Schutz von digitalen Gesundheitsdaten vor Cyberangriffen

Im Jahr 2023 meldete das Office for Civil Rights (OCR) des Department of Health and Human Services (HHS) 541 Fälle von Datenschutzverletzungen, von denen mehr als 500 Personen betroffen waren. Einige dieser Vorfälle betrafen Millionen oder sogar Dutzende von Millionen von Personen, wie der weithin bekannt gewordene Verstoß bei HCA Healthcare im Sommer. 

An Thanksgiving desselben Jahres wurde Ardent Health Services von einem Ransomware-Angriff heimgesucht, der das System mit 30 Krankenhäusern dazu veranlasste, proaktiv alle Benutzerzugriffe auf die Anwendungen von IT abzuschalten und zu unterbrechen. Dies führte zu Verzögerungen bei Verfahren, die keine Notfälle waren. 

Bis Februar 2024 verzeichnete das HIPAA Journal 24 Datenschutzverletzungen, die 10.000 Gesundheitsdaten betrafen. 

Neue Anforderungen an die Datensicherheit im Gesundheitswesen zeichnen sich ab, da der Gesetzgeber die Unternehmen für den Datenschutz verantwortlich machen will. 

Die HIPAA Privacy Rule, 45 CFR Part 160 und Subparts A und E von Part 164, beschreibt die zulässige und erforderliche Verwendung und Weitergabe von geschützten Gesundheitsinformationen (PHI). PHI können in jeder Form vorliegen, einschließlich auf Papier, Film und in elektronischer Form, und gelten als individuell identifizierbare Gesundheitsinformationen. 

HIPAA Security Rule, 45 CFR Part 160 und Part 164, Subparts A und C, umreißt die Anforderungen für elektronische PHI (ePHI). Die betroffenen Einrichtungen und ihre Geschäftspartner sind verpflichtet, die Vertraulichkeit, Integrität und Verfügbarkeit von ePHI zu gewährleisten. 

Die HIPAA Breach Notification Rule, 45 CFR §§ 164.400-414, schreibt vor, dass HIPAA-abgedeckte Einrichtungen und ihre Geschäftspartner nach einem Verstoß gegen ungesicherte geschützte Gesundheitsdaten benachrichtigt werden müssen. 

Die NIST-Sonderveröffentlichung 800 NIST SP 800-66r2, die im Februar 2024 veröffentlicht wurde, bietet regulierten Einrichtungen (d. h. HIPAA-abgedeckten Einrichtungen und Geschäftspartnern) Anleitungen zur Bewertung und Verwaltung von Risiken für ePHI, identifiziert typische Aktivitäten, die eine regulierte Einrichtung als Teil eines Informationssicherheitsprogramms in Betracht ziehen könnte, und stellt Anleitungen vor, die regulierte Einrichtungen ganz oder teilweise nutzen können, um ihre Cybersicherheitslage zu verbessern und die Einhaltung der HIPAA-Sicherheitsregel zu unterstützen. 

Im Dezember 2023 veröffentlichte das Department of Health and Human Services (HHS) ein Konzeptpapier, in dem es seine Cybersicherheitsstrategie für den Gesundheitssektor darlegt. Diese Strategie legt den Schwerpunkt auf verstärkte Durchsetzungsbemühungen und die Einführung von hohen Branchenstandards. Im Januar 2024 stellte das HHS dann seine sektorspezifischen Cybersicherheitsziele (CPGs) für das Gesundheitswesen und das öffentliche Gesundheitswesen vor. Diese Ziele sind in "wesentliche" und "erweiterte" Kategorien unterteilt und zielen darauf ab, weit verbreitete Cybersicherheitsschwachstellen in der Gesundheitsbranche zu beheben. 

Das 405(d)-Programm des HHS bietet praktische Anleitungen für Organisationen im Gesundheitswesen, die sich mit der komplexen Umsetzung robuster Datensicherheitsmaßnahmen befassen. Diese Initiative unterstreicht die strategische Integration von Data Loss Prevention (DLP)-Systemen als zentrale Komponente eines umfassenden Datensicherheitsrahmens. Die Anpassung von DLP-Lösungen an die besonderen Anforderungen von Arbeitsabläufen im Gesundheitswesen birgt das Potenzial, Fehlalarme erheblich zu reduzieren und die Gesamteffektivität von Datenschutzinitiativen zu verbessern.  

Bundesgesetze wie der Gramm-Leach-Bliley Act (GLBA), der Family Educational Rights and Privacy Act (FERPA) und der Fair Credit Reporting Act (FCRA) schützen die Vertraulichkeit von personenbezogenen Daten. Zusätzlich zu diesen bundesstaatlichen Vorschriften kommen immer wieder neue einzelstaatliche Gesetze hinzu, die den Datenschutz und die Schutzmaßnahmen weiter verstärken: 

Wie können Gesundheitsdienstleister, für die Patientendaten und Sicherheit von größter Bedeutung sind, sicher sein, dass ihre vorhandenen Sicherheitstools gegen die sich entwickelnden Bedrohungen wirksam sind? 

Die Zahl der Angriffe auf kleinere, regionale Gesundheitsdienstleister hat spürbar zugenommen, was den Bedarf an starken Cybersicherheitsmaßnahmen unterstreicht. Diese Organisationen speichern in der Regel äußerst sensible Daten, die sie zu einem bevorzugten Ziel für Hacker machen. Die Implementierung von "mehrschichtigen" Sicherheitsansätzen, die die Verhinderung von Datenverlusten und die proaktive Erkennung von Bedrohungen umfassen, ist entscheidend für die Minimierung des potenziellen Schadens. 

DLP umfasst Strategien, die darauf abzielen, die versehentliche oder unbefugte Offenlegung sensibler Daten, wie Patientenakten oder vertrauliche Informationen, zu verhindern. Dies ist besonders wichtig im Gesundheitswesen, wo die Kompromittierung von PHI schwerwiegende Auswirkungen auf Patienten haben kann, die möglicherweise zu Identitätsdiebstahl oder einer beeinträchtigten medizinischen Behandlung führen. Die Einführung einer robusten DLP-Strategie ist für Unternehmen unerlässlich, um Datenschutzverletzungen zu vermeiden und die Sicherheit und Vertraulichkeit von Gesundheitsdaten zu gewährleisten. 

OPSWAT Proactive DLP erkennt und blockiert sensible, nicht richtlinienkonforme und vertrauliche Daten in Dateien und E-Mails. Um potenzielle Datenschutzverletzungen abzuschwächen, setzt Proactive DLP ein umfassendes Spektrum an Sicherheitsmaßnahmen ein, darunter die Erkennung von Malware in Dateien, die KI-gestützte Dokumentenklassifizierung und die optische Zeichenerkennung (OCR) zur Schwärzung sensibler Daten. Es unterstützt die Einhaltung des HIPAA durch robuste Funktionen zur Verhinderung von Datenverlusten, Zugriffskontrollen und Risikominderung.  

OPSWAT MetaDefender Die Plattform bietet eine umfassende Bedrohungsabwehr, die speziell auf Organisationen im Gesundheitswesen zugeschnitten ist, um Gesundheitsdaten sicher und kosteneffizient zu verwalten. MetaDefender Die Plattform vereinfacht die Sicherheitsprozesse, ist leicht skalierbar und bietet marktführende Technologien für eine Defense-in-Depth-Strategie, wie z. B.: 

• Deep CDR entschärft potenziell bösartige Dateien und regeneriert sicher zu verwendende Inhalte.
• Multiscanning erkennt sowohl bekannte als auch unbekannte Malware mit über 30 AV-Engines.
• Adaptive Sandbox erkennt Malware mit dynamischer und statischer Analyse.
• Das Herkunftsland schränkt den Zugriff auf Daten je nach Standort und Anbieter ein.