Aufrufe
vor 1 Jahr

IT for Health 01/2020

  • Text
  • Konkret
  • Digitale
  • Threema
  • Kommunikation
  • Elektronische
  • Patientendossier
  • Digitalisierung
  • Schweizer
  • Gesundheitswesen
  • Patienten

ADVERTORIAL Mit Cyber

ADVERTORIAL Mit Cyber Recovery erfolgreichen Ransomware-Angriffen die Stirn bieten Cyberangriffe kennen keine Grenzen und entwickeln sich schnell. Mittendrin und im Fokus der Cyberkriminellen ist der Health-Care-Sektor. Zielgerichtete Attacken, neue aggressive Formen von Ransomware und massive Lösegeldforderungen verursachen Schäden in Milliardenhöhe. Daher muss sichergestellt werden, dass die geschäftskritischen Daten einem Cyberangriff standhalten, der darauf ausgelegt ist, Ihre Daten einschliesslich Backups und Replikate zu zerstören. Obwohl sich Spitäler und Kliniken mit Cyber- Schutzlösungen gegen Ransomware Angriffe schützen, sind diese Echtzeit-Analysen von Malware-Protection-Lösungen nicht zu 100 Prozent wirksam. Täglich werden neue Angriffe bekannt, bei denen Unternehmensdaten beschädigt werden. Der primäre Einstiegsmodus der Hacker erfolgt über die zahlreichen Endgeräte, oder es wird auf Phishing-Techniken zurückgegriffen. Die Wahrscheinlichkeit, dass alle Ransomware entdeckt wird, bevor Schaden entsteht, ist gering; und die Entdeckungszeit für einen Angriff wird wahrscheinlich immer noch in Wochen oder Monaten gemessen. Diese enorme Zeitspanne bietet die Möglichkeit, das Netzwerk abzubilden, die Privilegien zu erweitern und einen verheerenden Angriff zu planen, der von Erpressung bis zur völligen Zerstörung geschäftskritischer Systeme reicht. Um einen umfassenderen Ansatz für die Minderung von Cyberrisiken zu schaffen, müssen Unternehmen ihre Cyber-Resilienz-Strategie entwickeln und sich zusätzlich auf die Analyse der Bedrohungsbehebung konzentrieren. Ein traditionelles Backup- und Recovery-Konzept reicht daher im Angriffsfall nicht mehr aus. Es werden zusätzliche Massnahmen, wie Cyber Recovery benötigt, um sich im Angriffsfall gegen die im Fokus stehende Zerstörung von geschäftskritischen Backup-Daten abzusichern. Der Schlüssel liegt in der Wiederherstellung der Daten Gebaut wird mittels sogenanntem «Air-Gap» eine isolierte Cyber-Recovery-Umgebung, die vom produktiven Netzwerk getrennt ist. Ein «Air- Gap» stellt eine Verbindung dar, die nur für das Kopieren den gewünschten Backup-Daten aktiv geschaltet wird und nur durch ein einziges System genutzt werden kann. Wichtig in diesem Zusammenhang ist auch, dass dieses System mit dem Zielsystem die Daten über ein spezielles Kommunikationsprotokoll austauscht. In dieser Wiederherstellungszone, dem sogenannten «Cyber Recovery Vault», mit einer Data Domain, das als Zielsystem für die kritischen Backup-Daten zur Verfügung steht, werden Workflows zur Integritätsprüfung ausgelöst. Diese analysieren, ob Backup-Daten durch Malware beeinträchtigt sind. Bei verdächtigen ausführbaren Dateien oder Daten werden Warnungen an die Security-Abteilung ausgelöst. Einzigartig, da die Backup-Daten analysiert werden, während sie offline sind. Dadurch werden Daten von der Angriffsoberfläche wegbewegt. Von sauberen Daten werden automatisiert unveränderliche Datenkopien erstellt. Auf diese nicht mutierbaren, sauberen Dateien kann im Falle eines böswilligen Cyberangriffs schnell zurückgegriffen werden, um die kritischen Geschäftssysteme wiederherzustellen. Immer einen Schritt voraus Die sich schnell verändernde Bedrohungslandschaft erfordert ein adaptives Analyserahmenwerk; daher bleibt Cyber Recovery dem schlechten Akteur voraus, indem es automatisiert Sandbox-Kopien erstellt und für die Sicherheitsanalysen künstliche Intelligenz und maschinelles Lernens verwendet. Nach einem Angriff kann unter Verwendung dynamischer Wiederherstellungsprozesse und bestehender Disaster-Recovery-Verfahren ein Vorfall behoben und die Umgebung wiederhergestellt werden. Das Thema Cyberangriffe gehört zum grössten operationellen Risiko und muss daher auf der Managementebene angesiedelt sein. Ein gänzlicher Schutz vor Angriffen ist heute nicht mehr möglich. Daher gilt es, eine Cyber-Resilience- Strategie zu erstellen, die sowohl finanzielle, operative, marktspezifische oder strategische Risiken umfasst und bewertet und Massnahmen definiert. Unternehmen sollten sich konsequent mit aktuellen und neuen Risiken auseinandersetzen und auch der Informationssicherheit nach ISO 27001 Rechnung tragen, um den Angreifern immer einen Schritt voraus zu sein. uniQconsulting ag Grindelstrasse 9 8303 Bassersdorf www.uniQconsulting.ch info@uniQconsulting.ch

Durchwursteln statt Durchbruch Im 61. Newsletter von E-Health Schweiz war zu lesen: «Mit einem schweizweiten EPD-Start auf Mitte April 2020 ist nicht zu rechnen.» Viele Indikatoren und Rahmenbedingungen haben schon lange darauf hingedeutet. Heute besteht die Gefahr, dass sich die Einführung und Verbreitung des EPD genau deswegen noch weiter verzögert. DAS STETHOSKOP Der Autor Jürg Lindenmann, Geschäftsführer, Health-IT Bundesrat Ignazio Cassis ist schon mehrfach wie folgt zitiert worden: «Das elektronische Patientendossier ist eine so tiefgreifende Reform für das Gesundheitswesen wie die Neat für den Bahn- und Güterverkehr» – eine durchaus nicht übertriebene Einschätzung. Die Neat ist ein Vorzeigeprojekt, das weltweit Beachtung fand, da trotz einiger geologischer Widrigkeiten sowohl Termine und Qualität als auch die Kosten eingehalten wurden. Es ist also grundsätzlich möglich, bundesweite Infrastrukturvorhaben mit einem Gesamtnutzen für die Bevölkerung und die Wirtschaft erfolgreich umzusetzen. Die mangelnde politische Verankerung rächt sich Die politische Verankerung des EPD hatte von Beginn an den Makel, dass man die wahre Dimension und die für einen Erfolg zwingenden Investitionen, organisatorischen Grundlagen sowie den angestrebten Nutzen des Vorhabens nie wirklich offengelegt und diskutiert hat. Ein Gesetz, das vorgibt, eine schweizweite Patientendossier-Infrastruktur aufzubauen, die kein Preisschild hat, ist für die Politik eine willkommene Gelegenheit, um sich mit einem «Geschenk» an die Bevölkerung zu profilieren. Dies ist wohl der Grund, weshalb die Vorlage 2015 mit «sowjetischem Abstimmungsergebnis» in beiden Kammern durchgewunken wurde. Nun, da sich diese vernachlässigten Aspekte in der Umsetzung zu manifestieren beginnen, ist die politische Verantwortung für das sich unter Umständen abzeichnende Debakel schon nicht mehr klar zuzuordnen. Und die diesbezügliche Diskussion – sprich: das Gerangel um die Verantwortung – zwischen Bund und Kantonen hat in den letzten Wochen zugenommen. Wenn Juristen IT-Lösungen designen Die Verordnungen zum EPDG versuchen, die Umsetzung des EPD bekanntlich bis auf das letzte technische und organisatorische Detail zu regeln. Das Requirements-Management zum EPD wurde von Juristen und nicht von IT-Business-Analysten durchgeführt. Demnach dürfen die technischen Umsetzungen aus Sicht der Autoren der Verordnungen nicht der Logik und den bewährten Verfahren des IT-Engineerings folgen, sondern müssen sich juristischen Dogmen unterordnen. Als ein anschauliches Beispiel für eine solche Absurdität kann man die Vorgabe der BAG-Juristen nehmen: Der «technische User» (deshalb heisst er ja so) müsse für den automatischen Upload von Dokumenten aus den Spitalsystemen mit dem Namen einer im EPD regis trierten Gesundheitsfachperson versehen sein, die sich dann für sämtliche Dokumenten-Uploads einer Institution – also etwa auch falsch zugeordnete – persönlich verantwortlich zeigt. Also bitte: Freiwillige vor! Von den damit jeweils nötigen Systemanpassungen inklusive Tests und Abnahmen bei personellen Fluktuationen gar nicht zur reden. Das Einmaleins des Projektmanagements Im ersten Semester Projektmanagement lernt man, dass erfolgreiches Projektmanagement auf den Erfolgsfaktoren fokussieren, phasieren und führen beruht. Das nationale Vorhaben EPD lässt bisher keines dieser Kriterien scharf erkennen, sondern beruht auf der Annahme der politischen Akteure, dass sich ohne Fokussierung und Phasierung mit ein wenig Koordination ein technisches und organisatorisches Grossprojekt dieser Dimension im Windschatten politischer, wolkiger Willensäusserungen umsetzen lässt. Dass dann noch laufend die Spielregeln für die umsetzenden (Stamm-)Gemeinschaften durch die Behörden geändert werden, ist den Erfolgschancen auch nicht gerade förderlich. Fazit Hätte man die Neat nach denselben politischen, organisatorischen und technischen Kriterien wie das EPD geplant und gebaut, so hätten wir wohl heute noch keinen Zentimeter Röhre im Gotthard. Eine wohl leider unwahrscheinliche Option im Sinne des Projekterfolgs wäre, dass jemand auf Bundesebene politisch die Führung und Verantwortung übernimmt, professionelles Projektmanagement anwendet und die technischen Lösungskonzepte vom juristischen Gängelband befreit. Wahrscheinlicher ist wohl aber das Szenario, dass man sich jetzt, wie es in der Schweizer Gesundheitspolitik leider State of the Art ist, erst einmal durchwurstelt und dann weiter schaut und dann weiter wurstelt und dann weiter … ach ja: Die Kolumne Eine neue Kommission könnte man dann auch noch online finden Sie www.netzwoche.ch schaffen – nur als Idee. 31

Archiv

Specials