Was passiert, wenn Ihre Gesundheitsdaten gestohlen oder als Lösegeld aufbewahrt werden? Es hängt davon ab, ob

Warum Cybersicherheit ein großes Problem für kleine Unternehmen ist Cybersicherheitsangriffe können kleine Unternehmen lähmen, die nicht vorbereitet sind. Karen Roby von TechRepublic spricht mit einem Sicherheitsexperten über Ransomware, Phishing-Angriffe und unzureichende IT-Verteidigungspläne.

Cyberangriffe auf Arztpraxen und Krankenhäuser nehmen zu. Krankenakten sind viel mehr wert als eine Kreditkartennummer oder eine Sozialversicherungsnummer - 250 USD pro Akte gegenüber 5, 40 USD für eine Nummer.

Im Travelers Risk Index 2019 nannten Führungskräfte des Gesundheitswesens die Cybersicherheit als Hauptanliegen. Die Umfrage ergab auch, dass Führungskräfte einige Schritte unternehmen, um sich gegen diese Angriffe zu verteidigen: Etwa die Hälfte der Befragten hatte eine Cyberversicherung abgeschlossen und einen Business Continuity Plan erstellt. Nur 34% haben einen Cyber-Verstoß simuliert, um Bereiche mit Systemschwachstellen zu identifizieren.

Disaster Recovery- und Business Continuity-Plan (TechRepublic Premium)

Die Entscheidung, ob das Lösegeld bei einem Ransomware-Angriff gezahlt werden soll, ist nur die erste große Entscheidung. Unmittelbar nach einem Angriff müssen Führungskräfte im Gesundheitswesen bestimmen, wie die staatlichen und bundesstaatlichen Vorschriften für die Datenverletzung gelten. Das Gesetz über die Portabilität und Rechenschaftspflicht von Krankenversicherungen von 1996 (HIPAA) enthält einige Leitlinien, und jeder Staat hat seine eigenen Gesetze.

Führungskräfte im Gesundheitswesen müssen auch entscheiden, wie sie die Tatsache eines Angriffs ankündigen und wie viel sie Mitarbeitern und Patienten mitteilen sollen. Die Entscheidung, einen Verstoß anzukündigen, ist nicht so eindeutig, wie sie sein sollte.

TechRepublic kontaktierte 15 der größten Gesundheitsorganisationen in Amerika, um nach ihren Richtlinien für das Management von Datenverletzungen und die Übermittlung von Verstößen an Patienten und Mitarbeiter zu fragen.

Ein Krankenhaus antwortete: "Kein Kommentar." Der Rest hatte überhaupt nichts zu dieser Politik zu sagen.

Zohar Pinhasi, CEO von MonsterCloud, sagte, sein Unternehmen habe in den letzten Monaten einen Anstieg der Anrufe von Gesundheitsunternehmen um bis zu 500% verzeichnet. Da Krankenhäuser und andere Anbieter nicht zugeben möchten, die Kontrolle über ihre Daten zu verlieren, geben Organisationen den Angriff nicht weiter.

"Wenn es um Ransomware geht, ist es allen peinlich, und niemand will reden", sagte er.

Da Datenverletzungen Realität werden und nicht nur Sorgen bereiten, müssen Führungskräfte im Gesundheitswesen mehr tun, um sich auf eine Verletzung vorzubereiten. Hier sehen Sie, was Bundes- und Landesgesetze verlangen und wie Sie die Öffentlichkeit über einen Verstoß informieren können.

HIPAA und Datenschutzverletzungen

Einzelne HIPAA-Regeln gelten für Datenschutz, Sicherheit und Benachrichtigung über Verstöße. Die Offenlegungspflichten hängen davon ab, wie viele Personen von einem Verstoß betroffen sind. Wenn weniger als 500 Menschen betroffen sind, können Gesundheitsdienstleister den Verstoß in einem Jahresbericht melden. Wenn mehr als 500 Personen betroffen sind, muss das Krankenhaus oder ein anderer Anbieter innerhalb von 60 Tagen eine Pressemitteilung veröffentlichen.

Die HIPAA-Benachrichtigungsregeln gehen davon aus, dass geschützte Gesundheitsinformationen offengelegt und nicht einfach beschlagnahmt wurden. Theoretisch riskieren die meisten Ransomware nicht die Veröffentlichung dieser Informationen, sondern nur deren Verfügbarkeit, wie Allan Buxton von Secure Forensics hervorhebt.

"Obwohl sie eine Untersuchung eines Ransomware-Vorfalls vorschreiben, überlassen es die HIPAA-Richtlinien derzeit der Agentur, zu bestimmen, ob eine Benachrichtigung erforderlich ist", sagte er.

Mary Hildebrand, Vorsitzende der Datenschutz- und Cybersicherheitspraxis bei Lowenstein Sandler, sagte, ein Ransomware-Angriff werde im Allgemeinen als Datenverletzung im Rahmen der HIPAA angesehen, da es sich um eine nicht autorisierte Offenlegung von ePHI handelt. Bei einem Ransomware-Angriff wird eEPHI von den Tätern verschlüsselt, die Geld, Bitcoin oder eine andere wertvolle Überlegung für die Bereitstellung eines Schlüssels zum Entsperren der Daten verlangen.

"OCR argumentiert, dass ePHI während des Verschlüsselungsprozesses erworben wurde, es sei denn, die betroffene abgedeckte Entität kann das Gegenteil beweisen", sagte sie. "Wie jede Gesundheitsorganisation, die sich mit diesem Problem auseinandergesetzt hat, Ihnen sagen kann, ist dies eine hohe Messlatte."

Chris Duvall, Senior Director bei The Chertoff Group, sagte, dass Unternehmen das Potenzial für finanzielle und Reputationsschäden mit den gesetzlichen und behördlichen Berichtspflichten in Einklang bringen müssen. Duvall sagte, die gesetzlichen Anforderungen für die Offenlegung seien nicht immer klar.

"Darüber hinaus können US-Regierungsbehörden in einigen Fällen diejenigen, gegen die verstoßen wird, eher wie Kriminelle als wie Opfer behandeln, insbesondere wenn die Behörde der Ansicht ist, dass die Sicherheitsfähigkeiten der Organisation ineffektiv waren", sagte er.

Auf staatlicher Ebene variieren die Gesetze in Bezug auf Datenschutzverletzungen dramatisch, sodass Gesundheitsorganisationen grundsätzlich einen staatlichen Ansatz für die Offenlegung von Verstößen verfolgen müssen. Die meisten - aber nicht alle - Staaten verlangen von Gesundheitsorganisationen, dass sie den Generalstaatsanwalt oder eine andere staatliche Behörde über Verstöße informieren. Nur 18 Staaten legen einen bestimmten Zeitrahmen für die Benachrichtigung von Personen fest, deren Daten offengelegt wurden. Nur fünf Staaten müssen benachrichtigt werden, wenn auf Daten zugegriffen wurde, diese jedoch nicht verfügbar gemacht wurden.

Patienten und Mitarbeitern erzählen

Vince Galloro von Sunrise Health Communications sagte, dass Gesundheitsorganisationen einen Verstoß sofort offenlegen sollten, selbst in Fällen, in denen Bundes- und Landesgesetze keine öffentliche Offenlegung erfordern.

"Die Organisation muss weiterhin mit ihren Stakeholdern und der breiten Öffentlichkeit über die Auswirkungen des Angriffs kommunizieren, auch wenn sie den Angriff nicht detailliert beschreiben kann", sagte er. "Kommunikationsleiter in Gesundheitsorganisationen sollten eine Roadmap erstellen, um auf diese beiden Situationen zu reagieren - bevor sie auftreten."

Professor Mohammad Nejad, Associate Professor für Marketing an der Fordham University, sagte, dass Gesundheitsorganisationen sowohl ethische Verantwortung gegenüber Patienten als auch geschäftliche Gründe haben, um einen Verstoß so schnell wie möglich offenzulegen.

"Dies ist ein sehr unglückliches Ereignis, das zum Misstrauen aller Beteiligten gegenüber dem Unternehmen, der Führung und den Mitarbeitern führen wird", sagte er. "Je transparenter das Unternehmen ist und Informationen bereitstellt, desto mehr Kontrolle haben sie über die Verbreitung negativer Mundpropaganda."

Hildebrand sagte, die Frage sei nicht, was man Mitarbeitern und Patienten sagen soll, sondern auch wann und wie. Sie empfiehlt, die Nachrichten kurz, sachlich und zeitnah zu halten.

"Geben Sie keine Informationen weiter, die sie nicht wissen müssen", sagte sie. "Bei der Implementierung von Lösungen werden mehrere Nachrichten angezeigt."

Buxton sagte, er würde sich auf der Seite der Offenlegung irren, insbesondere wenn Patientendaten unwiederbringlich gemacht werden, aber erst, nachdem die Untersuchung des Vorfalls abgeschlossen ist und die vollständigen Auswirkungen bekannt sind.

Der Schlüssel - keine Überraschung - ist vorzubereiten.

"Wenn ein Unternehmen beispielsweise in der Lage ist, einen Notfallwiederherstellungsplan auszuführen, der Datensicherungen, Anwendungen, Infrastruktur- / Cloud-Kapazität und entsprechend qualifiziertes Personal umfasst, gibt es realistische Alternativen zur einfachen Zahlung", sagte Hildebrand.

Cybersecurity Insider Newsletter

Stärken Sie die IT-Sicherheitsabwehr Ihres Unternehmens, indem Sie sich über die neuesten Nachrichten, Lösungen und Best Practices zur Cybersicherheit auf dem Laufenden halten. Lieferung dienstags und donnerstags

Heute anmelden

© Copyright 2021 | mobilegn.com