Fragen und Antworten: Der CISO des Jackson Health Systems ergreift gezielte Maßnahmen zur Verbesserung der Sicherheit
Es scheint, als würden neue Technologien alle paar Monate das Interesse führender Gesundheitsdienstleister wecken. Dieses beschleunigte Umfeld, gepaart mit anhaltenden Problemen im Zusammenhang mit Personalmangel und Finanzierung, führt dazu, dass Organisationen eifrig neue Lösungen testen möchten.
Durchdachte Innovationen müssen jedoch Hand in Hand mit der Cybersicherheit gehen , insbesondere da das Gesundheitswesen eine Branche ist, die von böswilligen Akteuren stark ins Visier genommen wird.
CISO Connie Barrera vom in Miami ansässigen Jackson Health System versteht, dass Gesundheitsorganisationen neue Tools schon gestern einsetzen möchten, betont jedoch, wie wichtig die Planung ist.
„Man kann nichts schützen, was man nicht versteht“, sagt sie. „Jede Gesundheitsorganisation muss die Falle vermeiden, etwas zu veröffentlichen, ohne das Risikoprofil und die Auswirkungen auf die übrige Umgebung zu verstehen. Eine kontinuierliche Risikobewertung ist unerlässlich.“
Barrera, der im Laufe seiner langen Karriere in der Gesundheits-IT verschiedene Positionen innehatte, sprach mit HealthTech über die sich verändernde Cybersicherheitslandschaft, wie man nicht-technische Interessengruppen erreicht und die wachsende Rolle künstlicher Intelligenz und maschinellen Lernens in der IT-Sicherheit.
Klicken Sie auf das Banner unten, um den aktuellen CDW Cybersecurity Research Report zu lesen.
BARRERA: Ich denke, das hat vor allem mit dem Ausmaß, der Breite und der Häufigkeit der Sicherheitsverletzungen zu tun, die ich als Lawine betrachte. WannaCry im Jahr 2017 war ein wichtiger Katalysator für die anhaltende Flut von Ransomware-Angriffen, insbesondere im Gesundheitswesen. Auch Warnungen des FBI und der Cybersecurity and Infrastructure Security Agency haben das Gesundheitswesen als Hauptangriffsziel in den Fokus gerückt.
Aus diesem Grund mussten Organisationen in mehreren Bereichen wachsamer sein. Einer davon ist das Internet der medizinischen Dinge , wo biomedizinische Geräte jahrelang weitgehend unverwaltet blieben, weil die Hersteller beispielsweise bestimmte Erwartungen an eine „makellose“ Umgebung stellten. Ein weiterer Bereich ist Zero Trust , das im Gesundheitswesen stark an Bedeutung gewonnen hat.
Für Unternehmen, die die Cloud eher konservativ nutzen, wird dies zunehmend schwieriger und sie haben oft keine Wahl mehr. Manche Lösungen bieten einfach keine On-Premises-Option. In vielen Fällen sind wir von einer unbefristeten Lizenzstruktur zu Abonnements übergegangen. Das erhöhte Risikoprofil, das mit der Cloud einhergehen kann, ist ein großes Problem.
Dies wirkt sich auch auf das Identitäts- und Zugriffsmanagement aus, das für Zero-Trust-Sicherheit von zentraler Bedeutung ist. Wenn Sie wissen, dass sich Ihre Systeme nicht mehr in Ihren eigenen vier Wänden befinden und Sie entweder hauptsächlich eine Cloud-Umgebung oder eine Art Hybridumgebung nutzen, ist es wichtig, die Integrität dieser Identität zu wahren. Sie müssen Ihre organisatorischen Rollen und Verantwortlichkeiten kennen, wenn die Dinge in die Cloud verlagert werden.
Da KI für Unternehmen eine immer größere Rolle spielt, verlassen sich Ihre Benutzer bereits in der einen oder anderen Form auf KI und versuchen, Kontrollen zu umgehen. Und die Gegner nutzen KI durchaus, um verschiedenen Organisationen zu schaden.
LESEN SIE MEHR: Purple-Team-Übungen können Ihre Strategie zum Bedrohungsmanagement verbessern.
HEALTHTECH: Welche Sicherheitsbereiche interessieren Jackson Health? Warum sollten sich andere Gesundheitsorganisationen auf diese Bereiche konzentrieren?BARRERA: Durch unsere Cyber-Haftpflichtversicherung setzen wir nun auf unveränderliche Backups . Das gibt uns ein deutlich höheres Maß an Sicherheit: Wir können sicher sein, dass unsere Backups nicht infiziert sind und dass die Daten nach der Sicherung nicht mehr verändert werden können. Früher war es bei einem Ransomware-Angriff möglich, dass unser Backup kompromittiert war. Die Umstellung auf unveränderliche Backups ist daher relativ einfach.
Aufgrund der Cloud, KI und einer teilweise dezentralen Architektur ist eine sehr leistungsstarke Identitäts- und Zugriffsverwaltungslösung erforderlich. Die umfassende Verwaltung von Identitäten ist der Schlüssel zu Zero Trust, insbesondere eine Lösung für privilegiertes Zugriffsmanagement . Ich denke, mit PAM spielt man in einer anderen Liga als mit regulären Anmeldeinformationen, die nicht in einem Tresor verwaltet werden.
Da wir uns bei Jackson Health auf den KI-Bereich konzentrieren, möchten wir wissen, wie die verwendeten Anmeldeinformationen verwaltet werden, da es hier oft große Lücken gibt. Es gibt eine Vielzahl von KI-Technologien, und wenn einige dieser Technologien nicht in einen geregelten Hardware-Lebenszyklusprozess eingebunden sind, kann das zu erheblichen Problemen führen. Halten Sie sich bei KI an die Grundprinzipien. Geben Sie ihr keinen administrativen Root-Zugriff, wenn sie nur lesen muss.
Jackson Health hat über mehrere Jahre hinweg mit regelmäßigen Zugriffsüberprüfungen enorme Erfolge erzielt. Wir führen monatliche Kontrollprüfungen durch und überprüfen Active Directory -Anmeldeinformationen. Viele dieser Prüfungen laufen vollständig automatisiert ab. Dies ist ein weiterer Grundsatz, den wir befolgen, um die modernen und innovativen Technologielösungen zu unterstützen, die sich jeder wünscht.
BARRERA: Je nach Kultur des Sicherheitsteams ist es möglicherweise nicht die beste Strategie, bei der Verbreitung von Sicherheitsbewusstsein und Partnerschaft zu technisch vorzugehen. Als ich kürzlich eine Gruppe von Neuankömmlingen schulte, erklärte ich ihnen, dass Sicherheit eine gemeinsame Verantwortung sei, egal wie gut unsere Sicherheitstools sind. Ich versuche auch, diese Verantwortung mit etwas Persönlichem zu verknüpfen.
Es ist harte Arbeit, weil alle sehr beschäftigt sind. Wenn Ärzte viele Patienten betreuen müssen, kann sich die Schulung zur Cybersicherheit wie eine Last anfühlen . Aber wenn man sich persönlich mit anderen Abteilungen trifft, die Schlagzeilen und persönlichen Geschichten austauscht, fühlt es sich bedeutsamer an. Wir haben auch Ausschüsse, die sich aus einem Querschnitt der Organisation zusammensetzen. Mit der Zeit entsteht ein unglaubliches Engagement mit Mitarbeitern aus anderen Abteilungen.
Innerhalb dieser Ausschüsse planen wir auch persönliche „Roadshows“. Nach dieser Öffentlichkeitsarbeit und dem persönlichen Austausch entstehen viele Synergien, und wir haben sogar Leute, die andere betreuen möchten. Die Aufmerksamkeit der Leute ist also da, aber das erfordert Pflege und Förderung. Es ist wie Risikomanagement, denn es ist ein kontinuierlicher Kreislauf.
Es hilft, dass Sicherheit fest in unserer Unternehmenskultur verankert ist. Engagierte und unterstützende Führungskräfte machen den entscheidenden Unterschied, um all diese Aktivitäten wie die Roadshow und die jährliche Sicherheitsschulung, die jeder absolvieren muss, durchführen zu können. In manchen Organisationen passiert gar nichts, wenn jemand die Schulung nicht absolviert. Bei Jackson Health hingegen ist die Compliance hundertprozentig gewährleistet. Jeder absolviert die erforderlichen Schulungen, da sonst sein Konto gesperrt wird und er sich an die Personalabteilung wenden muss, um die Schulung zu absolvieren, bevor er wieder arbeiten kann.
ENTDECKEN SIE: Stärken Sie Ihre Sicherheit mit kostengünstigen Schulungen.
HEALTHTECH: Wie werden sich KI/ML und Datenanforderungen in Zukunft auf die Sicherheit im Gesundheitswesen auswirken?BARRERA: Wir alle haben unterschiedliche Akzeptanzgrade. Ich denke, eine der wichtigsten Erkenntnisse ist, dass Ihre Benutzer KI nutzen, auch wenn Sie denken, dass Ihr Unternehmen sie nicht nutzt. Bei Jackson Health nutzen wir KI unter anderem für bestimmte wiederkehrende Prozesse, die fehleranfällig sind, wenn sie von Menschen ausgeführt werden. Ein Beispiel ist die Terminverschiebung mit angehängten Bestellungen. Der durchschnittliche Mensch löscht den Termin vielleicht einfach, um einen neuen zu erstellen, selbst wenn er ein Skript hat, und stellt dann fest: „Oh, ich habe den Termin mit einer Bestellung, drei Bestellungen und fünf Bestellungen gelöscht.“ Diese Bestellungen sind weg. Deshalb wird dieser Prozess durch eine Automatisierung ersetzt, die präziser und effizienter ist.
Das IT-Sicherheitsteam arbeitet Hand in Hand mit dem Data-Science-Team für die Anwendungsintegration. Alles, was vor der Beschaffung eingeht, wird einem Sicherheitsfragebogen unterzogen. Wir bewerten das Risiko. Bei der Bereitstellung scannen und validieren wir die Lösung und lernen so mehr darüber.
Ich glaube jedoch, dass KI im Gesundheitswesen eine vielversprechende Zukunft hat. Wir nutzen seit vielen Jahren eine Lösung zur Verhaltensanalyse, die KI nutzt. Daher prüfen wir kontinuierlich, wie wir die Effizienz unseres Sicherheitszentrums, das den Grundstein für unsere Reaktion auf Vorfälle und ähnliches bildet, steigern können. Angesichts der hohen Zahl von KI-Angriffen auf das Gesundheitswesen müssen wir mit denselben oder besseren Mitteln dagegen vorgehen. Wir sind überzeugt, dass uns der Einsatz von KI einen entscheidenden Vorteil verschafft.
Wir arbeiten auch an Kommunikation und Öffentlichkeitsarbeit. Wir passen unsere Richtlinien für den akzeptablen Einsatz von KI im Gesundheitssystem an, da wir uns bewusst sind, dass Menschen KI ständig außerhalb des Netzwerks nutzen. Wir regulieren so viele Dinge wie möglich. Beispielsweise erlauben wir ChatGPT, Grok oder ähnliche generative KI-Tools nicht, wissen aber, dass es für Mitarbeiter immer Möglichkeiten gibt, diese Kontrollen zu umgehen. Es liegt an uns, die akzeptable Nutzung und den Schutz der Patientendaten zu gewährleisten und den unrechtmäßigen Austausch von Daten zu verhindern. Wir möchten, dass die KI-Lösung, mit der wir uns verbinden, dazu beiträgt, den Slogan unseres Gesundheitssystems zu verwirklichen: „Wunder geschehen lassen“.
healthtechmagazine
