Der Anbieter von Abrechnungs- und IT-Lösungen für das Gesundheitswesen PracticeMax gab bekannt, dass er zwischen dem 17. April und dem 5. Mai Opfer eines Ransomware-Angriffs geworden ist. PracticeMax ist ein Geschäftspartner der Gesundheitsorganisationen Humana und Anthem. Während des Angriffs verschaffte sich ein unbefugter Akteur Zugang zu mehr als 4.000 Humana-Patientendateien, die geschützte Gesundheitsdaten (PHI) enthielten, und stahl diese.
Dieser Ransomware-Angriff ist bei weitem nicht der erste, der sich gegen die Gesundheitsbranche richtet. Tatsächlich haben wir erst letztes Jahr erlebt, wie sich die Ryuk-
aktiv in Krankenhaussystemen verbreitet hat. Und die Fälle von Ransomware-Angriffen im Gesundheitswesen nehmen weiter zu. Der Angriff auf PracticeMax ist nur das jüngste Beispiel dafür, warum Organisationen im Gesundheitswesen bessere Präventionsmaßnahmen benötigen, um die schwächsten Glieder in ihrer Lieferkette zu schützen: Drittanbieter und Geschäftspartner. In diesem Beitrag geben wir einige Tipps, wie dies gelingen kann.
5 Tipps zur Verbesserung des Risikomanagements für Geschäftspartner
Um in jeder Phase des Lieferantenlebenszyklus Einblick in die Risiken von Geschäftspartnern zu erhalten und besser auf einen Angriff auf die Lieferkette vorbereitet zu sein, sollten Sie die folgenden Tipps beachten:
1. Kennen Sie Ihre Geschäftspartner – und die Risiken, die sie mit sich bringen.
Als ersten Schritt zur Verringerung Ihrer Angriffsfläche durch Dritte sollten Sie vor oder während der Onboarding-Phase eine inhärente Risikobewertung aller Geschäftspartner (BAs) durchführen. Eine ransomware-spezifische inhärente Risikobewertung liefert Erkenntnisse zu Faktoren wie:
- Interne Sicherheitskontrollen und -instrumente
- Verfahren zur Reaktion auf Vorfälle
- Schulungsprogramme zur Sensibilisierung der Mitarbeiter für Sicherheitsfragen
Sie können die Ergebnisse dann im Zusammenhang mit der Art der verarbeiteten Daten nutzen, um Ihre Geschäftspartner einzustufen und die anschließenden Sorgfaltspflichten entsprechend anzupassen.
Profi-Tipp: Um den Onboarding- und ersten Risikobewertungsprozess zu beschleunigen, sollten Sie eine Bibliothek mit bereits durchgeführten Risikobewertungen von Anbietern nutzen. Die Risikobewertungen in diesen Repositorien sollten auf einem Standard der Gesundheitsbranche basieren, wie beispielsweise H-ISAC, und dynamische Aktualisierungen mit den neuesten Erkenntnissen zu Cyber-, Geschäfts-, Reputations- und Finanzrisiken enthalten.
2. Erstellen Sie umfassende Anbieterprofile, die auch Technologien von Drittanbietern umfassen.
Die aktuellen Profile Ihrer Geschäftspartner umfassen wahrscheinlich den Jahresumsatz, den Branchencode, die Eigentumsverhältnisse, die Reputation und andere Attribute. Allerdings bieten sie wahrscheinlich keinen Einblick in die Produkte und Dienstleistungenvon Viertanbietern, die von Ihren Geschäftspartnern genutzt werden. Wenn Sie wissen, welche Produkte und Tools sie einsetzen, können Sie das Konzentrationsrisiko besser einschätzen, wenn die Technologie eines Viertanbieters Opfer einer Datenpanne geworden ist (z. B. Kaseya). Suchen Sie nach Risikomanagementlösungen von Drittanbietern, die automatisch Beziehungen zu Technologien von Drittanbietern abbilden, um den Prozess zu vereinfachen.
3. Führen Sie kontinuierlich Risikobewertungen Ihrer Geschäftspartner durch – nicht nur bei Vertragsverlängerungen.
Die Bewertung Ihrer Lieferanten während der Einarbeitung ist ein guter Anfang. Wenn Sie jedoch nachfolgende Neubewertungen auf feste Zeiträume wie Vertragsverlängerungen beschränken, übersehen Sie alle Risiken, die in der Zwischenzeit auftreten. Es gibt mehrere Ansätze, um diese Lücken zu schließen:
- Ein proaktiver Ansatz, bei dem vollständige Bewertungen häufiger durchgeführt werden
- Ein reaktiver Ansatz, bei dem Risikobewertungen als Reaktion auf bestimmte Ereignisse durchgeführt werden.
Jeder Ansatz bietet Vorteile und liefert regelmäßigere Einblicke, damit Sie BA-Risiken besser im Griff haben. Proaktive Ansätze kombinieren eine vom Anbieter durchgeführte, kontrollbasierte Bewertung mit einer externen Analyse von Bedrohungen aus dem Internet und dem Dark Web sowie öffentlichen und privaten Quellen für Informationen zu Reputation, Sanktionen und Finanzen. Der Schlüssel zu diesem Ansatz liegt in der Normalisierung und Korrelation der Daten aus allen Quellen in einem einzigen Risikoregister für zentrale Kontextinformationen, Quantifizierung, Verwaltung und Behebung.
Ein reaktiver Ansatz automatisiert die Auslösung, Ausgabe und Analyse von ereignisspezifischen Bewertungen (z. B. als Reaktion auf den SolarWinds-Angriff) auf der Grundlage der in Tipp 2 oben beschriebenen Beziehungen zu Viertanbietern. In beiden Fällen erhalten Sie regelmäßigere Einblicke für fundiertere, risikobasierte Entscheidungen in Bezug auf Ihre Lieferkette.
4. Ignorieren Sie das Offboarding nicht – Risiken können bestehen bleiben, wenn die Beziehungen zu Lieferanten enden.
Obwohl der PracticeMax-Angriff einen aktuellen Anbieter betraf, ist es wichtig, dass Sie den Offboarding-Prozess genauso streng handhaben wie den Onboarding-Prozess. Wenn Sie Ihre BA-Beziehungen beenden, sollten Sie überprüfen, ob die BAs Maßnahmen wie die Entsorgung der PHI und Vermögenswerte Ihrer Patienten gemäß den gesetzlichen Anforderungen und den Best Practices der Branche ergreifen. Andernfalls könnten Sie mit hohen Geldstrafen konfrontiert werden (fragen Sie einfach Morgan Stanley). Wir haben festgestellt, dass nur wenige Unternehmen sich mit Risiken während der Offboarding-Phase ihrer BA-Beziehungen befassen. Suchen Sie nach Lösungen, mit denen Sie Aufgaben zur Überprüfung von Verträgen planen können, um sicherzustellen, dass alle Verpflichtungen erfüllt wurden, und erstellen Sie anpassbare Vertragsbewertungen, um den Offboarding-Status zu bewerten.
5. Automatisieren Sie die Berichterstellung für eine effiziente Zuordnung zu HIPAA und anderen Anforderungen.
Die HIPAA-Sicherheitsvorschrift verlangt von betroffenen Unternehmen, dass sie mit jedem Drittanbieter, der Dienstleistungen im Auftrag des Unternehmens erbringt, einen Geschäftspartnervertrag (BAA) abschließen. Der Vertrag verpflichtet die Geschäftspartner zur Einhaltung derselben HIPAA-Standards wie das betroffene Unternehmen und gewährleistet so die Sicherheit der PHI-Daten der Patienten. Wenn Sie mit Dutzenden, Hunderten oder sogar Tausenden von Dritten zu tun haben, kann die manuelle Erfassung und Analyse dieser Informationen in einer Tabellenkalkulation schnell zu einer überwältigenden Aufgabe werden. Suchen Sie nach Lösungen, die nicht nur die Erfassung und Analyse von BA-Risikodaten automatisieren, sondern auch HIPAA-spezifische Berichte erstellen, die den Compliance-Status und etwaige Schwachstellen aufzeigen, bevor Sie sich an Ihre externen Prüfer wenden. Dies wird den Prozess der Risikominderung erheblich beschleunigen.
Nächste Schritte für das Risikomanagement für Dritte im Gesundheitswesen
Ein ganzheitlicher Ansatz für die Sicherheit von Geschäftspartnern und der Schutz von Daten in jeder Phase des Lebenszyklus von Drittanbietern kann Ihnen dabei helfen, Risiken zu minimieren und zu vermeiden, das nächste Opfer einer Ransomware-Datenpanne zu werden. Für genauere Informationen darüber, wie Prevalent Ihnen dabei helfen kann, die Anforderungen der HIPAA-Sicherheitsvorschriften für Geschäftspartner zu erfüllen, laden Sie die HIPAA-Checkliste für die Einhaltung von Vorschriften durch Drittanbieter herunter oder kontaktieren Sie uns noch heute für eine Strategiesitzung.
Bonus: Wenn Sie glauben, dass ein Geschäftspartner Opfer eines Ransomware-Angriffs geworden ist, verwenden Sie diesen kostenlosen Fragebogen, um Ihr Risiko zu ermitteln.
Anmerkung der Redaktion: Dieser Beitrag wurde ursprünglich veröffentlicht auf Prävalent.net. Im Oktober 2024 übernahm Mitratech das KI-gestützte Risikomanagement für Dritte, Prevalent. Der Inhalt wurde seitdem aktualisiert und enthält nun Informationen, die auf unser Produktangebot, regulatorische Änderungen und Compliance abgestimmt sind.
