Erfahren Sie mehr über den Ansatz von Clinisys zur Cybersicherheit
Wenn eine Gesundheitseinrichtung auf der Suche nach einem neuen Laborinformationssystem (LIS) ist, besteht eine wichtige Aufgabe der IT-Abteilung der Einrichtung darin, die Risiken im Bereich der Cybersicherheit zu prüfen. Cybersicherheit ist heute DAS Thema, das Chief Information Officers (CIOs) und ihre Teams umtreibt.
Unsere Experten, Shay Hassidim (Chief Technology Officer) und Jacques Le Roux (CIO/CISO) sprachen über die Cybersicherheitsstrategie von Clinisys und die diesbezüglichen Pläne, die für zukünftige Cloud- und SaaS-Systeme entwickelt wurden.
Eine Umgebung voller Bedrohungen
Was sind Ihrer Meinung nach die grössten Bedenken von Gesundheitseinrichtungen in Bezug auf die Cybersicherheit?
Jacques Le Roux: Das Gesundheitswesen ist zu einem äusserst verlockenden Ziel für Cyberkriminelle geworden: Risiken für die Cybersicherheit werden von Gesundheitseinrichtungen inzwischen sehr ernst genommen. Cybersicherheit und Strategien zur Reduzierung der Gefahr von Eindringlingen sind Themen, die CIOs und ihre Teams auf Trab halten. Und ihre Sorge ist berechtigt, denn aktuelle Artikel bestätigen, dass 60% aller Cyberangriffe auf das Gesundheitswesen abzielen.
Shay Hassidim: Das ist nicht nur in den USA der Fall, sondern auch anderswo, und wir wissen, dass eine Krankenakte im Dark Web in manchen Fällen mehr wert ist als ein Bankaccount. Gleichzeitig sind die Fähigkeiten und technischen Ressourcen, die Sie benötigen, um Hacker abzuwehren, sehr kostspielig. Sie tendieren dazu, ins Silicon Valley und an die Wall Street zu gehen.
Jacques Le Roux: Darüber hinaus sehen wir in vielen Einrichtungen des Gesundheitswesens, dass es immer noch veraltete IT-Tools gibt, die einen erheblichen Teil der IT-Infrastruktur ausmachen können. IT-Systeme, die nur schwer zu erneuern sind (Kosten, Infrastruktur, Ressourcen), riesige Mengen an Patientendaten, ein grosses Netzwerk miteinander verbundener medizinischer Geräte – all dies wirkt sich stark auf die Sicherheit der Einrichtung aus.
Dies gilt insbesondere in einem internationalen Kontext, in dem die Tendenz besteht, immer mehr Gesundheitsdaten zu integrieren, sie immer offener, teilbarer und zugänglicher zu machen. Aus diesem Grund haben viele Länder regulatorische Massnahmen ergriffen, um Gesundheitsdaten und -einrichtungen vor Cyberangriffen zu schützen.
Einhaltung von Vorschriften
Was erwarten Ihrer Meinung nach die CIOs von HealthTech?
Shay: Das Erste, wonach sie suchen, ist eine Lösung mit einer anerkannten Zertifizierung.
Jacques: In Europa und Grossbritannien sind es die Zertifizierungen Data Security and Protection Toolkit (DSPT), Cyber Essentials Plus und ISO27001, die zur Bewertung der Anbieter herangezogen werden. Das ist übrigens auch die „Cybersicherheitsstrategie“, die vom NHS England empfohlen wurde: die Lieferkette sichern und gewährleisten, dass die Lieferanten die Cybersicherheitsstandards einhalten.
Shay: In den USA liegt der Schwerpunkt immer noch auf der Erfüllung der Anforderungen der Standards HIPAA und HITECH, auch wenn ich sagen würde, dass diese Standards allmählich veraltet sind. Die Anbieter wenden sich zunehmend neuen Standards wie HITRUST zu, die viel stärker auf die Cloud ausgerichtet, zugleich aber auch umfassender sind.
Jacques: Das zeigt, dass sich der regulatorische Rahmen ständig weiterentwickelt. In Europa wird die Richtlinie über Netz- und Informationssicherheit (NIS2) noch in diesem Jahr in Kraft treten, und die britische Regierung hat bereits Pläne zur Aktualisierung der NIS-Vorschriften von 2018 angekündigt. Wir bei Clinisys entwickeln uns weiter und schreiten mit diesen Änderungen voran, während wir gleichzeitig ständig daran arbeiten, die Anforderungen der Vorschriften der Länder, in denen wir tätig sind, zu erfüllen.
Technische Konformität
Besteht weiterer Handlungsbedarf?
Shay: Es geht nicht nur um die Einhaltung gesetzlicher Vorschriften. CIOs sowie technische und Sicherheitsabteilungen müssen Partner mit hervorragenden Sicherheitsverfahren finden. Die Modelle von Clinisys basieren auf dem von Northrup Grumman entwickelten FAN-Modell und dem NIST CSF.
Dieses Modell betrachtet die Cybersicherheit als Kontrollschichten, die sich von kritischen Assets über Daten, Anwendungen, Endgeräte und Netzwerke bis hin zu öffentlichen oder privaten Cloud-Perimetern erstrecken, die alle durch robuste Verfahren und Qualitätsüberwachung kontrolliert werden. Ausserdem haben wir uns für den „Zero Trust“-Ansatz entschieden.
Dieser Ansatz geht davon aus, dass Organisationen einem Nutzer, einem Gerät oder einem Netzwerk nicht systematisch vertrauen sollten. Der Schwerpunkt liegt auf einer starken Authentifizierung, strengen Berechtigungen und Kontrollen. Unsere Kunden werden dies in der Praxis sehen, wenn ihre Teams den auf Rollen bzw. Benutzerrechten basierenden Zugriff verwenden: Sie werden feststellen, dass sie nur auf die Daten zugreifen können, die sie für ihre Arbeit benötigen, und dass sie nicht von einem Netzwerksegment zum anderen wechseln können. Das Ziel? Den Schaden zu begrenzen, den ein Hacker anrichten könnte, wenn er sich Zugang zum System verschafft.
Wir verwenden auch eine “Echtzeit”-Überwachung, die uns ein besseres Verständnis dafür gibt, was vor sich geht, und die Reaktionszeit erheblich verkürzt.
“Shift left” und Risikomanagement “Outside of the walls”
Ist es möglich, Cybersicherheit von Anfang an zu integrieren?
Jacques: Ja, und Clinisys verfolgt bei der Entwicklung das Prinzip des “Shift Left”. Dieses Prinzip verlangt, Sicherheitsmassnahmen so früh wie möglich in den Entwicklungsprozess zu integrieren.
Wenn die Sicherheit bereits bei der Erstellung des Codes Priorität hat und ein integraler Bestandteil des Designs ist, können Probleme zu einem früheren Zeitpunkt im Prozess behoben werden und die Anwendung ist zwangsläufig sicherer.
Shay: Man muss auch an Bibliotheken von Drittanbietern und Open Source denken. Es muss sichergestellt werden, dass die Person, mit der man zusammenarbeitet, keine isolierte Einzelperson ist, sondern ein solides und seriöses Unternehmen mit gut etablierten Software Repositories. Das Risikomanagementverfahren von Clinisys für Drittanbieter identifiziert, bewertet und zielt darauf ab, die mit Softwarebibliotheken von Drittanbietern verbundenen Risiken zu mindern und sicherzustellen, dass diese keine Schwachstellen einführen und die Einrichtungen keinen potenziellen Risiken aussetzen.
Die Cybersicherheitsstrategie von Clinisys
Was sind die Ziele von Clinisys?
Shay: Mit dem Übergang zur Cloud verlagern sich die Dinge in Richtung einer stärker geteilten Verantwortung für die Cybersicherheit, und auch die Cloud-Anbieter verfügen über die Fähigkeiten und Ressourcen, über die wir bereits gesprochen haben.
So können sie ihre Systeme aufbauen, überwachen und schützen, wobei nur ein paar Personen Patches einspielen und Löcher stopfen müssen. In diesem Umfeld streben wir danach, das zu betreiben, was ich als „kontinuierliche Compliance“ bezeichne.
Das bedeutet, dass wir nicht auf ein Audit warten oder nur ein- oder zweimal im Monat Tests durchführen. Wir verwenden Tools, um unsere Infrastruktur in Echtzeit und täglich zu implementieren und zu patchen. Ausserdem verfügen wir über ein Warnsystem, das uns mitteilt, wenn wir die Vorschriften nicht einhalten. Unsere zahlreichen Gespräche mit CIOs, CTOs und CISOs zeigen uns, dass sie genau das heute suchen – und wir tun alles, um ihnen Sicherheit zu geben.
Wir bei Clinisys entwickeln uns weiter und schreiten mit diesen Änderungen voran, während wir gleichzeitig ständig daran arbeiten, die Anforderungen der Vorschriften der Länder, in denen wir tätig sind, zu erfüllen.
Ein paar Worte zu NIS 2:
NIS2 stellt einen bedeutenden Fortschritt für die Cybersicherheit auf europäischer Ebene dar:
- durch die Erweiterung des Umfangs der erfassten Einrichtungen,
- durch die Verschärfung der Anforderungen an das Risikomanagement und die Meldung von Vorfällen, und
- durch die Förderung einer verstärkten Zusammenarbeit und eines verstärkten Informationsaustauschs.
Die Einhaltung des NIS2-Standards erfordert von Unternehmen einen proaktiven und ganzheitlichen Ansatz für die Cybersicherheit.