Digitale Fortschritte vs. digitales Vertrauen
Das Streben nach Innovation in fast jeder Branche geht mit einer Reihe neuer Herausforderungen einher, die es parallel zu bewältigen gilt. Für die Medizinbranche könnte die perfekte Welt nahtlose Effizienz für Patienten, Ärzte und ihre Lieferkette, weniger menschliche Fehler, verbesserte Behandlungen, geringere Kosten und optimierte Systeme bedeuten . Es besteht kein Zweifel an den positiven Auswirkungen der Technologie auf die Gesundheitsbranche, aber leider hinkt die Digitalisierung hinterher, was vor allem auf das mangelnde Vertrauen in digitale Systeme in Verbindung mit hochsensiblen Informationen – manchmal sogar lebensbedrohlichen – zurückzuführen sein könnte, die potenziell offengelegt werden könnten.
Gerade jetzt, wo wir fleißig Social Distancing praktizieren, um die Ausbreitung von COVID-19 zu bekämpfen, hat die Telemedizin, auch bekannt als Telekonsultation, bei der Patienten medizinische Dienstleistungen digital in Anspruch nehmen, einen deutlichen Aufschwung erlebt. Die Vernetzung durch Telekonsultation hat der Gesundheitsbranche enorme Effizienzvorteile gebracht. Mit der rasanten Entwicklung im Bereich der Telekonsultation hat die Weitergabe von geschützten Gesundheitsdaten (PHI) und personenbezogenen Daten (PII) über die Cloud als elektronische Gesundheitsakten (EHR) an Gesundheitsdienstleister stark zugenommen. Mit dem Fortschritt im Bereich der digitalen Gesundheitsversorgung ergeben sich jedoch auch neue Möglichkeiten für Cyberkriminelle. Um die Dinge ins rechte Licht zu rücken: Dies hat den Umfang der Herausforderungen im Bereich der Cybersicherheit erweitert, da ein erhöhtes Risiko besteht, dass Betrüger mit böswilligen Absichten in das Gesundheitswesen eindringen, um einen Angriff zu kontern und Schwachstellen innerhalb seines digitalen Ökosystems zu verstärken.
Für viele hat die Anpassung an die durch COVID-19 entstandene neue Betriebsumgebung auch dazu geführt, dass Unternehmen ihre Innovationszeitpläne vorverlegt und neue Technologien eingeführt haben, wodurch das Risiko entstanden ist, dass neue Lieferanten und Partner Zugang zu sensiblen Patientendaten erhalten.
Die Notwendigkeit von Effizienz im Gesundheitswesen
Die Gesundheitsbranche war schon immer sehr kostensensibel, doch angesichts der zunehmenden Verbreitung digitaler Gesundheitsdienste ist es nur sinnvoll, effiziente Sicherheitslösungen einzusetzen. Effizienz wird anhand der Bewertung der vorhandenen Sicherheitsfunktionen innerhalb eines festen Budgets quantifiziert. Leider wurde der Gesundheitssektor trotz der Zunahme dieser Angriffe, insbesondere seit Beginn der Pandemie, überrascht und war nicht gut darauf vorbereitet. Laut einer Umfrage des Sicherheitssoftwareunternehmens Irdeto glauben 88 % der führenden MedTech-Unternehmen in den USA nicht, dass ihre Organisation auf einen Cyberangriff vorbereitet ist. Im Falle eines Cyberangriffs würden vertrauliche PHI- und PII-Daten kompromittiert werden, was einen Verstoß gegen Compliance-Anforderungen wie den Health Information Portability & Accountability Act (HIPAA) und die Datenschutz-Grundverordnung (DSGVO) darstellen würde und höchstwahrscheinlich zu erheblichen Geldstrafen führen würde.
Diese Compliance-Anforderungen haben sicherlich dazu geführt, dass CISOs und Datenschutzbeauftragte ihren Fokus auf den Schutz von PHI- und PII-Daten gerichtet haben – und da medizinische Daten äußerst sensibel sind, steht dabei unglaublich viel auf dem Spiel. Allerdings wirken Gesetze wie HIPAA oft auf einer abstrakten Ebene und gewährleisten nicht immer, dass Gesundheitsorganisationen über eine ausgeklügelte Sicherheitsarchitektur verfügen, die sensible Patientendaten auf sichere Weise speichert. Ein weiterer Faktor, der zur langsameren digitalen Entwicklung in diesem Sektor beiträgt, ist die Tatsache, dass sowohl im Bereich Sicherheit als auch im Bereich Digitalisierung nach wie vor ein erheblicher Personalmangel herrscht und diese Bereiche im Vergleich zu anderen Branchen nicht im Mittelpunkt des Interesses der Gesundheitsbranche stehen.
Wie sieht dieses Bild im Vergleich zu einer Nation aus, die sich für die Digitalisierung öffnet?
Wenn wir uns Israel ansehen, erkennen wir deutlich ein Ökosystem , das digitale Innovationen im Gesundheitswesen begrüßt, wobei Institutionen, Krankenhäuser und Gesundheitsorganisationen daran interessiert sind, neue Dinge auszuprobieren und veraltete Ansätze in Frage zu stellen. Eine eindeutige Erfolgsgeschichte der Innovation im Gesundheitswesen wurde während der Pandemie sichtbar: Israel hat in nur zwei Monaten etwa die Hälfte seiner gesamten Bevölkerung gegen COVID-19 geimpft.
Erfahren Sie hier mehr über Israels Ansatz zur digitalen Transformation im Gesundheitswesen.
Israel konnte dies dank seiner vier Gesundheitsorganisationen (HMOs) erreichen, die die gesamte Bevölkerung versorgen und in der Lage sind, komplexe, groß angelegte Prozesse innerhalb kurzer Zeit erfolgreich umzusetzen. Ein Beweis dafür ist das israelische Impfprogramm, das von Experten als das beste der Welt eingestuft wird.
Cybersicherheit und technologische Herausforderungen bei digitalen Gesundheitsdiensten
Rund 60 % der Gesundheitsdienstleister haben digitale Dienste zu einer ihrer obersten Prioritäten gemacht, um einen Großteil ihrer Kundenbasis zu bedienen, die an digitale Effizienz, den Online-Austausch von Informationen und das Tragen von Geräten gewöhnt ist, die ihre medizinischen Daten erfassen und ihre Informationen speichern. Es ist wichtig zu erwähnen, dass Cyberangriffe unterschiedliche Auswirkungen haben können. Darüber hinaus kann der Verlust von personenbezogenen Daten und Gesundheitsdaten zu finanziellen Einbußen für Gesundheitsorganisationen führen.
Krankenakten enthalten sensible PHI, die nicht einfach geändert oder gelöscht werden können. Tatsächlich handelt es sich bei PHI um äußerst wertvolle Informationen, die auf dem Schwarzmarkt für bis zu 363 US-Dollar verkauft werden können. Zu den für Cyberkriminelle wertvollen PHI gehören:
-
Name
-
Adresse
-
Telefonnummer
-
Sozialversicherungsnummer
-
Biometrische Daten
-
Diagnostische Bilder
Es ist nicht schwer zu verstehen, warum sowohl Patienten als auch Gesundheitsdienstleister misstrauisch sind. Cyberangriffe auf Gesundheitsorganisationen weltweit nehmen zu, und ihre Auswirkungen können schwerwiegend sein. Damit wir unser Streben nach Effizienz und Innovation fortsetzen können, müssen wir geeignete Maßnahmen ergreifen, um die Daten von Patienten, Ärzten und Pflegekräften zu schützen, indem wir diejenigen mit bösen Absichten überlisten. Das ist keine leichte Aufgabe, aber die Vorteile sind es auf jeden Fall wert.
Aber nicht alle Risiken sind cyberbezogen. Vor sieben Jahren wurde die Website healthcare.gov , im Rahmen des Affordable Care Act Krankenversicherungsbörsen anzubieten. Der geplante Start wurde jedoch durch schwerwiegende technische Probleme beeinträchtigt, die es der Öffentlichkeit erschwerten, sich für eine Krankenversicherung anzumelden, und die Website nach nur zwei Stunden zum Absturz brachten. All dies geschah auf einer Website, deren Gesamtkosten vor dem Start 500 Millionen Dollar betrugen. Angesichts des Scheiterns dieser Initiative wird deutlich, dass die Herausforderungen nicht immer auf Cyber-Bedrohungen beschränkt sind, sondern auch auf die reine technologische Infrastruktur zurückzuführen sein können. Die Technologie hat in sieben Jahren große Fortschritte gemacht, aber solche Misserfolge verstärken nur das Misstrauen gegenüber digitalen Gesundheitssystemen. Es wird interessant sein, die Trends in einer Welt nach der Pandemie zu beobachten: Werden die Organisationen wieder zu ihrer Gleichgültigkeit zurückkehren und zu wenig investieren? Was wird Priorität haben?
Vorschriften, die darauf abzielen, dieser Bedrohung zu begegnen: HIPAA und NIST
Die Einhaltung von Vorschriften zum Schutz von PHI erfordert eine Kombination aus robusten Datenschutz- und Sicherheitsstrategien. Der Health Insurance Portability and Accountability Act (HIPAA) legt die Grundvoraussetzungen für den Schutz von Patientendaten fest. Der HIPAA gilt für digitale Gesundheitsunternehmen – unabhängig davon, ob sie als Anbieter (Geschäftspartner) oder als Gesundheitsdienstleister (betroffene Einrichtung) auftreten. Drittanbieter, insbesondere solche, die mit PHI umgehen, können Gesundheitsunternehmen dem Risiko von Datenverstößen und Verstößen gegen Vorschriften aussetzen. Außerhalb des HIPAA hat das National Institute of Standards and Technology (NIST) einen hilfreichen Leitfaden mit dem Titel „Framework for Improving Critical Infrastructure Cybersecurity” (Rahmenwerk zur Verbesserung der Cybersicherheit kritischer Infrastrukturen) veröffentlicht.
Das Rahmenwerk des NIST konzentriert sich darauf, Cybersicherheitsaktivitäten anhand von Geschäftsfaktoren zu steuern und Cybersicherheitsrisiken als Teil des Risikomanagementprozesses der Organisation zu betrachten. Das Rahmenwerk besteht aus drei Teilen: Rahmenwerk-Kern, Rahmenwerk-Profil und Rahmenwerk-Implementierungsstufen.
Das NIST-Framework ist eine Reihe von Cybersicherheitsrichtlinien, die für die meisten Organisationen mit kritischer Infrastruktur gelten. Letztendlich helfen die Framework-Implementierungsstufen der Organisation dabei, zu erkennen und zu verstehen, wie sie ihre Cybersicherheitsaktivitäten an ihren Bedürfnissen, Toleranzen und Ressourcen ausrichtet.
Sowohl die HIPAA-Sicherheitsvorschriften als auch das NIST-Framework können die Cybersicherheitsrisiken für Gesundheitsorganisationen oder -dienstleister erheblich reduzieren. Je mehr Budget und Ressourcen für IT-Sicherheitspersonal bereitgestellt werden, desto besser kann die Organisation mit unvermeidlichen Cyberbedrohungen umgehen.
Ansätze für das Gesundheitswesen-Ökosystem
Es ist unglaublich wichtig, das richtige Gleichgewicht zwischen Innovation und Schutz zu finden. Um dies zu erreichen, gibt es Tools und Sicherheitsmaßnahmen, die wir implementieren können, um ein sichereres digitales Gesundheitsökosystem zu schaffen. Schließlich bringt dies große Vorteile mit sich, wenn es richtig gemacht wird. Einige wichtige Maßnahmen, die Gesundheitsorganisationen ergreifen sollten, um das digitale Vertrauen zu stärken, sind:
-
Programm zur Gewährleistung der Cloud-Sicherheitskonformität
-
Risikobewertung und Compliance-Programm für Dritte
-
Sicherheit durch Design
-
Rund um die Uhr verfügbare Managed Detection & Response Services
-
Erkennung, Überwachung und Reaktion mithilfe von Technologie
-
Regelmäßige Bewertungen der Cyber-Resilienz
COVID könnte der Auslöser sein, der nicht nur die Denkweise, sondern auch die Investitionsentscheidungen für die Gesundheitsbranche verändert. Wir befinden uns an einem Wendepunkt, an dem digitale Prozesse und Effizienzsteigerungen nicht mehr ignoriert werden können. Mit Blick auf die Zukunft könnte die neue Big-Data-Technologie durch Anonymisierung und Pseudonymisierung die Lücke zwischen Datenschutz und besseren Datenerkenntnissen schließen. Innovation treibt uns voran, der Erfolg hängt davon ab, wie wir darauf reagieren.
Möchten Sie mehr über die Lösung von Alyne zur Einhaltung der HIPAA- und NIST-Vorschriften erfahren? Vereinbaren Sie hier einen Termin mit einem Experten von Alyne .
