Die wirklichen Cyber-Risiko sitzt zwischen Stuhl und Tastatur

Eine aktuelle Umfrage über das Gesundheitswesen cybersecurity, die von PwC durchgeführt in Deutschland wählte einen interessanten Ansatz. In der Regel diese Art der Umfrage richtet sich an Krankenhaus-Geschäftsführern oder bei healthcare-IT-Profis. Aber dieses mal, PwC beschlossen, zu Fragen der öffentlichkeit. Tausend Leute wurden befragt, und fast ein Drittel sagte, dass, im Falle eines Krankenhaus besuchen würde, wäre Sie zutiefst besorgt, dass IT-Systeme könnten zusammenbrechen als Ergebnis einer cyberattack. Jeder zweite Deutsche sagte, Sie seien davon überzeugt, dass Krankenhäuser nicht vorbereitet sind, für Cyberattacken.

Zwei von drei wollen zwingend cybersecurity Ausbildung für medizinisches Personal

Diese zahlen sind hoch, aber nicht völlig überraschend. Umso bemerkenswerter war der „Risiko-Analyse“ der Umfrage-Teilnehmer. Bei der Frage nach der Art der Maßnahmen, die möglicherweise verbessern die Datensicherheit in Krankenhäusern, was erst rauskam, war weder penetration-tests, noch die Videoüberwachung, noch die Einführung eines standardisierten security-Konzept. All dies wurde erwähnt, das ist sicher, aber was erschien an der Spitze der Liste mit insgesamt 87% der Teilnehmer erwähnen, es war eine bessere Ausbildung der Mitarbeiter.

In der Tat, 67% der deutschen sagten, dass die Krankenhäuser gezwungen werden sollte, durch das Gesetz für die Weiterbildung Ihrer Mitarbeiter auf Cyber-Sicherheit und korrektes Verhalten. Die Bürger, so scheint es, sind sich bewusst, wo gesundheitsnahen cybersecurity-Risiken liegen. Technologie ist ein Problem, aber noch wichtiger ist die Risiko-Faktor „zwischen Stuhl und Tastatur“, in anderen Worten der professionelle Anwender.

HIMSS cybersecurity-Umfrage: Phishing nicht ernst genommen?

Es gibt unzählige Daten, die darauf hindeutet, dass dies wahr ist. In den letzten 2019 Ausgabe der HIMSS Cybersecurity-Umfrage, beispielsweise 59% der Krankenhaus-Vertreter und healthcare-IT-Experten in den USA sagten, dass die E-Mail war die häufigste point of information Kompromiss. Dies bedeutet, dass phishing-E-Mails werden weiterhin erhebliche Sicherheitsrisiken für Organisationen im Gesundheitswesen – trotz der Tatsache, dass diese Art von malware-shuttle hat schon seit vielen Jahren.

Die Vermeidung von phishing-Vorfälle ist eindeutig eine Frage des Personals Ausbildung, und damit der US-Umfrage bestätigt das „Bauchgefühl“ der deutschen öffentlichkeit, dass es möglicherweise ein problem mit Mitarbeitern, die Ausbildung in Krankenhäusern, wenn es um cybersecurity. Überwachung sollten auch helfen, zu vermeiden, phishing-Vorfälle. Aber überwachung, wieder, scheint nicht ernst genommen zu werden von Krankenhaus-Personal überall. In der HIMSS-Umfrage, 36% der nicht-akute Pflege-organisation der Vertreter behauptete, dass Ihre organisation nicht phishing-tests. Die Gefahr, zwischen Stuhl und Tastatur“, so scheint es, ist nicht nur von ärzten und Krankenschwestern.

Wie, um das Risiko-Faktor Mensch?

Warum ist es, dass angeblich intelligente Erwachsene zu enden oft ebnet den Weg für die Katastrophe? Auf der HIMSS und Health 2.0 Europa-Konferenz in Helsinki, diese Fragen wurden angesprochen in einem cybersecurity-workshop brachte Experten zusammen und Krankenhaus-Vertreter aus ganz Europa.

Die Workshop-Teilnehmer identifizierten mehrere Faktoren, die als verantwortlich für die Mitarbeiter zu einem Sicherheits-Risiko in Organisationen im Gesundheitswesen. Im Einklang mit den Umfragen oben, ein Mangel an Erziehung kam. Zumindest einige Mediziner immer noch zu viel Vertrauen in IT-Systeme, und viele sind sich nicht bewusst genug, welche Art von Verhalten stellt, welche Art von Risiken.

Usability-Probleme wurden ebenfalls Häufig genannt. Ärzte, ein Krankenhaus-Vertreter sagte, wollte die Heilung der Patienten, nicht Umgang mit IT-Systemen. Wenn es zu viele Passwörter oder auch komplexe workflows für die Speicherung oder übertragung der Daten oder für die Kommunikation mit Patienten oder Kollegen, das Ergebnis wird sein, „kreative“ Umgehung-Strategien, die wiederum legte Patientendaten oder Krankenhaus-IT-Systeme Risiken.

Sprechen Sie über die Patienten und beziehen Sie Sie

Die Workshop-Teilnehmer einig, dass es nicht eine einzige Maßnahme, die zuverlässig beseitigen Sie die Gefahr, zwischen Stuhl und Tastatur. Ein wichtiger Aspekt, der viele meinten, war die Verbesserung der usability durch security by design.

Die Umsetzung der Spracherkennung oder Gesichtserkennung, zum Beispiel, könnte helfen, um loszuwerden, Passwörter, und so beseitigen Sie einen sicherheitsrelevanten Prozess, der sehr anfällig für Missbrauch und auch um „kreative“ (und riskant) evasion Strategien wie Zuhälterei Monitore mit Kennwort Sticker.

Reden anders über Cyber-Sicherheit und Cyber-Attacken könnten auch helfen. Das Gesundheitswesen war über Patienten, ein workshop-Teilnehmer sagte, und damit eine Aufklärung über Cyber-Sicherheit sollten auch über Patienten. Statt Vorträge über Technologie, Sicherheit Bildung sollte über das erzählen von Geschichten über Patienten, die veranschaulichen die Risiken, Cyberattacken pose für Sie.

Die Patienten könnten in der Tat eine aktive Verantwortung, wenn es um die Verringerung der Gefahr von Cyber-Attacken auf Organisationen im Gesundheitswesen. Es ist ein Beispiel aus einem verwandten Bereich, medizinische hygiene. Wie mit cybersecurity, gibt es klare und Evidenz-basierte Verhaltens-Maßnahmen, die ergriffen werden können, um Risiken zu reduzieren, die durch mangelnde hygiene, vor allem das Händewaschen und Desinfektion.

Vor einigen Jahren wurde gezeigt, dass zu den wirksamsten Maßnahmen zur Verbesserung der Personalhygiene Verhalten wurde gefragt, Patienten zu erinnern, Ihren Arzt oder die Krankenschwester, zum reinigen Ihrer Hände, wenn Sie den Raum betreten. Was würde passieren, wenn ein patient bat seine ärzte nach einem treffen: „Habt Ihr Euch abgemeldet, richtig?‘, oder “ Haben Sie geschlossen, meine Datei?‘

Dieser Artikel wurde zuerst publiziert in der neuesten Ausgabe von HIMSS Insights, das sich mit Cyber-Sicherheit im Gesundheitswesen. Healthcare-IT-News und HIMSS Insights sind HIMSS Medien.