Mehr als die Hälfte der Gesundheitsorganisationen, die an einer aktuellen branchenübergreifenden Cybersicherheitsumfrage von Travelers geantwortet haben, gaben an, dass sie über kein spezialisiertes Team zur Bewältigung einer Datenschutzverletzung verfügen – und noch mehr gaben an, dass sie keine Tools zur Endpunkterkennung und -reaktion nutzen.
Unterdessen erklärten leitende Informationssicherheitsbeauftragte im ganzen Land Deloitte und der National Association of State Chief Information Officers in einer aktuellen Studie, dass die Bedrohungen – die durch das Aufkommen von Technologien der künstlichen Intelligenz verschärft werden – hoch seien und sie sich nicht sicher seien, ob ihre Teams dafür gut gerüstet seien ihnen.
WARUM ES WICHTIG IST
Laut einer Mitteilung von Deloitte vom Montag gaben 86 % der staatlichen CISOs aus allen 50 Bundesstaaten und dem District of Columbia an, dass KI, ungewisse Budgets, Cyber-Bedrohungen und wechselnde Arbeitskräfte ihre Datenschutzverantwortung erweitert hätten.
Die Deloitte-NASCIO-Cybersicherheitsstudie 2024 ergab außerdem, dass mehr als ein Drittel der staatlichen CISOs angaben, über kein eigenes Budget für Cybersicherheit zu verfügen.
Eine beträchtliche Mehrheit (71 %) gab an, dass sie auch glaubt, dass die Bedrohungslage durch KI-gestützte Bedrohungen „hoch“ sei, während 41 % angaben, dass sie sich nicht sicher seien, ob ihre Teams alle Cybersicherheitsbedrohungen bewältigen könnten, mit denen sie konfrontiert seien.
Allerdings berichteten die CISOs der Bundesstaaten, dass sie seit der letzten zweijährlichen Cybersicherheitsstudie mehr qualifizierte Arbeitskräfte haben.
„Die gute Nachricht ist, dass es vielen staatlichen CISOs gelungen ist, die Mitarbeiterzahl zu erhöhen und Spezialisten in ihre Teams aufzunehmen, die sich auf Fragen der Cybersicherheit konzentrieren“, sagt Meredith Ward, stellvertretende Geschäftsführerin bei NASCIO und Mitautorin des neuen Artikels Berichtsagte in einer Erklärung.
Reisende sagten es Risikoindex 2024 zeigte auch ein beispielloses Maß an Besorgnis über Cybersicherheitsbedrohungen, da teilnehmende Gesundheitsorganisationen bei einigen kritischen Cybersicherheitskontrollen hinterherhinken.
Für die Umfrage kontaktierte Hart Research diesen Sommer mehr als 1.200 US-Unternehmen (368 kleine, 500 mittlere und 334 große), um nach ihren größten Herausforderungen zu fragen. In die Analyse wurden die Meinungen von Führungskräften von 100 Unternehmen im Gesundheitssektor einbezogen.
Von allen Befragten hatten 36 % eine Sicherheitsverletzung erlebt, 27 % waren Opfer von Erpressung/Ransomware, 27 % hatten Informationen/Systeme durch Mitarbeiter gefährdet, 26 % hatten einen Systemfehler und 25 % hatten Mitarbeiter, die dazu verleitet wurden, Gelder in betrügerischer Absicht zu überweisen Konten, heißt es in dem Bericht.
Die Befragten aus dem Gesundheitswesen gaben an, dass der unbefugte Zugriff auf Finanzkonten ihr größtes Cybersicherheitsrisiko sei, gefolgt von Systemstörungen oder Verstößen im Zusammenhang mit Remote-Arbeitsvorgängen, und an dritter Stelle standen Hacker.
Während 82 % der Gesundheitsorganisationen angaben, dass sie über die richtigen Cybersicherheitskontrollen verfügen, nutzen 44 % keine Multifaktor-Authentifizierung für den Fernzugriff – ein Fehler, der zur Abschaltung von Change Healthcare und zum landesweiten Ausfall von Schadenszahlungssystemen führte – und 44 % haben keine Multifaktor-Authentifizierung für den Fernzugriff einen Notfallreaktionsplan.
Es gibt auch zahlreiche Lücken im Cyber-Reifegrad: 55 % der Befragten im Gesundheitswesen gaben an, dass sie kein Post-Break-Team eingerichtet haben, und 60 % verwenden keine Tools zur Endpunkterkennung und -reaktion.
Laut Travelers 2024 Risk Index gaben einige Gesundheitsorganisationen an, Maßnahmen wie die Implementierung von Backup-Daten und -Infrastruktur (80 %) und Firewall-Schutz (72 %), die Durchführung von Hintergrundüberprüfungen bei Mitarbeitern (72 %) und die Forderung nach Passwortänderungen (70 %) ergriffen zu haben. Es gibt Technologien, die sie möglicherweise übersehen und die Patientendaten besser schützen könnten.
DER GRÖSSERE TREND
Die Angriffsflächen nehmen ebenso schnell zu wie neue Bedrohungen, wobei Daten sowohl in der Regierung als auch in der Wirtschaft ein zentraler Bestandteil der Abläufe sind.
Während die Haushaltssorgen für staatliche CISOs laut Deloitte im Jahr 2024 wieder in vollem Umfang bestehen, waren KI-gestützte Bedrohungen nach Sicherheitsverletzungen Dritter die zweitgrößte Form der Cyberbedrohung, aber größer als die Bedenken hinsichtlich Malware und Ransomware.
Während festgestellt wurde, dass das Gesundheitswesen unzureichend auf das Ausmaß der Cyber-Bedrohungen vorbereitet ist, konzentrierte sich das US-Gesundheits- und Sozialdienstprogramm 405(d) im Dezember darauf, wie Cyber-Versicherungen Organisationen dabei helfen können, sich von einem Vorfall zu erholen und den Pflegebetrieb aufrechtzuerhalten. Zwei Anleitungen für klein Und mittelgroß Organisationen diskutieren über die Umsetzung von Best Practices für Cyberversicherungen.
Im vergangenen Jahr sagte John Menefee, Produktmanager für Cyberrisiken bei Travelers Bond and Specialty Insurance IT-Nachrichten im Gesundheitswesen dass trotz einer Zunahme der Angriffe die Versicherungsmöglichkeiten noch lange nicht verschwinden.
Er sagte, dass Cyber-Versicherungsträger immer besser verstehen würden, wie Cyberangriffe im Gesundheitswesen ablaufen, und dabei helfen könnten, Gesundheitsorganisationen zu schützen, bevor Bedrohungsakteure zuschlagen.
AUF DEM RECORD
Dies gilt laut dem aktuellen NASCIO-Bericht auch für Führungsebenen und Sicherheitsverantwortliche in Gesundheitsorganisationen. Dem Bericht zufolge verpflichten sich immer mehr CISOs zu einer Personalausstattung, die dem Ausmaß der Cyber-Bedrohung entspricht.
„Im Jahr 2020 hatten 16 % der CISOs weniger als fünf Mitarbeiter, die sich Cybersicherheitsinitiativen widmeten“, sagte Ward in einer Erklärung. „Heute ist dieser Prozentsatz auf nur 4 % gesunken. Unsere Untersuchungen haben ergeben, dass diese Führungskräfte nicht nur ihre Teams vergrößern, sondern auch entschlossen sind, kreative Lösungen zum Schutz ihrer Organisationen und der Öffentlichkeit zu finden.“
Andrea Fox ist leitende Redakteurin von Healthcare IT News.
E-Mail: afox@himss.org
Healthcare IT News ist eine Publikation von HIMSS Media.
Das HIMSS Healthcare Cybersecurity Forum findet vom 31. Oktober bis 1. November in Washington, D.C. statt Erfahren Sie mehr und registrieren Sie sich.
