GlobalSign Blog

12 Jul 2017

Vorschriften im Gesundheitswesen und Best Practices für Cybersicherheit

Warum digitale Zertifikate Teil Ihrer Sicherheits- und Datenschutzstrategie sein sollten

Personenbezogene Daten geheim und auch sicher zu halten, ist im Gesundheitssektor extrem wichtig. Es ist toll, dass es jetzt 21 Jahre her ist, seit Titel I des Health Insurance Portability and Accountability Act (HIPAA) in den Vereinigten Staaten verabschiedet wurde, um den Krankenversicherungsschutz für Arbeitnehmer und ihre Familien zu sichern. 2003 wurde Titel II als nationaler Standard für elektronische Transaktionen im Gesundheitswesen und nationale Kennzeichnungsvorschriften für Versorger, Krankenversicherungen und Mitarbeiter eingerichtet. Zu diesem Zeitpunkt wurden viele der Datenschutz- und Sicherheitsregeln für den Schutz elektronisch geschützter Gesundheitsdaten (e-PHI) definiert.

Vor einigen Jahren haben der US-Kongress und das Department of Health and Human Services (Gesundheitsministerium HHS) im Cybersecurity Act von 2015 die Health Care Industry Cybersecurity (HCIC) Task Force eingerichtet, um der wachsenden Besorgnis hinsichtlich der Risiken und Bedrohungen der Cybersicherheit für das Gesundheitswesen zu begegnen. Erst vor Kurzem hat die Task Force ihre Ergebnisse in dem sehr detaillierten Report on Improving Cybersecurity in the Health Care Industry veröffentlicht, der die Dringlichkeit und Komplexität der Cyberbedrohungen und die empfohlenen Maßnahmen, die die Gesundheitsindustrie zum Schutz der Gesundheitssysteme und Patienten ergreifen sollten, betont.

Das Ökosystem des Gesundheitswesens ist äußerst komplex und konzentriert sich vor allem auf die Dienstleistungen, Pflege und Produkte, die seinen Patienten und Verbrauchern geleistet werden. Stellen Sie sich als Patient einmal alle Interaktionen vor, die Sie bei nur einem Arzttermin haben und alle Daten und Aufzeichnungen, die dabei generiert werden. Gesundheitseinrichtungen und -organisationen sind weiterhin Teil dieser digitalen Transformation, die eine bessere Betreuung und besseren Service verspricht. Patientenakten sind heutzutage nicht nur meistens vollständig digitalisiert, sondern Patientenkontrolle und Datenerfassung sind inzwischen auch voll automatisiert. Aber mit mehr digitalen Daten und Prozessen steigt auch das Risiko von Cyberattacken exponentiell an.

Gesundheitseinrichtungen und -organisationen sind oft wegen der Patientenakten und des Schadens, der durch die Kompromittierung ihrer Sicherheit angerichtet werden kann, das Ziel. Sie werden als leichte Ziele angesehen, da sich so viele Menschen und Mitarbeiter mit allen möglichen Geräten und zugänglichen Netzwerken verbinden. Darüber hinaus sind ältere Geräte, die evtl. anfällig sind, immer noch in Gebrauch, da sie schwer zu aktualisieren, teuer zu ersetzen oder noch sehr wertvoll für die tägliche Patientenversorgung sind. Ein aktuelles, sehr öffentliches Beispiel war die WannaCry Ransomware Attacke, die auf eine bekannte Microsoft Windows-Schwachstelle abzielte. Dieser Angriff hätte mit einem einfachen Patch verhindert werden können. WannaCry zielte auf viele Gesundheitseinrichtungen und zeigte in einigen Ländern erhebliche Auswirkungen.

Während die Arbeit der HCIC Task Force und die Veröffentlichung des Berichts zur Cybersicherheit eine Vielzahl von Richtlinien bietet, die an dem NIST Cybersecurity Framework ausgerichtet sind, müssen die technischen Sicherungsmaßnahmen von HIPAA Teil der Cybersicherheits-Strategie aller Gesundheitsorganisation sein. Dieser kürzlich von Health IT Security veröffentlichte Artikel Implementing HIPAA Technical Safeguards for Data Security, bietet einen guten Überblick über technische Sicherungsmaßnahmen und was passiert, wenn sie nicht vorhanden sind.

Was sind technische Sicherungsmaßnahmen?

Nach Definition der HIPAA Security Rule, sind technische Sicherungsmaßnahmen die Technologie und die Richtlinien und Verfahren für ihren Einsatz, die elektronisch geschützte Gesundheitsdaten (e-PHI) schützen und den Zugang zu ihnen kontrollieren.

Nach der HIPAA Security Rule gehören zu den technischen Sicherungsmaßnahmen:

  • Zugangskontrolle - Eine vom Gesetz erfasste Einrichtung (Covered Entity) muss technische Richtlinien und Verfahren implementieren, die nur autorisierten Personen den Zugang zu e-PHI erlaubt.
  • Sicherheitsprüfungs-Kontrollen - Eine Covered Entity muss Hardware-, Software- und/oder Verfahrensmechanismen implementieren, um den Zugang und andere Aktivitäten in Informationssystemen, die e-PHI enthalten oder verwenden, zu erfassen und zu untersuchen.
  • Integritätskontrollen - Eine Covered Entity muss Richtlinien und Verfahren implementieren, um zu gewährleisten, dass e-PHI nicht missbräuchlich verändert oder gelöscht werden. Es müssen elektronische Maßnahmen getroffen werden, um zu bestätigen, dass e-PHI nicht missbräuchlich verändert oder gelöscht wurden.
  • Übertragungssicherheit - Eine Covered Entity muss technische Sicherheitsmaßnahmen implementieren, die vor unberechtigtem Zugang zu e-PHI schützen, die über ein elektronisches Netzwerk übertragen werden.

technical safeguards for cybersecurity in the healthcare industy

(Quelle: HHS)

Nichtimplementierung von technischen Sicherungsmaßnahmen gemäß HIPAA

Nun, zuerst einmal ist die Nichtimplementierung für eine Gesundheitsorganisation keine Option. Die Implementierung dieser technischen Sicherungsmaßnahmen trägt dazu bei, dass sicherheitsrelevante Ereignisse verhindert werden. Sie müssen auch HIPAA konform sein, wenn Ihr Auditor Sie prüft. Garantiert dies, dass nie ein sicherheitsrelevantes Ereignis eintritt? Nein. Aber die Einhaltung der HIPAA-Sicherheitsregeln und die Implementierung von Best Practices für die Sicherheit, um diese technischen Sicherungsmaßnahmen anzugehen, weisen nach, dass Sie konform waren und ermöglichen es Ihnen evtl., eine hohe Geldstrafe zu vermeiden, wenn ein sicherheitsrelevantes Ereignis eintritt und festgestellt wurde, dass Ihre Organisation die Sicherungsmaßnahmen ordnungsgemäß implementiert hatte.

Wie helfen digitale Zertifikate?

An dieser Stelle schlägt unser Herz höher. Die HIPAA Security Rule definiert keine spezifischen Anforderungen an Technologietypen, sodass eine Gesundheitsorganisation ihre eigenen Sicherheitsmaßnahmen implementieren kann, um den Standard und die Spezifikation zu erfüllen. Als Mitarbeiterin von GlobalSign, einer weltweit führenden Zertifizierungsstelle, sehe ich eine entscheidende Rolle für digitale Zertifikate dabei, wie Gesundheitseinrichtungen und -organisationen die HIPAA technischen Sicherungsmaßnahmen angehen. Die Schlüsselbegriffe, die hervorstechen, sind eindeutige Benutzeridentifikation, Verschlüsselung und Entschlüsselung, Authentifizierungs- und Integritätskontrollen.

Best Practices der Sicherheit beginnen mit Identität. Wenn jedes "Ding" eine Identität hat, kann alles sicherer sein. Menschen, Geräte, Dienste, Anwendungen und all die Dinge, die sich mit dem Internet verbinden, müssen eine Identität haben, um Kommunikationen und Transaktionen zu verschlüsseln, sich für einen Dienst zu authentifizieren, einen ordnungsgemäßen Zugang zu autorisieren und ihre Integrität nachzuweisen. Digitale Zertifikate bieten diese Identität und das Vertrauen - Sie ermöglichen viele Sicherheitsanwendungen, die in den technischen Sicherungsmaßnahmen der HIPAA angegangen werden müssen:

  • Web- und Serversicherheit - Weisen Sie nach, dass Ihre öffentlichen und privaten Websites und Server legitim sind und schützen und verschlüsseln Sie Datenübertragungen und -transaktionen mit SSL/TLS-Zertifikaten.
  • Benutzer- und Geräteauthentifizierung und Zugangskontrolle - Implementieren Sie starke Authentifizierung, ohne die Endbenutzer mit Hardware-Token oder Anwendungen zu belasten, und gewährleisten Sie, dass nur zugelassene Benutzer, Computer und Geräte (einschließlich Mobilgeräte) Zugang zu autorisierten Netzwerken und Diensten haben.
  • Dokumentensignierung - Digitale Signaturen mit vertrauenswürdigen digitalen Zertifikaten ersetzen handschriftliche Unterschriften und schaffen ein manipulationssicheres Siegel zum Schutz Ihrer Patientenakten und anderer Dokumente, die sicher und geheim gehalten werden müssen.
  • Sichere E-Mail - Digitales Signieren und Verschlüsseln aller internen E-Mails mindert die Risiken von Phishing und Datenverlust durch eine klare Verifizierung der Nachrichtenherkunft. Damit können Empfänger legitime von Phishing-Mails unterscheiden und es wird gewährleistet, dass nur bestimmungsgemäße Empfänger Zugang zu E-Mail-Inhalten haben.

Es besteht kein Zweifel daran, dass die Sicherheit im Gesundheitswesen komplex und absolut notwendig ist, um sensible Daten sicher und geheim zu halten. Verordnungen wie HIPAA und Leitlinien der HCIC Task Force bieten einen hervorragenden Rahmen und Empfehlungen für die Einführung von Best Practices für ein sichereres Umfeld. Digitale Zertifikate sollten ein Teil Ihres mehrschichtigen Sicherheitsansatzes sein und wir sind hier, um Ihnen zu helfen.

Ich würde mich freuen, noch heute mit Ihnen darüber zu sprechen, wie wir Ihnen helfen können, Zertifikate in Ihrer IT-Infrastruktur zu automatisieren, zu verwalten und zu integrieren.

Artikel teilen