Das Forderungsmanagementunternehmen Professional Finance Company (PFC) teilte Gesundheitsdienstleistern im Mai mit, dass Daten von 1,9 Millionen ihrer Patienten bei einem Ransomware-Angriff im Februar offengelegt wurden. Nach Angaben von PFC könnten die bei dem Angriff kompromittierten geschützten Gesundheitsdaten (PHI) und personenbezogenen Daten (PII) Namen, Kontaktinformationen, Forderungsguthaben, Kontozahlungsinformationen, Geburtsdaten, Sozialversicherungsnummern, Krankenversicherungsdaten und medizinische Behandlungen umfassen.
Dennoch ist der PFC-Verstoß nur der drittgrößte Sicherheitsvorfall bei Geschäftspartnern im Gesundheitswesen, der bisher im Jahr 2022 gemeldet wurde. Der Vorfall bei der Shields Health Care Group betraf 2 Millionen Patienten, und der Verstoß bei Eye Care Leaders hatte Auswirkungen auf mehr als 2,9 Millionen Patienten (Tendenz steigend).
Angesichts ihres zunehmenden Ausmaßes und ihrer Auswirkungen stellt sich die Frage, wie Fachleute für Sicherheit und Risikomanagement im Gesundheitswesen die Auswirkungen solcher Verstöße durch Dritte mindern können.
1. Treten Sie einer Gemeinschaft von Gesundheitsdienstleistern bei, die Informationen über Risiken von Geschäftspartnern austauschen.
Gemeinsame Informationsnetzwerke sind Bibliotheken mit On-Demand-Risikoprofilen von Anbietern, die Sie „ausleihen“ können, wenn Sie einen Geschäftspartner bewerten müssen. Die Risikoprofile basieren auf branchenüblichen Inhalten und werden regelmäßig automatisch aktualisiert, wobei kontinuierlich Erkenntnisse zu Cyber-, Geschäfts-, Finanz- und Reputationsrisiken hinzugefügt werden, um den Kontext zu ergänzen und Lücken zwischen den jährlichen Bewertungen zu schließen.
Der Wert eines gemeinsamen Informationsnetzwerks geht jedoch über die einfache Nutzung bereits erstellter Risikoprofile zur Bewertung des Risikos eines Geschäftspartners hinaus. Netzwerke bieten den zusätzlichen Vorteil der Community-Analyse – die Visualisierung allgemeiner Risikotrends in einer Branche anhand von Daten mehrerer Anbieter im Netzwerk.
Wenn beispielsweise eine schwache Passwortverwaltungspolitik das größte Risiko unter den Anbietern in einem Netzwerk darstellt, können Sie Ihre Risikomanagementmaßnahmen auf die Passworthygiene Ihrer Geschäftspartner konzentrieren, um proaktiv die Wahrscheinlichkeit zu verringern, dass Passwörter von Hackern missbraucht werden, um Zugriff auf Ihre von den Geschäftspartnern verwalteten Daten zu erhalten. Anschließend können Sie die Passwortverwaltungskontrollen Ihrer Geschäftspartner validieren, indem Sie integrierte Erkenntnisse aus der kontinuierlichen Cyberüberwachung nutzen, um festzustellen, ob deren Passwörter im Dark Web zum Verkauf stehen.
Prevalent verwaltet das Healthcare Vendor Network (HVN), die exklusive Lösung des Health Information Sharing and Analysis Center (H-ISAC) für gemeinsame Risikobewertungen für Dritte auf der Grundlage der branchenüblichen H-ISAC-Standards für Sicherheit, Datenschutz und Risikobewertung. Hunderte von Unternehmen stützen sich täglich auf Tausende von vollständigen Lieferantenrisikoprofilen im HVN, um ihre Risiken im Zusammenhang mit Geschäftspartnern zu verwalten.
2. Entwickeln und testen Sie einen Notfallplan für Vorfälle durch Dritte.
Wenn ein Cybersicherheitsvorfall einen Geschäftspartner betrifft, wären Sie in der Lage, dessen Auswirkungen auf Ihr Unternehmen schnell zu erfassen und einen Notfallplan zu aktivieren? Bei der Reaktion auf Vorfälle ist Zeit ein entscheidender Faktor. Ein proaktiver Ansatz mit einem festgelegten Notfallplan verkürzt daher die Zeit, die benötigt wird, um potenzielle Probleme bei Geschäftspartnern zu erkennen und zu beheben. Ein programmatischer Notfallplan für Dritte könnte Folgendes umfassen:
- Ein zentral verwaltetes Verzeichnis der Geschäftspartner, einschließlich ihrer Bedeutung für das Unternehmen
- Vorkonfigurierte Bewertungen der Geschäftskontinuität, Ausfallsicherheit und Sicherheit, um die Auswirkungen eines Vorfalls zu messen
- Scoring und Gewichtung zur Konzentration auf die wichtigsten Risiken
- Eingebaute Empfehlungen zur Behebung potenzieller Schwachstellen
- Stakeholder-spezifischer Bericht zur Beantwortung der unvermeidlichen Anfrage des Vorstands
Der Prevalent Third-Party Incident Response Service ermöglicht es Ihnen, die Auswirkungen von Cybersicherheitsvorfällen bei Geschäftspartnern schnell zu identifizieren und zu mindern, indem Sie Dritte zentral verwalten, Ereignisbewertungen automatisieren, identifizierte Risiken bewerten und auf Leitlinien zur Behebung zugreifen.
3. Vereinfachung der Compliance-Berichterstattung für die unvermeidliche Prüfung
HIPAA verlangt von Gesundheitsorganisationen, dass sie sicherstellen, dass Geschäftspartner und andere Dritte über Sicherheits- und Datenschutzkontrollen verfügen, um unerwünschten Zugriff zu verhindern, der die Vertraulichkeit, Integrität oder Verfügbarkeit von PHI beeinträchtigt. Um dies zu erreichen, sollten Unternehmen vor dem Audit gründliche Risikobewertungen ihrer Lieferanten durchführen. Selbst wenn Ihre Organisation keinen Sicherheitsvorfall durch Dritte erlebt, werden die Auditoren letztendlich Ihr Risikomanagementprogramm für Geschäftspartner bewerten.
Eine Risikomanagementlösung eines Drittanbieters kann dabei helfen, den Prozess der Erfassung und Analyse von Risiken durch Geschäftspartner zu vereinfachen, indem sie:
- Bewertung der inhärenten Risiken, die Geschäftspartner in die Beziehung einbringen, um die weiteren Sorgfaltspflichten einzugrenzen
- Bereitstellung eines speziellen Fragebogens, der Antworten auf bestimmte HIPAA-Anforderungen abbildet
- Automatisches Erhöhen und Bewerten von Risiken anhand von Bewertungen, um diese entsprechend der Risikotoleranz des Unternehmens zu priorisieren
- Einschließlich integrierter Empfehlungen zur Behebung
- Erstellung maßgeschneiderter HIPAA-Berichte für Auditoren und interne Stakeholder, die den Prozentsatz der Compliance und wichtige Bereiche mit Verbesserungspotenzial visualisieren
Laden Sie unbedingt die HIPAA-Compliance-Checkliste herunter, um eine vollständige Analyse darüber zu erhalten, wie die Prevalent Third-Party Risk Management Platform zur Vereinfachung von HIPAA-Audits beitragen kann.
Sicherheitsvorfälle bei Geschäftspartnern sind unvermeidlich. Sie können jedoch proaktiver vorgehen, indem Sie Risikodaten mit Kollegen austauschen, einen Plan für die Reaktion auf Vorfälle erstellen und sich auf die unvermeidliche Prüfung vorbereiten. Fordern Sie noch heute eine Demo an, um zu erfahren, wie unsere von H-ISAC empfohlene Lösung Ihnen helfen kann.
Anmerkung der Redaktion: Dieser Beitrag wurde ursprünglich veröffentlicht auf Prävalent.net. Im Oktober 2024 übernahm Mitratech das KI-gestützte Risikomanagement für Dritte, Prevalent. Der Inhalt wurde seitdem aktualisiert und enthält nun Informationen, die auf unser Produktangebot, regulatorische Änderungen und Compliance abgestimmt sind.
