Die COVID-19-Pandemie hervorgerufen hat, einen beispiellosen Aufschwung in der Nutzung von telehealth-Technologien. Aber Sicherheitsexperten sagen, dass der Aufstieg stellt Schwachstellen – und die Krise ist “Blut im Wasser” für Cyberkriminelle.
“Jedes mal, wenn Sie eine änderung vornehmen, um eine IT-Umgebung, Sie haben das Potenzial, zu erhöhen das Risiko”, sagte Andy Riley, executive director of security strategy bei der managed-security-services-Anbieter Nuspire.
“Bei der Einführung raschen Wandel, der Potenzial nach oben geht schnell,” Riley fortgesetzt.
Einen “perfekten Sturm” für Cyberkriminelle
Die Notwendigkeit, für Patienten und Anbieter zu minimieren, in-person Kontakt hat zu neuen Sicherheitslücken in der gesamten care-Bestimmung Prozess und hat angestrahlten bestehende, sagen Experten. Berichte haben bereits aufgetaucht, über schlechte Schauspieler, einschließlich nation-Staaten, mit dem virus als einen Keil, um Informationen zu erhalten.
“Die Sicherung von Daten und Geräten ist eine Herausforderung an den besten Zeiten”, sagte Raja Bhadury, Leiter des care-delivery-portfolio für das Gesundheitswesen auf der HP, die während einer geförderten HIMSS-TV interview mit Client Content Development Senior Director Patty Enrado.
“Und jetzt, während dieser Pandemie … wenn man ärzte arbeiten in diesen Roman Intensivstationen, die erstellt wurden, auf Parkplätzen und Messehallen, Cyber Security ist eine enorme Sache to watch out for”, sagte Bhadury.
Riley, auch darauf hingewiesen, dass die Gesundheitssysteme haben sich schnell ausgerollt Technologien, um einen breiteren Zugang zur Gesundheitsversorgung, manchmal vernachlässigen die Sicherheit in den Prozess.
Als Beispiel wies er auf die Werkzeuge “wie iPads und andere mobile Geräte, um in der Lage sein, um ein remote-triage-Zelt,” für die die Administratoren nicht als Verschärfung der Kontrollen.
Riley darauf hingewiesen, dass medizinische Geräte “schon lange problematisch,” im Teil, weil Ihr Licht operativen Präsenz, die nicht für viel Sicherheit-Rechenleistung. Dies kann besonders beunruhigend, weil solche Geräte die Nähe zu Patienten und Anbindungen an die cloud.
Er wies auch auf die Entspannung von firewall-Regeln, um Platz für zusätzliche remote-Arbeit Fähigkeiten als eine mögliche Gefahr.
Und, natürlich, die bestehenden Probleme mit phishing sind nur noch verschlimmert, die von Einzelpersonen ” hunger nach wissen über die Pandemie. Vor kurzem hat Microsoft auch davor gewarnt, über die Verwendung von ransomware – einschließlich der Verwendung von Java Runtime Environment – Ziel Gesundheitssysteme.
“Es ist schwer genug, um abzuwehren Angreifer an einem normalen Tag”, sagte Riley. “Aber wenn Sie glauben, dass E-Mails von Behörden außerhalb der Organisation, dass schafft eine Möglichkeit für Hacker, Phishing-Konten und Zugriff auf diese Weise.”
“Es ist eine perfekte Sturm”, fuhr er Fort.
Nicht zu spät für die änderung
“Es gibt nichts inhärent riskanter über die Telemedizin-Technologie”, sagte Riley. “Wir reden immer noch über die gleichen Produkte und Dienstleistungen unter der Haube.”
“Aber wenn Sie mischen diese schnelle, verbesserte Annahme [der Telemedizin] mit dieser erweiterten bedrohlich … das ist, wo das Problem liegt”, fuhr er Fort.
Über mögliche Sicherheitslücken in der software verwendet, um mit Freunden oder der Patienten zu Hause, Riley wies auch auf die Praxis des Gebens COVID-isolierten Patienten in Krankenhäusern iPads kommunizieren Sie mit Ihren Familienmitgliedern.
“Sie haben keine Ahnung, was am anderen Ende”, sagte er.
Auch wenn Systeme ausgerollt Telemedizin-Technologie schnell, Riley sagte, Sie können und sollen noch arbeiten an der Implementierung von best practices.
Die erste Aufgabe, sagte er, “ist die Durchführung einer Dritten Partei Risikobewertung über jeden Dienst, den Sie verwenden.”
Er schlägt auch vor, mit einem plan für die Bewertung von änderungen – einschließlich der neuen software und Politik tweaks–, die vorgenommen wurden, seit dem Ausbruch des coronavirus, und unter Abwägung der Notwendigkeit, diese änderungen jetzt. Er verwies auf die Vorteile der Verwendung eines managed-security-Anbieter, die einfacher sein kann als Stand-up-Technologien unabhängig.
Für Systeme, die mithilfe von third-party Anbietern, riet er sucht Warnzeichen: “Sind die Hersteller-security-Kontrollen äquivalent zu dem, was Sie haben, oder sind Sie besser?”
“Ich würde sehen wollen, ein ziemlich ganzheitliches Programm für die Sicherheit mit Richtlinien und standards,” sagte er, einschließlich practices rund um die back-end-Speicherung zu verhindern, dass die versehentliche Offenlegung von Daten oder nicht autorisierten Zugang.
“Jede Art von veralteter software, die verwendet wird, in der Lieferung, der service könnte ein problem werden”, sagte er.
Auch er riet insbesondere die Prüfung oder Umsetzung von Maßnahmen rund um video-Aufnahmen von Sitzungen zwischen Patienten und Anbieter.
“Jede Berühmtheit herum, der patient könnte äußerst wertvoll sein, dass jemand versucht, Geld zu erpressen”, betonte er.
Wenn es um die Stützung der Sicherheit, sagte er, “Es ist nicht zu spät, zurück zu gehen und das jetzt tun.”
Kat Jercich ist senior editor von Healthcare-IT-News.
Twitter: @kjercich
Healthcare-IT-News ist die HIMSS Media-Publikation.