Das Wort ‚beispiellose‚ scheint zu haben gewesen verwendet auf einer täglichen basis während der COVID-19-Pandemie, vor allem, wenn es um die Auswirkungen des virus auf Patienten, Behandler, Ressourcen und Versorgung. Aber die Resonanz hat ebenso stark mit Krankenhaus-chief information security officers (CISOs), mit seiner macht, um entweder zu steif, zu beheben oder Ratsche bereits gestreckt nervöse Spannung, die als Daten-Sicherheit steht vor einer ganz neuen Ebene und die Ebene des cyber-Bedrohungen.
Weit ankommen, allein das virus war begleitet von einer Vielzahl von cyber-Angreifer mit einem Auge auf die Schwachstellen, die fast immer ausgesetzt sein in die Rüstung von Institutionen des Gesundheitswesens, während die Aufmerksamkeit und Energie abgezweigt wurden an die Front in der Patientenversorgung.
Bedrohungen, stammte aus allen Richtungen, wie die organisierte cyber-Kriminalität verletzt Krankenhaus Abwehrkräfte zu starten ransomware-Attacken. Einige Agenturen sogar identifiziert das hacken von coronavirus-Forschung-Labor-Systeme, die von rivalisierenden Staaten als eine Reale und wachsende Bedrohung. Zur gleichen Zeit, die schnelle Einführung von neuen Telemedizin-Systeme zu reduzieren, körperlichen Kontakt durch aktivieren der virtuelle patient-Kommunikation und Konsultationen war, eröffnet eine ganz neue front in der Gesundheit Datensicherheit Krieg.
Cyber-Attacken auf dem Vormarsch
Wenige Wochen nach der WHO-Deklaration einer Pandemie auf 11. März, die Organisation selbst war die Berichterstattung einer fünf-fachen Anstieg der cyber-Angriffe auf eigene Systeme. In Großbritannien, den C5 Capital alliance of cybersecurity-Unternehmen hatte bereits festgestellt, eine Steigerung von 150% bei Angriffen auf die Gesundheitssysteme zwischen Mitte Januar und März.
Eine Reihe von hochkarätigen Vorfälle, die auch Schlagzeilen gemacht. Der Zugriff auf die Systeme in Brno University Hospital in der Tschechischen Republik wurde gestört und coronavirus-test-Ergebnisse durch eine verzögerte ransomware Angriff auf das Krankenhaus‚s research lab. In London, Hammersmith Medicines Research fiel zum Opfer einer ähnlichen Attacke. Und in den Vereinigten Staaten, der US Health and Human Services-Abteilung getroffen wurde, bei einem DDoS-Angriff.
Mai, Agenturen, einschließlich der National Cyber Security Centre (NCSC) in Großbritannien und die Cyber-Sicherheit und-Infrastruktur Security Agency (KAG) in den USA waren die Beratung des medizinischen Personals, die Passwörter zu ändern und die Implementierung von zwei-Faktor-Authentifizierung in das Gesicht von einer Flut von Passwort-spraying-Angriffe.
Angesichts des Ausmaßes dieser Angriff – und den potenziellen Wert einer sich schnell ansammeln, und Ungeheuer wertvoll Volumen von Patienten-Daten – es wäre nicht überraschend gewesen für jede institution, sich zu finden, gefangen auf den hinteren Fuß.
„Krankenhaus-CIOs sind gezogen zwischen zwei Welten – security auf der einen Seite und der Zugänglichkeit auf der anderen,“ sagt Matt Lock, der technische Leiter UK bei der data security-Experte Varonis. “Medizinisches Personal und andere Mitarbeiter benötigen Zugriff auf Patientendaten für die Pflege und die Buchhaltung, aber diese Exposition kommt mit zusätzlichen Risiko. Sichere Netzwerke, lange Passwörter, und Mitarbeiter folgende IT-und security-best-practices sind gut in der Theorie. Dennoch sind Sie oft weit von der Realität entfernt, wenn ungepatchte und veraltete Systeme, shared logins, und sogar Passwörter kritzelte auf Haftnotizen lassen Informationen ausgesetzt und verwundbar.
Nur ein Fehler
“Der NHS oder einer organisation, könnte, haben strenge Sicherheits-Prozesse. Aber es dauert nur einen Mitarbeiter und nur ein klicken, die Tür zu öffnen, um einen cyber-Angriff. Cloud-collaboration-Plattformen eingeführt haben, zusätzliche Risiken, indem Mitarbeiter eine Vielzahl von neuen Möglichkeiten zum kopieren, speichern und freigeben von Daten mit nur etwa jeder. Viele Organisationen sind hinter auf Ihre cybersecurity-Checklisten an einem guten Tag, wenn es‚s business as usual. Fügen Sie eine Globale Pandemie auf die Mischung, und es‚s ein Rezept für eine Katastrophe.“
In der gestreckten, gestresst und abgelenkt Umfeld eines Krankenhauses auf dem Höhepunkt der Pandemie, die Möglichkeit auch nur eines einzelnen unter Ihre Augen aus den Daten Sicherheits-ball und mit einem short-cut auf Zugang zu Informationen könnte genau das sein, das schwächste Glied der cyber-Angreifer sucht. Und weitere, hochentwickelte Bedrohungen don‚t melden sich mit einem grand-stehend Lösegeld verlangen. Sie schleichen in, sich herzustellen und leise arbeiten Sie Ihren Weg rund um Krankenhaus-Systeme, Anwendungen und Geräte, die Ausnutzung von Schwächen und das sammeln von Informationen, bis Sie in der Lage sind, maximalen Schaden zu verursachen.
Telemedizin stress
„Mit der Telemedizin haben wir viele weitere Geräte und verbindungen beteiligt, die mit Gesundheitswesen – jeder ist eine neue Art“, sagt Patricia Carreiro, ein Datenschutz-und cybersecurity-litigation-attorney at Carlton Felder, eine nationale Anwaltskanzlei in den USA, wo das Amt für Bürgerrechte (OCR) hat sich vorübergehend entspannt einige Anforderungen an die Sicherheit. Sie sagt, dies bedeutet, dass wertvolle Daten zur Gesundheitsversorgung wird nun übertragen über weniger sichere Technologie.
„Daten zur Gesundheitsversorgung trägt einen außerordentlich hohen Wert auf dem Schwarzmarkt, in der Regel einen Wert von 10 bis 40 mal mehr als eine Kreditkartennummer“, fügt Sie hinzu. “Die übertragung dieser wertvollen Informationen über unverschlüsselte Technologien, wie nun vorübergehend erlaubt, schafft eine situation reif für Hacker. Hacker können einfach fügen sich in die ungesicherte Kommunikation, nehmen Sie die Informationen, die Sie sich wünschen, und gehen Sie weiter zu verkaufen, die Informationen zum ausführen verschiedener Arten von healthcare Betrug oder Identitätsdiebstahl.“
Allgemein sagt Carreiro, Hacker sind immer mehr auf Dienstleister im Gesundheitswesen suchen, nutzen ungepatchte Systeme oder ähnliche Schwachstellen.
„Vielleicht eine der größten Schwachstellen, verursacht durch COVID ist ein besonders abgelenkt/gestresst Belegschaft, die zunehmend wahrscheinlich fallen für phishing-E-Mails“, sagt Sie. “Ein falscher Klick, und ein ganzes Krankenhaus-system kommen konnte, kreischen, zu stoppen. Und die zunehmende Notwendigkeit für Technologie und medizinischen Leistungen gibt nur Hacker mehr nutzen zu extrahieren saftige Lösegeld von Krankenhäusern suchen, um wieder Zugriff auf Ihre Daten und Systeme.“
Bei Varonis, Matt Lock, sagt die Bandbreite der Daten, die in Krankenhaus-Systeme macht Sie prime Ziele für ein ebenso breites Spektrum von Bedrohungen, von gut finanzierten Angreifer suchen für medizinische Daten zu stehlen, um Hacker fordern Lösegeld Zahlungen zu entschlüsseln Patientendaten.
Die Natur der neuen Anwendungen – tracing-Systeme, zum Beispiel – das könnte link in Gesundheitssystemen ist auch hinzufügen, um den Wert der Daten zwangsläufig die Anhebung Datenschutz-Probleme.
„COVID-19 Verwandte Informationen ist in der Regel die persönliche Gesundheit Informationen“, sagt Mike O‚Malley, Vice President carrier services bei Sicherheits-und Netzwerk-Spezialist Radware. “Tägliche Temperatur -, Grippe-Symptome, die zugrunde liegenden gesundheitlichen Bedingungen (Herzkrankheiten oder diabetes zum Beispiel), Versicherung-Anbieter, wenn zutreffend, sowie GPS und tägliche Bewegung Daten über die Subjekte und wo Sie getestet werden, jeden Tag, die Sie interagieren mit, wer diese Menschen mit Ihnen interagieren und so weiter. Persönliche Daten wie diese ist sehr wertvoll auf dem dark web sowohl für Identitätsdiebstahl sowie Masse der illegalen überwachung.“
Nach Sperre für das Krankenhaus CISO beauftragt mit der Führung am Anfang aller dieser, Brandbekämpfung bedeutet, dass proaktive management tendenziell in den hintergrund zu Rücken – wie Sicherheits-audits. In Großbritannien, NHSX wurde sogar nach hinten verschoben die Frist für die NHS-Organisationen, um die vollständige Sicherheit Ihrer Daten & Schutz Toolkit (DSPT) Einreichungen bis Ende September.
Während dies hält CISOs frei, um Fokus auf der breiteren COVID-19 response -, verzögerte updates öffnen könnte, bis neue Schwachstellen im Krankenhaus zu einreden an – und ablegen, rechtliche Probleme für die nicht allzu Ferne Zukunft. Patricia Carreiro, sagt der Auswirkungen der in diesem Herbst in zwei Arten: jene, die im Zusammenhang zu einem Rechtsstreit, und diejenigen, die mehr funktionsfähig.
Operative Implikationen beziehen sich auf Richtlinien, Mitteilungen, Zustimmungen und Verträge. Carreiro sagt, dass Gesundheitsdienstleister sollten prüfen, ob die Veränderungen, die Sie schnell gemacht, um den Anforderungen der COVID sind, spiegelt sich auch in den Datenschutz-Richtlinien und Hinweise, dass Sie die Bereitstellung aller erforderlichen Angaben, und dass Sie die Sicherung aller erforderlichen Genehmigungen.
„Zusätzlich sollten Sie überprüfen, dass alle neuen Verträge, die Sie schnell eingegeben Erfüllung Ihrer gesetzlichen Pflichten und der plan, wie diese Verträge können geändert werden müssen, nachdem COVID“, sagt Sie.
Diese variieren in verschiedenen Ländern, aber in den USA, während healthcare-Anbieter kann derzeit nicht brauchen, ein business associate agreement mit Ihrer telehealth-service-provider, Sie fast sicher einmal COVID geht. Angesichts der steigenden Zahl von Angriffen auf Dienstleister im Gesundheitswesen, eine unverzügliche Aktualisierung und Wiederholung der organisation‚s incident-response-plan ist auch zu empfehlen.
Rechtliche sting
Es gibt auch die Gefahr von Rechtsstreitigkeiten nach einer Verletzung. Global healthcare Datenschutzverletzungen Kosten die Industrie jährlich Milliarden. Wieder in den USA, Carreiro erklärt, auch über Reputations-Schaden und ENTGANGENEM Geschäft, nach einer Verletzung, Krankenhäuser und Dienstleister im Gesundheitswesen Gesicht Berichtspflichten unter staatlichen und bundesstaatlichen Gesetze und teure Rechtsstreitigkeiten, die aus Aufsichtsbehörden, der vertraglichen Beziehungen und beeinflusst die Individuen.
„Während einige fälschlicherweise nehmen Komfort in HIPAA nicht mit einem eigenen Klagerecht, Patienten, deren Daten kompromittiert ist, kann sue Anbieter unter eine Reihe von Theorien, vor allem, Fahrlässigkeit, unlauterer Handelspraktiken, und, in einigen Fällen, Betrug,“ warnt Sie. „Während OCR möglicherweise nicht strafrechtlich zu verfolgen healthcare-Anbieter für über einige weniger sichere Technologien, [es] nicht gegeben hat Anbietern einen pass auf alle HIPAA-Verpflichtungen, und nichts hält andere (wie die Konsumenten) von verklagen, wenn Ihre Informationen ist compromized.“
In anderen Worten, für Krankenhaus CISOs überall, Datensicherheit könnte noch beweisen, ein scharfes stechen in der sehr lange Schwanz der COVID-19-Pandemie, sobald die Abrechnung beginnt.
Dieser Artikel wurde zuerst veröffentlicht in der neuesten Ausgabe von HIMSS Insights, COVID-19 und darüber Hinaus. Healthcare-IT-News und HIMSS Insights sind HIMSS Medien.