Neue Initiative des HHS zur Unterstützung der Cybersecurity im Gesundheitswesen

Als der jüngste Cyberangriff auf Change Healthcare, eine Tochtergesellschaft von UnitedHealth, vor einigen Monaten entdeckt wurde, löste das eine Reihe von Reaktionen aus.

Zuletzt richtete Senator Gary Peters (Demokrat, Michigan), Vorsitzender des Senatsausschusses für innere Sicherheit und Regierungsangelegenheiten, ein Schreiben an das Department of Health and Human Services (HHS), in dem er sich erkundigte, welche Schritte unternommen würden, um sicherzustellen, dass sich eine solche Katastrophe nicht wiederhole.

Einrichtung einer zentralen Anlaufstelle

Als Antwort auf den Brief kündigte die HHS Administration for Strategic Preparedness and Response (ASPR) eine Initiative an, um ihre vielen weitreichenden Cybersecurity-Programme und -ressourcen besser zu organisieren, damit Gesundheitsorganisationen sie leichter finden und umsetzen können. Das Ziel ist es, ein einheitliches Portal oder eine zentrale Anlaufstelle einzurichten.

Darüber hinaus erklärte die ASPR, dass sie an der Entwicklung und Verbreitung neuer Cybersecurity-Strategien, Best Practices und Ressourcen speziell für den Gesundheitssektor arbeiten werde.

Dies ist natürlich eine gute Nachricht und wird es Gesundheitsorganisationen wahrscheinlich erleichtern Informationen und Anleitungen zu erhalten, die sie benötigen, um ihre Cybersecurity zu modernisieren. Es bleibt jedoch die Frage, ob sie dieses neue Ressourcenzentrum tatsächlich nutzen werden.

Zuerst die schlechte Nachricht

Am 1. Mai sagte der Vorstandsvorsitzende von UnitedHealth, Andrew Witty, vor dem Finanzausschuss des Senats über den verheerenden Cyberangriff auf die UnitedHealth-Tochter Change Healthcare aus.

Bei der Anhörung sagte Witty aus, dass der spezielle Server, den die Ransomware-Gruppe BlackCat zum Eindringen in das Netzwerk verwendet hatte, keine Multi-Faktor-Authentifizierung (MFA) aufwies. Er sagte, dass sein Team immer noch daran arbeitet, herauszufinden, warum diese sehr grundlegende Sicherheitsmaßnahme nicht bereits implementiert worden war.

Denken wir also einfach darüber nach, was das bedeutet. Jeder, der sich mit Cybersecurity befasst, weiß, dass die explosionsartige Zunahme von immer raffinierteren Phishing-Angriffen in den letzten Jahren bedeutet, dass Sie davon ausgehen sollten, dass einfache Zugangsdaten – Benutzernamen und Passwörter – gestohlen und im Darknet als Paket verkauft wurden. Alles, was nur mit einfachen Zugangsdaten geschützt ist, sollte also als extrem vulnerabel gelten.

Für eine wirksame Zugriffskontrolle sollte zumindest MFA eingesetzt werden. Und insbesondere für ein Unternehmen wie Change Healthcare, das über einen so großen Bestand von Persönlich Identifizierbaren Informationen verfügt, ist heutzutage selbst MFA nicht ausreichend. Sie hätten wirklich zu den Ersten gehören sollen, die auf Zero-Trust-Zugriffskontrollen und eine vollständige Zero-Trust-Architektur umgestellt haben.

Was sind die Gründe für ein solch massives Versagen bei der grundlegenden Sicherheit? Zumindest ein gewisses Maß an Nachlässigkeit, ein Versäumnis, der Sicherheit Vorrang einzuräumen, muss teilweise daran schuld sein. Und in der Tat hat die gesamte Gesundheitsbranche langsamer als andere Bereiche moderne Sicherheitsmaßnahmen eingeführt – etwas, das Cyberkriminelle gut kennen und voll ausnutzen.

Ich muss also fragen: Inwieweit kann eine vom HHS betriebene zentrale Anlaufstelle für Cybersecurity-Ressourcen im Gesundheitswesen die Situation verbessern? Wirklich wichtig ist, dass die Gesundheitsorganisationen motiviert werden, diese Ressourcen zu suchen und zu nutzen – also Geld in die Modernisierung der Sicherheit und in die Implementierung von Best Practices zu investieren.

Eine kleine gute Nachricht

Wie wir in diesem kürzlich erschienenen Blogbeitrag besprochen haben, enthielt der Bericht des Identity Theft Resource Center für das erste Quartal 2024 ein potenziell ermutigendes Ergebnis für die Cybersicherheit und das Gesundheitswesen.

„Zum ersten Mal seit Jahren hat der Gesundheitssektor nicht die höchste Anzahl an Kompromittierungen verzeichnet, sondern den Finanzdienstleistungen den Spitzenplatz überlassen. Beide Branchen verzeichneten im Vergleich zum ersten Quartal 2023 einen deutlichen Anstieg. Der Sprung im Gesundheitswesen von 81 auf 124 Kompromittierungen ist jedoch wesentlich geringer als der allgemeine Gesamtanstieg von fast 90 %. Bei den Finanzdienstleistungen hingegen ist die Zahl der Kompromittierungen von 70 auf 224 gestiegen – ein enormer Anstieg.“

Nachdem der Gesundheitssektor also jahrelang von Cyberangriffen heimgesucht worden war, ganze Kliniken und Krankenhäuser aufgrund von Ransomware geschlossen wurden und immer wieder daran erinnert wurde, dass die Branche das Hauptziel von cyberkriminellen Banden ist, nimmt der Gesundheitssektor das Problem nun endlich ernst.

Zumindest sollten wir das alle hoffen.