Im Jahr 2018, die durchschnittlichen Kosten einer medizinischen Verletzung ist fast $4M in den USA und Statistiken ab 2016 zeigten, dass von allen Branchen der Welt, 88% der Cyberattacken sind tatsächlich passiert im Gesundheitswesen.
Im Rahmen der ständig zunehmenden Cyber-Bedrohungen im Gesundheitswesen, Lori Lazzara, VP of Technology & Engineering, Monitoring-und Analytics-& Therapeutische Pflege, Philips, gab eine Präsentation auf der HIMSS AsiaPac 19 Konferenz in Bangkok, Thailand im Oktober auf, wie die healthcare-Anbieter/Organisationen und den Herstellern von healthcare Verwandte Produkte/Lösungen zusammen arbeiten können kontinuierlich in einem ökosystem zu verbessern, Ihre cybersecurity-Maßnahmen.
Netzwerk-security-und OS/software-patch-management: Ein drei-Stift-Ansatz
Lazzara Sprach über einen dreipoligen Ansatz zur Netzwerk-Sicherheit und OS/software-patch-management – Menschen, Prozesse und Technologie-und alle drei arbeiten zusammen in einem ökosystem. Aus der Menschen Sicht, es beginnt mit dem Bewusstsein für das problem und machen Sie sicher, jeder versteht die Bedeutung von cybersecurity, wie es ist, eine Ausbildung Prozess und jeder kann dazu beitragen, dass die organisation mehr sicher.
Der nächste Bereich ist-Prozesse. Zum Beispiel von einem Hersteller-Perspektive, nachdenken über die Sicherheits-Risiko-Bewertung bei der Entwicklung von Produkten/Lösungen im Gesundheitswesen, sowie die überwachung der Risiken vor und nach dem es freigegeben wurde, in ein Gesundheitssystem. Es muss eine kontinuierliche überwachung und Schließung der Sicherheitslücken, die möglicherweise erstellt werden.
Als healthcare-organisation, die von der empfangenden Seite, es ist wichtig zu verstehen, welche Produkte und Lösungen sind in der organisation, wie dies wird Ihnen erlauben, um end-to-end-kontinuierliche Verbesserung-Prozesse, um sicherzustellen, dass die Systeme sicher sind. Schließlich, von der Technologie Standpunkt, wenn beide, Gesundheits-Organisationen und Hersteller zu verstehen, was die Risiken sind und wie Sie zu mildern, die Sie benötigen, um ausführen und setzen diese änderungen in der Technologie selbst zu ermöglichen, die Sicherheit des Systems.
“Es ist eine komplette und kontinuierliche ökosystems, die nie endet und ich nicht vorstellen, Cyber Security (Bedrohungen) Weg zu gehen und, dass wir jemals völlig sicher sein, weil jemand will, findet immer Wege, um in der software, aber es ist wichtig, partner über das ökosystem, die Probleme zu lösen”, Lazzara betont.
Drei Säulen der Sicherheit: Vertraulichkeit, Integrität und Verfügbarkeit
Aus Philips Sicht Lazzara erklärt, dass es drei Säulen der Sicherheit: Vertraulichkeit, Integrität und Verfügbarkeit. Vertraulichkeit bedeutet in diesem Fall sicherzustellen, dass nur die richtigen Personen die Daten sehen, die Sie sollten. “Zum Beispiel, wenn Sie ein Microsoft-Betriebssystem ausgeführt wird, die Lösung, die Sie auf die Daten zugreifen, Sie haben die Fähigkeit zu tun, active directory -, die Rollen-basierten Richtlinien. Viele der Systeme verwenden, die Rolle-Basis und setzt Grenzen auf, die sehen, bestimmte Arten von Daten. Dies bietet die Möglichkeit zu sehen, wer und was sehen kann, die einzelnen Daten.”
Bei der Arbeit mit Anbietern, die Bereitstellung der Lösungen, die Frage, wie diese integriert werden können in die Rolle-Richtlinien Anforderungen gestellt werden, so dass die Daten vertraulich behandelt werden. Integrität ist die Gewährleistung, dass die Informationen aus der Lösung vertraut, und es ist nicht in der Lage zu sein, manipuliert durch die falschen Entscheidungen und Dienstleistungen, die möglicherweise Auswirkungen darauf, wie der Dienst führt und die Sicherheit der Patienten. Eine Möglichkeit, dies zu nähern, ist die Betrachtung der Möglichkeiten zur Verbesserung der Sicherheit des OS, oder loszuwerden, alle Dienste, die nicht erforderlich sind, ausgeführt, dass die Lösung, so dass es keine verschiedenen hintergrund-Dienste, die Hackern erlaubt, in zu erhalten.
Die Daten muss auch verschlüsselt werden – ist es verschlüsselt im Ruhezustand und im transit? Es gibt verschiedene Techniken, das zu tun, wie die Knoten-Authentifizierung erfordert handshake authentication-von Punkt zu Punkt, wenn Daten gesendet werden, so dass es kann nur beurteilt werden, indem Sie echte und verifizierte Nutzer. Diese Benutzer sind in der Regel Mitglieder des care-Teams, die die Daten zur Verfügung stehen, wenn die Behandlung von Patienten.
Philips’ Ansatz zur Milderung der cybersecurity-Lücken/Schwachstellen
Lazzara ein Beispiel, wie Philips als Hersteller von medizinischen Geräten/Lösungen Ansatz mildernde cybersecurity Lücken/Schwachstellen: “Wenn eine externe person, die uns Informationen über eine mögliche Lücke in unserer Lösung, die reif ist für einen hacker zu bekommen, können wir es untersuchen und versuchen zu sehen, wenn wir replizieren, was Sie reden. Dieser Prozess ist bekannt als unsere Coordinated Vulnerability Disclosure (CVD). Dieser Industrie-standard ist weltweit anerkannt und eines, das Philips eingeleitet, die als erste in der Medizintechnik-Branche.”
“Dann schauen wir, wie wir konnten, deren Behebung und / oder Minderung der Verwundbarkeit, die erfordern könnte das patchen des Systems. Wir setzen, dass auf unserem Fahrplan auch tatsächlich umzusetzen, es so bald wie wir können, um die Lücke zu schließen und in übereinstimmung mit den regulatorischen und Philips-Richtlinien. Als ein Teil des CVD-Prozess, wir entlarven die Schwachstellen auf unserer öffentlichen website, so dass wir kommunizieren können, um den Kunden über, in dem wir die Schwachstellen und die geeigneten Maßnahmen Sie ergreifen sollten, in der Sie anspricht .”
Zusätzlich Philips auch Partner mit der Industrie, Forscher und white hat Hackern auf wichtigen Konferenzen und hackathon-events weltweit, sowie der Beitritt verbundenen workshops, die Möglichkeiten bietet, die der Industrie ermöglichen, um zu versuchen, um aufzudecken, Schwachstellen in unseren Lösungen, denn es ist ein effektiver Weg für Philips zu lernen, als eine organisation, in der eine kontinuierliche Verbesserung, wie wir cybersecurity-Adresse über die healthcare-ökosystem.
