Der Gesundheitssektor ist das Hauptziel von Cyberangriffen und seine Mitarbeiter sind die erste Verteidigungslinie. Ein einzelner Mitarbeiter an vorderster Front, der auf einen schädlichen E-Mail-Link klickt – oder weiß, ihn zu vermeiden –, kann den Unterschied zwischen einem Ransomware-Angriff und dem Nichterleben ausmachen.
Obwohl das Gesundheitswesen zu den Branchen gehört, die nach eigener Aussage am ehesten über eine ausgereifte Sicherheitsvorsorge verfügen, ist es immer noch allzu oft nicht auf Sicherheitsrisiken vorbereitet – und die Cyber-Wachsamkeit aller Beschäftigten im Gesundheitswesen ist von entscheidender Bedeutung, um den Herausforderungen neu auftretender Bedrohungen gerecht zu werden.
In der Zwischenzeit verändert künstliche Intelligenz, wie überall sonst auch, das Risikoprofil für große und kleine Gesundheitssysteme, wobei täglich neue Angriffstechniken auftauchen.
„Zu verstehen, was als nächstes kommt, ist immer schwieriger, als die letzte Schlacht zu schlagen“, sagte Dr. Eric Liederman, CEO von CyberSolutionsMD.
Liederman wird auf der kommenden Konferenz eine Podiumsdiskussion zum Thema „Stärkung von Arbeitskräften durch Förderung einer Sicherheitsmentalität“ moderieren HIMSS 2024 Cybersecurity-Forum im Gesundheitswesengeplant für den 31. Oktober bis 1. November in Washington, DC
„Das Problem, mit dem die meisten Organisationen konfrontiert sind, besteht darin, dass sie einen Top-Down-Ansatz für das Wie verfolgen“, sagte Liederman. Während Unternehmen unterschiedliche Ansätze nutzen, um ihre Mitarbeiter darin zu schulen, Bedrohungen wie Phishing-E-Mails zu erkennen, „steckt dahinter keine Wissenschaft“, sagte er.
„Es geht um Bildung, aber auch darum, ihnen dabei zu helfen, Kontakte zu knüpfen“, sagte Anahi Santiago, Chief Information Security Officer bei ChristianaCare, die zusammen mit Liederman und David Fine vom Federal Bureau of Investigation an dem Gespräch teilnehmen wird.
Santiago beschrieb drei Schlüssel zum Cybersicherheitstraining:
- Kennen Sie Ihr Publikum
- Erfahren Sie, wie Sie Ihr Publikum ansprechen
- Lassen Sie die Tür offen für „Bericht, Bericht, Bericht“
Aus sicherheitstechnischer Sicht sei das, was für einen Kliniker relevant sei, wahrscheinlich anders als das, was für jemanden im Finanzwesen relevant sei, sagte sie.
„Es geht nicht darum, alle gleich zu behandeln und davon auszugehen, dass alle die Informationen auf die gleiche Weise verarbeiten … und die Botschaft so anzupassen, dass sie für das, was sie tun, relevant ist.“
Es sei bei ChristianaCare eine Absicht, ansprechbar zu sein, sagte Santiago, und die Botschaft der IT-Abteilung sei: „Es ist in Ordnung, wenn es sich nicht um ein meldepflichtiges Anliegen handelt – melden Sie es trotzdem.“
Zwar steht jedem die Tür offen, etwaige Sicherheitsbedenken in ihrer Organisation zu melden, aber „eines der Dinge, die wir auch tun, und die meiner Meinung nach wirklich hilfreich waren, ist dieses Konzept einer Sicherheits-Roadshow.“
IT-Teams treffen sich mit Abteilungen, um zum Ausdruck zu bringen: „Wir sind nicht nur diese Cybersicherheitsexperten, die an Dingen arbeiten, die Ihrer Meinung nach wirklich beängstigend sind, und Sie wissen nicht, was wir tun“, erklärte sie.
„Wir sind alle als die ‚Klicken Sie nicht auf diesen Link‘-Leute bekannt, und viele Leute denken, dass das das Einzige ist, worüber sie sich Sorgen machen müssen“, sagte sie.
Aber es gibt noch so viel mehr, worüber sich die Mitarbeiter im Gesundheitswesen im Klaren sein müssen.
„Neu auftretende Bedrohungen sind immer ein Bereich, in dem wir uns verändern und darüber nachdenken müssen: Welche Risiken drohen uns?“
Ohne die Betreuer zu verängstigen, müssten Cybersicherheitsexperten neue Wege finden, um sie vorzubereiten, sagte sie.
Deep Fakes sind ein gutes Beispiel dafür, was als nächstes kommt.
Die Kompromittierung geschäftlicher E-Mails sei „dieses Jahr wirklich beschleunigt worden“, bemerkte Liederman. Während die IT-Teams den Mitarbeitern gesagt haben, sie sollten Links in E-Mails vermeiden und „keine Anhänge von Dingen öffnen, die sie nicht erwartet haben“, sagte er, und ihr nächster Schritt hält nicht mehr immer stand.
Früher hieß es: „Wenn Sie irgendwelche Zweifel haben, wenden Sie sich an die Person, die es gesendet hat. Nun, wenn Sie das tun, woher wissen Sie dann, dass Sie mit der echten Person sprechen?“
Santiago stimmte zu, dass der Grad der Komplexität von Sprache und Video in Deep Fakes die Sicherheitsrisiken für Gesundheitsorganisationen erheblich erhöht.
Heutzutage gehen Kriminelle sogar so weit, Teams-Anrufe in ihren Imitationen zu planen – „und sie sind auf Video und sehen genauso aus wie die Person, mit der man normalerweise auf Video interagieren würde“, sagte sie.
Um das Ausmaß der Bedrohung durch Deep Fakes für den Vorstand von ChristianaCare zu veranschaulichen, bat sie ihr Team, ein Video zu erstellen, in dem sie über die aufkommenden Cyberbedrohungen generativer künstlicher Intelligenz spricht, was ihrer Aussage nach etwa 0,09 US-Dollar kostete.
Nachdem ich das zweieinhalbminütige gefälschte Video abgespielt hatte, „sagte ich zu ihnen: ‚Ich hatte mit diesem Video absolut nichts zu tun‘, und die Tafel sah verwirrt aus.“
Die Podiumsdiskussion „Workforce Vigilance: Fostering a Security Mindset“ findet am Donnerstag, 31. Oktober, um 11:30 Uhr im statt HIMSS Healthcare Cybersecurity Forum in Washington, D.C
Andrea Fox ist leitende Redakteurin von Healthcare IT News.
E-Mail: afox@himss.org
Healthcare IT News ist eine Publikation von HIMSS Media.
