Was wir gelernt, bei der HIMSS Healthcare Security Forum

BOSTON – Nach zwei Tagen umfangreiche und ausführliche Diskussion über die vielschichtigen Herausforderungen im Gesundheitswesen cybersecurity, Datenschutz und Sicherheit für den Patienten, einige Themen haben sich aus der HIMSS Healthcare Security Forum, die nahm Platz zu Beginn dieser Woche.

Hier sind ein paar top-level-take-aways.

Die Rolle des chief information security officer ist im Wandel

Die Herausforderungen des CISO (und alle healthcare-infosec-Profis) gibt es viele. Ob es immer ausreichende Ressourcen aus Kosten-bewusste CFOs – einen Lautsprecher vorgeschlagen Führungskräfte kommunizieren die Anteile in den Geschäftsbedingungen, gerahmt, als der Allgemeinbegriff der „Gefahr“, sondern als die spezialisierten Bereich der cybersecurity – oder zu gewinnen-Arzt kaufen-in der KKV hat viele mehr jobs als nur das halten von Einsen und Nullen auf lockdown.

Ein durchgängiges Thema war die Verschiebung, wie die CISOs wahrgenommen werden – nicht nur als Sicherheit, schimpft die phishing-tests und Herunterfahren Schatten, aber als aktive strategische Führer, kommunizieren regelmäßig mit anderen beteiligten im gesamten Unternehmen zu helfen, mit Innovationen und business transformation.

„Eine Menge davon hat zu tun mit dem Verständnis einer Organisation ist Kultur“, sagte Anahi Santiago, chief information security officer bei Christiana Care Health System.

Noch gibt es die Tag-zu-Tag Herausforderungen, wie zu halten mit der Einhaltung gesetzlicher Bestimmungen und die Aufrechterhaltung einer guten Lieferanten-Beziehungen in einer Welt der „hyper-outsourcing.“ Und diese Herausforderungen werden nur komplexer in die Welt der unzähligen mobilen Geräten, mündige Verbraucher, künstliche Intelligenz und vieles mehr.

„Viele healthcare-Anbieter sind nicht bereit für die neue Risiken einführen, in Ihren Organisationen in den nächsten 3-5 Jahren“, sagte keynote-speaker Dr. John Halamka, frischgebackener Präsident der Mayo-Klinik-Plattform.

Aber, fügte er hinzu: “Versuchen Sie, Innovationen in einer zero-risk-Umgebung. Das können Sie nicht.“

Der Schlüssel ist, um eine akzeptable balance zwischen innovation und Risiko-management, basierend auf Vermeidung, organisatorische Vorteile und strategische Dringlichkeit, sagte er.

„Das Gesundheitswesen ist in Bewegung und Transformation, und es wird es tun mit oder ohne uns,“ Santiago sagte. „Und es ist toll zu sehen, wie mehr und mehr Leute reden über die Tatsache, dass nicht nur wir haben einen Platz am Tisch, aber wir sind engagiert in den Diskussionen, die helfen, mit, dass die Umgestaltung.

„Wir bewegen uns in die richtige Richtung“, fügte Sie hinzu. „Wir sind fällig. Es gibt noch eine Menge Arbeit zu tun. Aber immerhin gibt es einige Antworten gibt.“

Sicherheitsstrategien müssen nicht so Komplex, wie Sie scheinen

„Niemand wird auf die harte Sache, die auf Verletzung Ihrer Organisation, wenn die einfache Sache ist zur Arbeit zu gehen, jedes mal“, sagte Hauptredner Michael Coates, CEO und Mitbegründer von Höhe-Netzwerke, die früher diente als CISO bei Twitter und Leiter der Sicherheit für Mozilla.

Ähnlich, vielleicht, einige Profis, die fühlen sich vielleicht überwältigt von den schwindelerregenden Reihe von Cyber-Bedrohungen und compliance-Erfordernisse berücksichtigen kann, wobei einige Hinweise aus dem KISS-Prinzip.

„Es ist leicht für Leute to get lost in den meisten esoterischen und kompliziert Schwachstellen und nicht schaffen, die grundlegenden Sachen,“ sagt Johns Hopkins CISO Darren Lacey.

Erik Decker, chief security und privacy officer an der University of Chicago Medizin, wurde auf der hand in Boston zu beschreiben, den Wert des HHS‘ Gesundheitswesen Cybersecurity Practices framework, dem er half Speerspitze.

Als Decker erklärte vor kurzem, der guide kann gesehen werden, als etwas wie ein „Kochbuch“, sagte er, „eine Reihe von Rezepten, die Ihnen helfen, zu mildern und zu verwalten, die häufigsten Bedrohungen, denen wir ausgesetzt in der Gesundheitsversorgung.“

In einer Welt, wo grundlegende Fehler wie fehlende patch-Benachrichtigungen sind weit, weit häufiger als gezielte cyber-Angriffe auf Patienten-angeschlossene infusion Pumpen, sicherstellen, dass Aufmerksamkeit ist, Stück für Stück, zu niedrig hängende Frucht, bietet viel mehr Schutz als viele realisieren.

Das Gesundheitswesen bewegt sich in die cloud – und schnell

Bei den Boston-Konferenz gab es eine Podiumsdiskussion mit dem Titel „Security in der Cloud-Ära.“ Und die Tatsache, dass das Gesundheitswesen befindet sich in einer „cloud-ära“, wenn die Sicherheit und die cloud verwendet – nicht lange her – werden als gegenseitig exklusiv durch viele medizinische Sicherheit vor, ist bemerkenswert.

In den vergangenen 12 Monaten, die Anbieter haben sich verdoppelt der Anteil der workloads bereitgestellt, um die public cloud zu 25%, entsprechend HIMSS-Forschung.

„Ich bin alles zu versuchen, um zu sichern Ihre Informationen, wie es geht in die cloud“, sagte John Houston, vice president, Datenschutz und Informationssicherheit, und associate counsel bei UPMC, der es „Hunderte“ von verschiedenen cloud-Anbietern in allen Formen und Größen und schätzt, dass rund 70% seiner compute-workload ist jetzt remote gehostet.

„Wir alle besorgt sein müssen, dass die Wirklichkeit: Wir bewegen uns sehr schnell in die cloud“, sagte er. „Risiko folgt Informationen. Und wir sollten besser herausfinden, einen Weg, um unsere Arme um ihn.“

Das ist eine Herausforderung, und hängt von einer grundsätzlichen überdenken einige langjährige Sicherheit Praktiken.

„Vielleicht 80% von dem, was eine traditionelle oder cybersecurity Mensch weiß heute, ist irrelevant, wenn Sie sich an der cloud“, Halamka sagte. „Es ist effektiv eine ganz neue Aufgabe.“

Cybersecurity ist ein patient Frage der Sicherheit

Lee Kim, director HIMSS an Sicherheit und Datenschutz, wurde auf der Healthcare Security Forum Teil, um zu diskutieren einen neuen Bericht auf der Kreuzung der Patienten-Sicherheit und cybersecurity.

Dispiritingly, aber vielleicht nicht überraschend, „wir fanden, dass Patienten-Sicherheits-und cybersecurity-Experten im Klinikum Organisationen, die einfach nicht miteinander sprechen zu viel,“ sagte Kim.

„Was ist das Gesundheitswesen zu? Am Ende des Tages ist es, über die Patienten und die Sicherheit der Patienten“, sagte Sie. Im Zeitalter des Internet der Dinge und vernetzte medizinische Geräte, viele ohne ausreichende logging-Mechanismen und forensische Daten zu untersuchen, die Grund für aberrational Veranstaltungen“, dies sollte das Ziel aller Organisationen im Gesundheitswesen.“

Aber zu oft, ob in Kaufentscheidungen oder einfach da, wo Ihre Büros sind, safety-und security-teams sind isolierte, von einander.

Allzu oft sind IT-security-labor „tief unten in den Eingeweiden des Krankenhauses, nie sehen das Licht des Tages,“ sagte Kim. „Das ist symbolisch.“

Aber als Dr. Saif Abded, Gesundheitswesen cybersecurity-Experte und co-Gründer von AbedGraham, erklärt: „Cyber-Sicherheit ist die Sicherheit der Patienten. Wenn Sie darüber nachdenken, es in irgendeiner anderen Art und Weise, wie etwas, das sitzt in einem Hinterzimmer irgendwo, Sie fehlt der Punkt.“

„Ich denke, über die Patienten viel“, sagte Geisinger CISO Stephen Dunkle. „Und wenn ich aufhören, ist es wahrscheinlich Zeit, sich zurückzuziehen.“

Richtlinien und Verordnungen müssen einige änderungen

Auf der Healthcare Security Forum, die Teilnehmer konnten Fragen stellen, die während der panel-Diskussion über die online-app-Slido. Eine Auswahl einiger Ihrer Fragen deutet einen trend:

  • „HIPAA ist fast 25 Jahre alt. Kann HIPAA aktualisiert w/out-Recht? Oder muss HIPAA, müssen ersetzt werden durch ein GDPR – wie die legislative-update?“
  • „Brauchen wir einen internationalen Datenschutz-standard? Sollte die USA einfach überschreiben HIPAA w/ a GDPR-wie Vorgehen?“
  • „Ist der HIPAA-Datenschutz-und Sicherheit Verordnung veraltet, wenn es darum geht, diese neuen Modelle der gemeinsamen Nutzung von Daten und Gesundheitswesen Konsumismus?“

Sie sind gute Fragen. Und diejenigen, die aufgefordert wurden, vor. (Viele Male, die von vielen verschiedenen Akteuren.)

Was geschieht mit Bezug auf ein breiteres Umdenken des Gesetzes ist letztlich an den Kongress und andere Bundes-Politik. In der Zwischenzeit, andere HIPAA-änderungen kommen.

Aber Houston, spricht man unterstellen, für viele andere Sicherheits-und compliance-Profis Knicken unter dem Gewicht der vielen sich überlappenden, oft widersprüchlichen, Landes -, Bundes-und internationalen Gesetze, sagte, ein neuer und effizienter Ansatz erforderlich war.

„Wir brauchen Einheitlichkeit“, sagte er. „Meine Organisation hat den Krankenhäusern in drei Ländern und vier oder fünf Staaten. Wir betreiben in vielen verschiedenen Rechtsgebieten. Es ist sehr schwer zu bedienen, wenn Sie wirklich solch einen Unterschied in der wie Datensicherheit geliefert werden.“

Die Risiken entwickeln sich ständig weiter, aber so tun, die Bemühungen, Sie zu bekämpfen

„Wenn wir jetzt abhängig von machine learning und AI, was passiert, wenn die KI fehlerhaft ist?“, fragte Halamka. „Was ist, wenn ein Gegner wünscht zu verschmutzen meine Daten und ich am Ende mit einem Algorithmus, der nicht gesetzt wird, für den Zweck? Dies sind die Dinge, die wir haben, zu betrachten beginnen.“

Und das ist nur in der Nähe von Begriff. Weiter draußen – in 15-20 Jahren, als Brian Cady, head of information security bei Providence St. Joseph Health, geschätzt – Revolutionen wie quantum computing können große und transformative Auswirkungen für den cyber-Angriff und Verteidigung.

In der Zwischenzeit, Greg Singleton, Direktor des Gesundheitswesen Cybersecurity Coordination Center an HHS, sagte Organisationen im Gesundheitswesen sollte auf der Hut sein gegen mehr alltäglichen cyber-Risiken: VPN-Sicherheitslücken, veraltete Windows-Versionen vernetzt PACS-Systeme.

„Verstehen Sie Ihre Umgebung und stellen Sie sicher, dass Sie nicht etwas, das versehentlich ausgesetzt, die ein Risiko darstellen können“, sagte Singleton.

Auch er betonte den Wert von Informationen, den Austausch mit Gruppen wie der HC3. „Es ist wichtig, dass die Menschen zuzugehen“, sagte er. „Wir können gute Sachen zusammen.“

Twitter: @MikeMiliardHITN
E-Mail der Autorin: [email protected]

Healthcare-IT-News ist eine Publikation der HIMSS Medien.