Die zentralen Thesen

  • Die Sensibilisierung für das Thema ist der erste Schritt: Alle Diskussionsteilnehmer waren der Meinung, dass die Sensibilisierung für Cybersicherheitsrisiken für Gesundheitsdaten und -einrichtungen der erste Schritt zur Abwehr von Angriffen ist. Dazu gehört die Schulung von CIOs und Mitarbeitern, um die Risiken zu verstehen.
  • Wir brauchen ein Datenschutzgesetz und eine Regulierungsbehörde: Es braucht ein starkes Datenschutzgesetz, das speziell auf Gesundheitsdaten ausgerichtet ist, und es muss auch eine Regulierungsbehörde für die Gesundheitsbranche geben, wie es RBI und SEBI für die Finanzwelt gibt.
  • Erfassen Sie nur die erforderlichen Daten: Gesundheitseinrichtungen sollten in jeder Phase des Arbeitsablaufs nur das erforderliche Maß an Informationen sammeln.
  • Security by Design und Standardprotokolle helfen, Risiken zu reduzieren: Produkte, die für die Gesundheitsbranche entwickelt wurden, sollten von Natur aus Sicherheit und Datenschutz übernehmen und sich an Standardprotokolle halten, um die Risiken von Cyberangriffen und Datenschutzverletzungen zu reduzieren.
  • Regelmäßige Bewertungen sollten durchgeführt werden: Gesundheitseinrichtungen sollten regelmäßige Bewertungen ihrer Cybersicherheitsposition durchführen, und die Regierung sollte dies anordnen und Zertifikate ausstellen.
  • Die Budgets für Gesundheitseinrichtungen variieren stark: Es gibt kein ideales Budget, das Gesundheitseinrichtungen bereitstellen können. Sie sollten sich vielmehr darauf konzentrieren, herauszufinden, wo sie aktuell in Sachen Cybersicherheit stehen und wo sie stehen wollen und das Budget entsprechend zuteilen.

Die Regierung muss zwar ein Datenschutzgesetz verabschieden und eine Regulierungsbehörde für das Gesundheitswesen ernennen, aber die erste Maßnahme zur Sicherung von Gesundheitsdaten und zur Abwehr von Cyberangriffen auf Gesundheitseinrichtungen besteht darin, das Bewusstsein für dieses Thema zu schärfen und die Menge der gesammelten Daten zu reduzieren Patienten. Dies waren einige der Vorschläge, die von Experten geteilt wurden, die an einem Podiumsdiskussion gehalten von MediaNama am COVID-19 und Cyberangriffe auf das Gesundheitswesen.

Pallavi Bedi, Senior Policy Officer am Center for Internet and Society, Arvind Sivaramakrishnan, Group CIO der Apollo Hospitals, Niranjan Ramakrishnan, CTO der Leixir Dental Lab Group und CEO von My Lab Connect, und Vishal Gondal, Gründer von GOQii, nahm an dieser Podiumsdiskussion teil.

Diese Diskussion fand am 28. Juli in Zusammenarbeit mit dem CyberPeace Institute und mit Unterstützung von Facebook statt.

Maßnahmen zur Stärkung der Sicherheit von Gesundheitsdaten und Gesundheitsinfrastruktur

  • Bewusstsein schaffen: „An erster Stelle steht das Bewusstsein. Zumindest bei Finanzdaten sind sich die Leute bewusst, dass Sie Ihr OTP nicht angeben. Bei Gesundheitsdaten gibt es kein Bewusstsein“, sagte Gondal. Sivaramakrishnan stimmte dieser Ansicht zu und fügte hinzu: „Wenn Sie dies nur als ein Technologieproblem oder ein politisches Problem betrachten, würden wir wahrscheinlich einen Sündenbock finden, um dieses Problem zu einem anderen zu machen. Es sei denn, dies wird zu einer grundlegenden Kern-DNA aller Operationen aller daran Beteiligten. Dann haben Sie einen sinnvollen Schutz.“
  • Data Governance in Bezug darauf, was und wie Informationen gesammelt werden: „Heute Morgen wurde ich zum Beispiel gebeten, ein Formular für einen Milchverkäufer auszufüllen. Ich war überrascht zu sehen, dass in einigen Feldern meine Aadhaar-Karte, mein Gehalt, mein Beruf, mein Nettoeinkommen und alle möglichen Details abgefragt wurden. Das gleiche gilt für das Krankenhaus. Welche Informationen verlangen wir vom Patienten? Macht es wirklich an jeder Theke, an jedem Ort Sinn? “, fragte Ramakrishnan. „Ich denke, die Arbeitsabläufe müssen so gestaltet werden, dass wir die für diesen Prozess erforderlichen Informationen erfassen. Und auch die Organisation bemüht sich ausreichend, den Verbraucher, den Patienten oder deren Familienangehörigen den Zweck der gesammelten Informationen verständlich zu machen“, fügte Sivaramakrishnan hinzu.
  • Auf ganzer Linie weiterbilden: „Jede Person muss verstehen, welche Geschäftsfunktion sie ausführt und was die Fallstricke ihrer Tätigkeit sind. Weiß das Beschaffungsteam, worauf es ankommt, wenn Sie wissen, dass Sie eine Phishing-E-Mail erhalten, in der es um ein bestimmtes Beschaffungsmuster geht? Weiß das Finanzteam, was es braucht, wenn Sie eine Nachricht mit einem Online-Zahlungslink oder eine Anfrage nach einem Online-Zahlungslink erhalten? Weiß die Personalabteilung, worauf es ankommt, wenn jemand sagt, dass er auf Jobsuche ist? Verstehen und nehmen sie tatsächlich die Bedeutung ihrer Rolle wahr, weshalb sie Zielscheiben sind?“ fragte Sivaramakrishnan.
  • Sicherheit und Datenschutz durch Design: „Wenn man es nur von dem her betrachtet, was eine Organisation zu tun hat, denke ich, dass der erste Teil darin besteht, Sicherheit und Datenschutz durch Design zu betrachten, und ich weiß, dass Systeme, die heute existieren, möglicherweise nicht an all das gedacht haben“, sagte Sivaramakrishnan.
  • Standardprotokolle sollten von Drittanbieterdiensten befolgt werden: „Wenn alle Systeme den für die jeweilige Branche relevanten Industriestandardprotokollen folgen können, wird Ihr Handshake automatisch viel sauberer“, sagte Sivaramakrishnan. „Wir brauchen wirklich Richtlinien im gesamten Unternehmen. Wir sollten zusammenkommen und verstehen, was die verschiedenen Schritte sind, die wir befolgen sollten, und wir sollten versuchen, es strukturierter zu gestalten, als dass einzelne CIOs eine Entscheidung treffen, wenn Sie mit einem Gerät wie diesem Handshake machen. Es würde also wirklich helfen, eine Standardisierung oder ein Zertifizierungsprogramm im gesamten Unternehmen einzuführen“, fügte Ramakrishnan hinzu.
  • Ehrliche regelmäßige Bewertungen: „Wie können wir regelmäßig Menschen, Prozesse und Technologie ehrlich beurteilen? Ehrlich gesagt, weil wir immer schüchtern sind und Angst vor einer sehr ehrlichen Selbsteinschätzung haben, und ich denke, wir müssen das tun, nur um Schritt zu halten, um die Risiken zu verstehen. Ich denke, das sind die Regeln für die Unternehmensführung, die Sie sich ansehen müssen. Es ist nicht nur eine reine Investition, sondern nicht nur ein sehr elegantes und fähiges Informationssicherheitsteam. Sie sind so stark wie das schwächste Glied“, sagte Sivaramakrishnan.
  • Ernennen Sie qualifiziertere CIOs: Ein sehr kleiner Prozentsatz der Chief Information Officers (CIOs) oder Chief Information Security Officers (CISOs), die eine Gesundheitsorganisation leiten, sei für diesen Job qualifiziert, sagte Ramakrishnan. „Die meisten CIOs sind keine echten Ingenieure mit einem Hintergrund im Bereich Informationssicherheit. Nicht mehr als 5% der Gesundheitsorganisationen Indiens haben qualifizierte, ausgebildete CISOs an Bord“, fügte Ramakrishnan hinzu.
  • Schulungs- und Zertifizierungsprogramme haben eine große Wirkung: „Wir haben ein Programm für die meisten CIOs von Krankenhäusern und Gesundheitsorganisationen gestartet, um ein fünfwöchiges Programm zu durchlaufen. Ich denke, das ist ein guter Anfang, denn es braucht zumindest einige Champions im Unternehmen, die verstehen, womit sie es zu tun haben und die von den anderen Branchen lernen und dies in die Gesundheitsbranche zurückbringen können. Programme wie dieses und Zertifizierungsprogramme haben also definitiv einen großen Einfluss“, sagte Ramakrishnan.

  • Technologiebranchen können helfen, indem sie Lösungen erschwinglicher und funktionaler machen: „Die Technologieindustrie kann die Lösungen für das Gesundheitswesen erschwinglicher machen, da die allgemeinen Erwartungen niedrigere Kosten im Gesundheitswesen sind. Der zweite Aspekt ist, dass die Technologiebranche die Lösungen auch in Bezug auf Support und Steady-State funktionaler gestalten kann, anstatt es wie Raketenwissenschaft klingen zu lassen, die immer mehr und mehr Dienstleistungen benötigt“, sagte Sivaramakrishnan.

Richtlinienänderungen zur Verbesserung der Cybersicherheit

  • Aufsichtsbehörden wie RBI und SEBI für die Gesundheitsbranche: „Wir sehen das in der Finanzwelt. Es gibt RBI, es gibt SEBI, es gibt so viele Regulierungsbehörden, Vollstrecker. Und es gibt die Annahme, dass die Leute Angst vor dem Gesetz haben, weil sie von einer Regulierungsbehörde in Frage gestellt werden. Beim Gesundheitswesen weiß niemand, wer die Kontrolle hat. Wer hat Angst vor wem? Niemand weiß. Während wir also den privaten Sektor haben, brauchen wir sowohl Justiz als auch Regierung und Polizei und all diese Vollstrecker, sonst wird das alles chaotisch. Menschen geben Geld nur dann aus, wenn sie die Konsequenzen fürchten. Im Moment gibt es keine Konsequenzen“, sagte Gondal.
  • Datenschutzgesetz verabschieden und Gesundheitsversorgung als kritische Infrastruktur ausweisen: „Ich würde zunächst sagen, dass man ein Datenschutzgesetz und ein Datenschutzgesetz speziell für das Gesundheitswesen bekommt und das Gesundheitswesen zu einem kritischen Infrastrukturdienst macht“, sagte Bedi.
  • Richtlinien wie HIPAA in den USA: „Es sollte klare Richtlinien geben, wenn es um Gesundheit geht. In den USA schwört jeder auf HIPAA. Auch in Europa werden die Vorschriften immer strenger“, sagte Gondal.
  • Obligatorische Assessment-Programme: „Ich würde vorschlagen, dass es ein Bewertungsprogramm geben sollte, das für alle Gesundheitsorganisationen verpflichtend gemacht werden sollte. Es könnte eine einfache Zertifizierung sein“, sagte Ramakrishnan.
  • Drakonische Gesetze werden benötigt: „Ich würde sagen drakonisches Gesetz für jeden, der mit den Daten arbeitet oder Produkte oder Dienstleistungen herausbringt, das auf Daten aufbaut, die nicht über offizielle Kanäle erworben werden. Wenn Sie also die Notwendigkeit für einen Datenmarkt schließen und jemand sagt, dass die Aufzeichnungen fünfhundert Rupien oder was auch immer wert sind, wird die Nummer automatisch ausgeschaltet“, sagte Sivaramakrishnan.
  • Selbstregulierung reicht nicht: Bedi kommentierte, ob Offenlegungsnormen helfen würden: „Das könnte ein Weg nach vorne sein. Aber am Ende des Tages brauchen wir Vorschriften und Gesetze, damit, wenn die Organisationen dies nicht tun, es einen Ort gibt, an dem Rechtsmittel eingelegt werden können. Es kann nicht funktionieren, es einfach der Selbstregulierung zu überlassen. Sie brauchen eine Art Regulierung, um dies zu sehen.“
  • Proaktive Regierungspolitik: „Beginnen Sie, nach besseren Governance-Richtlinien zu suchen, Governance-Richtlinien, die nicht nur reaktiv, sondern auch proaktiv sind, damit wir sicherstellen können, dass jede unserer Aktivitäten aus Datenschutz- und Sicherheitsgesichtspunkten berücksichtigt wird“, fügte Sivaramakrishnan hinzu.

Budgets für Cybersicherheit in Gesundheitseinrichtungen

  • Weniger als 1,5 bis 2 Prozent: „Nach meinem bisherigen Verständnis entfallen 1,5 bis 2 Prozent des Umsatzes auf das Wartungsbudget und 4 bis 5 Prozent, wenn es sich um eine Art Greenfield oder eine komplette Überarbeitung der IT handelt“, sagte Ramakrishnan. Davon wird also ein Prozentsatz der Cybersicherheit zugeteilt, fügte er hinzu.
  • Keine idealen Ausgaben: Es gibt keine idealen Ausgaben, sagte Sivaramakrishnan. „Ich denke, zuerst bringen Sie Ihr Haus in Ordnung. Sie müssen verstehen, wer Sie sind, was Sie sind und was Sie wollen und was es für Sie braucht. Sehen Sie sich dann an, was Sie ausgeben können, und finden Sie dann heraus, wie weit Sie von Ihrem Standort zu dem, was Sie als stationär verstehen, entfernt sind. Und dann fangen Sie an, darüber zu sprechen, dass es im Steady-State einen so hohen Prozentsatz eines Budgets geben wird, den Sie zuweisen können. Für manche Menschen wäre der Informationsverlust gering. Sie könnten also 0,5 Prozent ausgeben, für andere wäre das buchstäblich ihre Sache. Also könnten sie am Ende sogar 10 bis 12 Prozent davon ausgeben“, sagte er.
  • Erste Kostensenkung: „Vor ein paar Tagen bei unserem Strategiemeeting fragten sie nach Prognosen für die nächsten zwei Jahre. Wir haben also ein Tool im Wert von 110.000 für die Überwachung von Netzwerkverträgen eingesetzt. Die erste Frage war, warum für dieses spezielle Tool so viel Geld ausgegeben wird. Warum kaufst du es nicht bis nächstes Jahr. Der erste Ort, an dem sie die Investitionen beseitigen wollten, ist die Cybersicherheit“, sagte Ramakrishnan.
  • Kann keine Sicherheit geben: „Ich denke, sie erwarten eine Zusicherung, die die CISOs leider nicht geben können: Wenn sie mir dieses Budget zuweisen, kann ich dann versichern, dass unsere gesamte Infrastruktur und alles vollständig gesichert ist? Ehrlich gesagt ist die Antwort nein, weil ich denke, dass die Leute, die versuchen, einzutreten, viel klüger sind als wir alle. Für sie ist alles, was sie brauchen, nur eine Tür zum Betreten. Wenn wir versuchen, etwa 100 Türen abzudecken, schauen sie nur auf eine Tür, um einzutreten, und das ist viel einfacher.“ sagte Ramakrishnan.

Die Kommentare wurden aus Gründen der Klarheit und Kürze bearbeitet.

Lesen Sie auch

Haben Sie etwas hinzuzufügen? Abonniere MediaNama und poste deinen Kommentar