Officer des Boston Medical Center hat Sehgal eine Verschiebung des Fokus von Krankenhäusern auf Sicherheit beobachtet. Früher war Datendiebstahl die Hauptsorge. Aber die Bedrohungslandschaft der letzten Jahre hat die Anbieter gezwungen, die Auswirkungen von Sicherheitsvorfällen auf den Geschäftsbetrieb und die Patientenversorgung zu berücksichtigen.

    Mit dem Aufkommen von Sicherheitspositionen in der Biotechnologie gibt es einen gleichzeitigen Lernprozess, wie man Sicherheit schafft, um den Geschäftsbetrieb zu ermöglichen.

    Das Reverse-Engineering von Malware erfordert beispielsweise ein völlig anderes Skillset als die Nutzung von Sicherheit, um Geschäftsabläufe zu ermöglichen, erklärte er. Ein Sicherheits- oder Biotech-Team konzentriert sich vielleicht auf die Sicherung von Energiepumpen, versäumt es aber, die Sicherheit des Aufzugssystems zu berücksichtigen.

    “Wenn das Aufzugssystem ausfällt, was passiert dann? Sie können die Patienten nicht in großem Umfang manuell bewegen. Und hier kommt die Lernträgheit ins Spiel. Viele Gesundheitseinrichtungen schaffen leicht neue Initiativen, um die Bettenkapazität zu erhöhen, das Wassermanagement zu verbessern und Gebäudeprozesse zu automatisieren, versäumen es aber, die wichtigsten Sicherheitsanforderungen anzugehen”, sagt Sehgal.

    “Das Ziel ist es, die Patientenreise zu sichern. Aber medizinische Geräte sind nicht das einzige Element, um das sich diese Teams kümmern müssen”, fügte er hinzu. “Viele wissen einfach nicht, wie sie die richtigen Prioritäten setzen können. Es geht darum, die Risikotoleranz aus einer Unternehmensperspektive zu verstehen, die Kosten und klinische Sicherheit einschließt und gleichzeitig sicherstellt, dass Ärzte arbeiten oder Dienstleistungen erbringen können, wenn Daten beeinträchtigt werden.”

    Das Bewusstsein und die Sicherheit werden bei vielen Einrichtungen des Gesundheitswesens besser, aber als Ganzes ist die Branche noch nicht so weit. Sehgal merkte an, dass das Gesundheitswesen dazu übergegangen ist, Prozesse zu automatisieren, die früher manuell durchgeführt wurden, aber viele entscheidende Elemente werden immer noch mit veralteten und oft ineffektiven Methoden angegangen.

    Das erste, was Sehgal Organisationen, insbesondere kleineren Krankenhäusern und Intensivstationen, rät, ist, dass sie das Geräteproblem nicht alleine angehen müssen. Diese Einrichtungen sollten bestehende, vertrauensvolle Partnerschaften mit IT-Providern oder Serviceanbietern nutzen, die bereits mit der Organisation unter Vertrag stehen, um Einblicke in Möglichkeiten zur Behebung von Sicherheitslücken zu erhalten.

    “Das Gesundheitswesen ist sehr gut darin, auf unvorhergesehene Notfälle zu reagieren, aber furchtbar darin, geplante Situationen umzusetzen.”

    Armis Strategic Product Director Sumit Sehgal

    Die Beauftragung eines Managed Security Service Providers (MSSP) kann auch dabei helfen, Wissenslücken zu schließen, sowie Ressourcen für Schwachstellen-Scans, Bestandsaufnahmen und andere wertvolle Sicherheitsanforderungen bereitzustellen.

    Die größten Bedrohungen des Gesundheitswesens bekämpfen

    Im Gesundheitswesen erhalten Ransomware und Datenschutzverletzungen häufig die größte Aufmerksamkeit in den Medien. Dies sind jedoch nur Symptome für die Sicherheitslage im Gesundheitswesen, nicht die Ursache. Die Ursache sind oft Systemschwachstellen oder Insider, z. B. das Klicken auf einen bösartigen Link in einer Phishing-E-Mail oder das Ausnutzen einer fehlerhaften Anwendung.

    “Ransomware ist der Zustand, der eintritt, wenn man eine schlechte Cyber-Hygiene hat”, betonte Sehgal. “Ransomware ist nicht das Problem: Sie ist eine Folge des Problems.”

    Um an die Kernprobleme heranzukommen, müssen die Sicherheitsteams im Gesundheitswesen ihre Bedrohungsmodelle verstehen, erklärte er. Jedes Sicherheitsteam geht den Prozess auf irgendeine Weise an: Bewertung des Risikoprozesses, Herausfinden von Funktionen und Testen von Prozessen und Kommunikation, um festzustellen, wie das Unternehmen bei einer Kompromittierung beeinträchtigt wird.

    Für Sehgal wird ein realistischerer Bedrohungsmodellierungsprozess aus einer Sicherheitsperspektive die wahren Auswirkungen eines Ereignisses berücksichtigen, um ein Auswirkungsszenario zu erstellen. Bei korrekter Durchführung und unter Einbeziehung von Baseline-Verhaltensweisen kann sich ein Sicherheitsteam ein vollständiges Bild von der Umgebung, ihren Prozessen und den Auswirkungen potenzieller Serviceunterbrechungen machen.

    Damit das Gesundheitswesen bei der Cyberhygiene und der allgemeinen Gerätesicherheit vorankommt, müssen sich die Sicherheitsteams zunächst mit einer genauen Bedrohungsmodellierung befassen.

    Der zweite Schwerpunktbereich ist ein besseres Verständnis der klinischen Arbeitsabläufe, einschließlich der Inferenzdiagramme und der Kommunikationswege und Funktionen der Systeme. Sehgal merkte an, dass dieser Bereich eine der größten Schwächen der Branche ist: Viele kennen die normalen Datenpfade innerhalb der Gesundheitsumgebung nicht.

    “Es wird einfach nicht angesprochen”, bemerkte er. “Wenn also zwei Systeme normalerweise zwei oder drei Mal innerhalb einer Stunde miteinander sprechen und es plötzlich 800 Instanzen innerhalb einer Stunde gibt, muss ein Sicherheitsteam verstehen, was während dieses Ereignisses passiert.”

    “Das Geräte-Ökosystem, das diese Teams schützen müssen, ist wichtig. Aber was ist normal für die Kommunikation zwischen den Geräten? Es muss zuerst eine Basisumgebung geben und wie sie funktioniert, um zu vergleichen, wenn Spikes auftreten oder andere Nuancen der Veränderung”, fügte Sehgal hinzu.

    Technologie kann den Prozess unterstützen, ist aber am effektivsten, wenn sich das Team zunächst damit beschäftigt, was in Bezug auf die klinischen Arbeitsabläufe normal ist.

    Der letzte wichtige Schwerpunktbereich ist die Entwicklung und Implementierung eines Reaktionsprozesses, der auf guten Bedrohungsinformationen des internen Sicherheitsteams oder eines externen Cybersecurity-Partners aufbaut. Es gibt jedoch einen großen Unterschied zwischen Reaktion und Wiederherstellung – und was das während eines Sicherheitsvorfalls bedeutet.

    Die Fähigkeit, schnell auf einen Vorfall zu reagieren, kann langwierige Ausfälle oder weitere Schäden am Netzwerk vereiteln.

    Um dies zu erreichen, müssen die Sicherheitsteams die Autorität und Unterstützung haben, um schnell auf anormale Aktivitäten zu reagieren. Sehgal betonte, dass dies von der Vorstandsebene kommen muss, wobei die Führung das Sicherheitsteam ermächtigt, Sicherheitsereignisse in die Hand zu nehmen.

    Ein Blick in die Zukunft

    Was die Sicherheit angeht, gibt es zwei Dinge, die die Branche daran hindern, die Dinge voranzutreiben. Erstens gibt es die Denkweise, die behauptet, dass es nicht meine Angelegenheit ist, da es dem Unternehmen oder den Anbietern in der Nähe nicht passiert.

    Was die Auswirkungen von Kompromittierungen medizinischer Geräte auf die Patientensicherheit angeht, so sagte Sehgal, dass es sicherlich Fälle von Exploits gibt, die in freier Wildbahn auftreten. Aber durch die isolierten Abteilungen gibt es erhebliche Probleme bei der genauen Berichterstattung zwischen Biotech- und Sicherheitsteams.

    Außerdem ist die Mehrheit der US-Gesundheitsdienstleister von Gewinnspannen und Kosten getrieben.

    “Das Gesundheitswesen ist sehr gut darin, auf unvorhergesehene Notfälle zu reagieren, aber furchtbar darin, geplante Situationen umzusetzen, wie man bei der COVID-19-Reaktion im Vergleich zu Plänen für Fusionen und Übernahmen gesehen hat”, so Sehgal.

    “So wie Gesundheitssysteme strukturiert sind, mit vielen Anbietern, die ihre Organisation versichern, erweist es sich als Herausforderung, Verhaltensweisen zu ändern”, fuhr er fort. “Wenn ich ein CISO bin und mit einem Cyber-Risiko zum Vorstand komme, das 60.000 Dollar kosten wird, aber das Unternehmen sich für ein paar Millionen selbst versichern kann, kann es einfach die Risikokosten absorbieren, anstatt das Sicherheitsproblem anzugehen.”

    Sehgal sieht eine aktuelle Verschiebung dieser Prozesse, da die Kosten für Angriffe steigen. So werden beispielsweise der Ransomware-Angriff der irischen Gesundheitsbehörde Health Service Executive und die anhaltenden siebenwöchigen Ausfälle das Gesundheitssystem des Landes mindestens 600 Millionen US-Dollar kosten.

    Diese massiven Ausfälle und Auswirkungen auf die Patientenversorgung sollten als Weckruf für andere Anbieter dienen. Einrichtungen, die von Cyberattacken betroffen sind, verlieren Geld, da sie den Betrieb und potenzielle Einnahmen stören, betonte Sehgal.

    Außerdem geht es bei den Auswirkungen moderner Angriffe um viel mehr als nur um Datenverlust und materielle Schäden. Es geht vor allem darum, ob sich ein Unternehmen in kurzer Zeit wieder erholen kann.

    Die meisten Unternehmen, einschließlich derer, die Opfer eines Angriffs geworden sind, verfügen über Backup-Pläne und -Prozesse, die routinemäßig getestet werden, erklärt Sehgal. Diese Tests gehen jedoch nicht weit genug, um zu beurteilen, was bei einem Extremereignis wie Ransomware passiert, bei dem sekundäre Rechenzentren ausfallen können und Papierdokumentationsprozesse nicht weit genug gehen, um lange Ausfallzeiten zu berücksichtigen.

    Um die Sicherheit medizinischer Geräte und des gesamten Gesundheitswesens besser in den Griff zu bekommen, sollten Unternehmen die detaillierten freiwilligen Richtlinien prüfen, die zuvor vom Department of Health and Human Services bereitgestellt wurden. Die detaillierten Einblicke sind auf die Größe und Bedürfnisse der Organisation zugeschnitten.

    “Man kann den Ozean nicht zum Kochen bringen. Schauen Sie sich über mehrere Monate hinweg Ihren IT-Strategieplan an und wo Sie als Organisation die Betriebsmargen sehen. Konzentrieren Sie sich auf die Schlüsselbereiche, die für die Pflege benötigt werden, um den Umfang zu reduzieren”, so Sehgal. “So können Sie den Zweck des Aufbaus einer Sicherheitsarchitektur verstehen und die Aufgaben werden überschaubarer.”

    Einige Teile dieses Artikels stammen aus:
    www.scmagazine.com