In unserem Spotlight-Bericht über das Gesundheitswesen, der auf anonymisierten Kunden-Metadaten basiert, haben wir einen Trend zu internen Benutzerfehlern festgestellt. Versäumnisse bei der ordnungsgemäßen Umsetzung eines Sicherheitsplans oder Lücken in den Richtlinien und Verfahren waren ein häufiges Problem, das zu Fehlern von Mitarbeitern führen kann, so dass Gesundheitseinrichtungen Diebstahl oder Datenverlusten ausgesetzt sind.
Der Verizon 2018 Data Breach Investigations Report (Bericht über die Untersuchung von Datenschutzverletzungen) spiegelt wider, was Vectra bei seinen eigenen Kunden im Gesundheitswesen beobachtet hat: Ein zentrales Sicherheitsrisiko für die Gesundheitsbranche ist die Anfälligkeit für interne Fehler und Missbrauch. Der Bericht zeigt, dass die Gesundheitsbranche am stärksten durch versehentliche oder absichtliche Insider-Bedrohungen gefährdet ist und weniger durch externe Bedrohungen.
Der Verizon 2018 Data Breach Investigations Report war der letzte, der zum Zeitpunkt unserer Recherche verfügbar war. Während der Vectra Spotlight Report on Healthcare auf anonymisierten Kunden-Metadaten aus dem Jahr 2018 basierte, stammte der Verizon-Bericht 2018 aus der Untersuchung von Datenschutzverletzungen aus dem Jahr 2017. Das bedeutet, dass es ein Jahr lang Diskrepanzen bei den beobachteten Verhaltensweisen gab. Da Verizon seinen neuen Data Breach Investigation Report 2019 veröffentlicht hat, war ich daran interessiert, zu verstehen, was sich seit dem Bericht von 2018 im Gesundheitswesen geändert hat. Der neue Verizon-Bericht deckt denselben Zeitraum ab wie der Vectra Spotlight Report 2019 zum Gesundheitswesen.
Es überrascht nicht, dass sich im Verizon-Bericht zwischen 2018 und 2019 nicht viel geändert hat. Die Ergebnisse für das Gesundheitswesen scheinen nahezu identisch zu sein. Beim Vergleich der Berichte musste ich immer wieder überprüfen, ob es sich um die Daten von 2018 oder 2019 handelte, weil sie so ähnlich waren. Ich habe die von Verizon für das Gesundheitswesen 2018 und 2019 gemeldeten Daten in dieser Tabelle zusammengefasst, um die Abweichungen zu verstehen.
Der offensichtliche Unterschied ist die Häufigkeit der Verstöße: 750 gemeldete Vorfälle im Jahr 2018 gegenüber 466 gemeldeten Vorfällen im Jahr 2019. Der Rückgang ist ein guter Gesamttrend. Es freut mich zu sehen, dass die Gesamtzahl der Vorfälle zusammen mit der Zahl der bestätigten Datenenthüllungen rückläufig ist. Bei der Untersuchung der übrigen Daten fand ich dieselben Muster verschiedener Fehler sowie dieselben Bedrohungsakteure, Motive und Arten der kompromittierten Daten.
Verizon veröffentlicht die Gesamtzahl und den Prozentsatz der Maßnahmen, die bei Vorfällen ergriffen werden. Vergleicht man diese Kennzahlen aus der Sicht der reinen Zahlen, so gab es 2019 weit weniger Vorfälle, da die Gesamtzahl der Vorfälle über das Jahr hinweg tendenziell rückläufig war. Beim Vergleich der ergriffenen Maßnahmen auf der Grundlage von Prozentsätzen sind die Zahlen jedoch von Jahr zu Jahr sehr konsistent und unterscheiden sich in den meisten Fällen nur um wenige Prozentpunkte.
Der Vergleich der Untersuchungen von Vectra und Verizon zeigt, dass das Problem der internen Fehler im Gesundheitswesen sehr real ist und uns alle betrifft. Organisationen des Gesundheitswesens stehen ständig vor der Herausforderung, Sicherheit und die Durchsetzung von Richtlinien mit Benutzerfreundlichkeit und Effizienz in Einklang zu bringen. Dies liegt daran, dass sie mit der Verwaltung von Altsystemen und medizinischen Geräten zu kämpfen haben, die aus vielen Gründen nicht immer die besten Sicherheitskontrollen aufweisen.
Infolgedessen bleiben anfällige Prozesse bestehen, und schwache Vertrauensmodelle werden häufig weiter eingesetzt. Im Vectra 2019 Spotlight Report on Healthcare empfehlen wir eine umfassendere Sichtbarkeit des Datenverkehrs und des Verhaltens innerhalb des Netzwerks. Dies wird den Sicherheitsteams dabei helfen, wachsam und zuversichtlich zu bleiben, während modernste medizinische Technologien angenommen und eingesetzt werden. Neue medizinische Technologien werden für die Qualität und Schnelligkeit der Gesundheitsversorgung, die Attraktivität für Patienten und die bestmöglichen Ergebnisse für Patienten immer wichtiger werden.
Da die Umgestaltung des Gesundheitswesens durch neue medizinische Technologien immer weiter voranschreitet, müssen Organisationen des Gesundheitswesens stets darauf achten, welche Technologien vorhanden sind, wie sie genutzt werden und wann unzulässige Handlungen erfolgen.