Sensibilisierung für Cybersicherheit mit David Finn und Shankar Somasundaram

David Finn:

Hallo zusammen. Mein Name ist David Finn. Ich bin der Vizepräsident von CHIME, verantwortlich für die drei Verbände, einschließlich der Association for Executives und Healthcare Information Security, und es ist mir eine Freude, mit Shankar Somasundaram, dem Gründer und CEO von Asimily, zu sprechen. Shankar, meine erste Frage, da wir uns schon länger als eine Minute kennen, lautet: Wann haben Sie zum ersten Mal erkannt, dass biomedizinische Geräte, ich weiß, dass Asimily jetzt alles im Netzwerk betrachtet, aber die biomedizinischen Geräte waren die treibende Kraft, und wann haben Sie verstanden, dass sie anders sind... dass sie eine andere Aufmerksamkeit in Bezug auf Sicherheit und einen anderen Ansatz benötigen?

Shankar Somasundaram:

Danke, David, und es ist mir ein Vergnügen, hier mit Ihnen zu sprechen. Wie Sie wissen, David, habe ich früher das IoT-Geschäft bei Symantec geleitet, und diese Reise dauert schon sehr lange an. Bei Semantic habe ich viel Zeit damit verbracht, mit Herstellern von medizinischen Geräten zusammenzuarbeiten, und das ist mehr als ein Jahrzehnt her. Wir begannen, mit Krankenhäusern zu sprechen, und dabei stellte ich fest, dass die Hersteller das Risiko ihrer Geräte immer ganz anders sahen ... die Anfälligkeit ganz anders ... die Angriffsfläche ganz anders....als die Gesundheitssysteme. Und als ich mich immer weiter damit beschäftigte, wurde mir klar, dass da viel Wahres dran war, weil die Geräte unterschiedlich gebaut waren. Und als ich mich eingehender mit den Gründen für die Meinungsverschiedenheiten befasste, wurde mir klar, dass an diesen Unterschieden etwas Wahres dran war, weil die Geräte unterschiedlich gebaut waren. Sie unterschieden sich in der Art und Weise, wie die Geräte konstruiert und konfiguriert waren. Es gab Unterschiede in der Art und Weise, wie die Geräte angeschlossen waren. Aus diesem Grund erforderten die traditionellen Sicherheitsansätze in jeder Dimension, sei es Inventarisierung, Schwachstellenmanagement, Schutz vor Datenverlust oder Erkennung von Bedrohungen, einen anderen Ansatz, sei es bei der forensischen Analyse. Und weil sie anderen Zwängen unterliegen als IoT-Geräte, waren sie in Bezug auf ihre Härtung in bestimmten Punkten besser als IT-Geräte. Insgesamt braucht man einen völlig anderen Sicherheitsansatz, und das ist ein Weg, den ich bei Symantec herausgefunden habe, der nicht funktionieren würde. Zu diesem Zeitpunkt haben wir mit Symantec einige Dinge getan, um diejenigen zu bedienen, die medizinische Geräte [Sicherheit] wollten, aber ich denke, um das Problem auf eine größere und bessere Art und Weise zu lösen, entschied ich mich schließlich, Asimily zu gründen, um einen größeren Fokus zu haben, um es wirklich über den gesamten Stack zu lösen. Aber es war die Reise von Symantec, die mich gelehrt hat, dass diese medizinischen Geräte einzigartig sind, und ich habe auch verstanden, warum sie einzigartig sind, und dann wurde klar und deutlich, dass man einen völlig anderen Ansatz braucht.

David Finn:

Die Risiken sind sicherlich einzigartig und unterschiedlich. Wenn man von den Geräteherstellern zu den Anbietern übergeht, muss ich Ihnen wohl nicht sagen, dass Sicherheit in einem Gesundheitsdienstleister nicht nur eine Sache ist. Wie bringt man also verschiedene Organisationen dazu, zusammenzuarbeiten, sei es die Informationstechnologie, die Informationssicherheit, die Biomedizin oder die Netzwerkgruppe selbst? Wie bringt man all diese Organisationen dazu, zusammenzuarbeiten, um die Geräte zu verwalten, auch wenn sie unterschiedliche Risiken haben?

Shankar Somasundaram:

Das ist eine gute Frage, David. Als erstes müssen sie erkennen, dass viele Leute in der Branche sie als Gegenspieler sehen und glauben, dass sie gegeneinander antreten. Dabei arbeiten sie alle auf ein gemeinsames Ziel hin. Sie alle wollen, dass die Patienten sicher sind. Sie alle wollen sicherstellen, dass die Patienten befähigt werden. Die Vernetzung tut dies auf ihre eigene Art und Weise. Ohne das Netz gibt es keine echte Patientenversorgung. Ohne IS gibt es keine Patientenversorgung. Ohne Biomed ist sie nicht möglich. Sie alle wollen es auf die gleiche Weise machen und haben das gleiche Ziel. Das ist die gute Nachricht. Aber sie haben unterschiedliche Hintergründe, sie haben unterschiedliche Erfahrungen, und ihr Verständnis des Problems ist unterschiedlich. Sie sehen die Daten sehr unterschiedlich. Und das ist der Punkt, an dem die Meinungsverschiedenheiten entstehen. Das Problem ist eher taktisch als objektiv, und das ist besser lösbar. Und um das Problem wirklich zu lösen, müssen Sie ihnen dieselben Daten auf verschiedene Arten zeigen, die sie verstehen können und an die sie gewöhnt sind.

Aus der Netzwerkperspektive verstehen sie zum Beispiel mehr von Datenströmen, von Ihren Richtlinien, von Paketaufzeichnungen, von forensischer Analyse - das ist die Welt, mit der sie seit vielen Jahren leben. Und wenn man ihnen diese Welt zeigt, verstehen sie das Problem auf diese Weise. Aus der IS-Perspektive geht es wirklich um Schwachstellen, Abhilfemaßnahmen, Anomalien und Bedrohungen - so verstehen sie es. Und aus der klinischen Perspektive geht es vor allem um die Inventarisierung, aber sie wollen das Inventar wirklich verstehen und in den Griff bekommen. Für sie bedeutet die Tatsache, dass ein Gerät ein älteres Betriebssystem hat, nicht, dass es ersetzt werden muss. Es gibt noch andere Faktoren. Es gibt andere Faktoren wie Rückrufe, die sie berücksichtigen müssen, z. B. welche Geräte aus betrieblicher Sicht ersetzt werden müssen. Es handelt sich also um unterschiedliche Sichtweisen auf ein und dasselbe Problem, das sie alle wirklich betrachten und verstehen. Und wenn man ihnen diese Daten in verschiedenen Ansichten, aber in einem gemeinsamen Rahmen, in einem gemeinsamen Portal zur Verfügung stellt, dann beginnen sie, auch die Seite und die Ansicht des anderen zu sehen. Denn sie verstehen, dass man ein altes Betriebssystem nicht ersetzen muss, nur weil es ein altes Betriebssystem ist, und hier sind die Daten. Dennoch sieht Clinical, dass es bestimmte ältere Betriebssysteme gibt, die man ersetzen muss. Sie verstehen auch die damit verbundenen Netzwerkprobleme, und das Netzwerk sieht einige der Herausforderungen, denen sich IS und Klinikum stellen müssen. Sie beginnen also, die Probleme der jeweils anderen Seite besser zu verstehen. Sie sehen auch, wie sie ihr Endziel erreichen können, was wichtig ist. Und dann beginnen sie, sich besser aufeinander abzustimmen, weil sie jetzt die gewünschten Daten erhalten, die Herausforderungen des anderen Teams verstehen und die Ziele trotzdem erreichen können - das wird anhand der Daten sehr deutlich. Und ich glaube, das ist es, was sie zusammenbringt. Man muss also das Problem auf drei oder vier verschiedene Arten lösen und die Daten dem richtigen Team richtig anzeigen, und das bringt sie wirklich zusammen, um das Problem wirklich zu lösen.

David Finn:

Ja, ich denke, Sie haben den Nagel auf den Kopf getroffen. Das eigentliche Risiko, das ultimative Risiko, ist der Patient, und auch wenn wir je nachdem, woher wir kommen, besondere Bedürfnisse haben, geht es im Endeffekt um die Sicherheit der Patienten und eine kontinuierliche Versorgung. Tolles Argument. Ich weiß es zu schätzen. In meiner Funktion bei AEHIS spreche ich täglich mit vielen CISOs, und deshalb werde ich Ihnen die häufigste Frage stellen, die ich bekomme. Wie kann man um Budgets bitten, wenn der Markt schwach ist, und damit meine ich, dass wir uns technisch gesehen in einer Rezession befinden? Die Anbieter schränken ihre Leistungen ein, um darauf zu reagieren. Aber Sie müssen trotzdem Schutz bieten. Was ist also die Antwort darauf? Was ist der Trick, um Geld zu beantragen?

Shankar Somasundaram:

Ich denke, das ist eine schwierige Frage. Ich habe mit vielen Leuten, CISOs und CIOs, darüber gesprochen, wie sie in diesem Markt nach Budgets fragen. Und ich denke, ich werde Ihnen einige der Dinge nennen, die andere CISOs tun, und ich werde über einige der Dinge sprechen, die wir ebenfalls empfehlen. Einige CISOs listen die Risiken auf, denen das Unternehmen ausgesetzt ist, aber sie tun es nicht. In einem Monat werden etwa 20.000 Sicherheitslücken veröffentlicht. Wie hoch ist das Risiko, wenn sie nicht behoben werden? Wie hoch ist das Risiko, wenn das Risiko mit der höchsten Priorität nicht gemindert wird? Wie hoch ist das Risiko, wenn man nicht auf Bedrohungen achtet? Und ein durchschnittlicher medizinischer Datensatz - Sie kennen diesen David besser als ich - wird auf dem Schwarzmarkt für 10 oder sogar Hunderte von Dollars verkauft. Ein durchschnittlicher Vorfall kostet heute 2 Millionen Dollar. Es hat also enorme Auswirkungen, wenn man in diesem Umfeld nichts unternimmt. Einige von ihnen, die CISOs und die CIOs, waren in der Lage, die Anzahl der medizinischen Aufzeichnungen zu quantifizieren oder zumindest eine grobe Schätzung abzugeben. Das ist das Risiko, mit dem wir konfrontiert sind, und das sind die Angriffspunkte, die wir haben. Deshalb müssen wir es tun. Das ist die erste Option.

Eine andere Sache, die wir vielen CISOs und CIOs empfehlen, ist Benchmarking, ein grobes Benchmarking. Bei Asimily zeigen wir Ihnen zum Beispiel einen organisatorischen Risiko-Score, den Sie mit anderen Organisationen vergleichen können. Im Grunde genommen können Sie als Unternehmen damit vergleichen, wie gut oder schlecht Sie im Vergleich zum Rest der Branche sind. Und wenn Sie das mit dem Branchendurchschnitt tun, können Sie eine ungefähre Vorstellung davon bekommen, wo meine Sicherheitslücke liegt, und dazu wird noch mehr kommen. Aber das ist meine Lücke in Bezug auf die Sicherheitslage. Denn eine der Fragen, die der Vorstand immer wieder stellt, lautet: Ich gebe so viel für die Cybersicherheit aus, wie gut ist gut genug? Das ist die Frage. Sie halten tatsächlich an. Und so haben Sie die Möglichkeit zu sagen: Das ist die Lücke, die ich schließen muss. Und das ist es, was ich tun muss, und das ermöglicht es Ihnen, ein Benchmarking durchzuführen und dem Vorstand bessere quantifizierbare Antworten zu geben.

Und der letzte Punkt ist, dass viele Leute die Angriffe, die seit den Systemen, die in den Nachrichten waren, stattgefunden haben, als eine Art Benchmark nutzen, wo sie stehen. Sie erhalten von der Joint Commission Informationen darüber, wo sie stehen. Und wir helfen den Gesundheitssystemen dabei, ihre Sicherheitskontrollen zu überprüfen, um zu verstehen, was sie tun müssen, und um die Lücke zu erkennen. Und dann können sie zum Vorstand gehen. Ein wenig reine Information hilft also auch direkt von den Kollegen, oder wir haben andere Informationen, die es dann ermöglichen, festzustellen, dass dies die Lücke in der Sicherheitslage ist, die tatsächlich dazu führt, dass wir das gleiche Problem haben, und es dann wirklich in Ordnung zu bringen. Es handelt sich also um eine Kombination aus einem quantifizierbaren Risikoverständnis für den Vorstand und einem wirklichen Benchmarking mit der Branche, um festzustellen, dass es Verbesserungsmöglichkeiten gibt, die wir angehen müssen. Die Sicherheit wird nie perfekt sein, aber man muss sich ständig verbessern. Es geht darum, die Messlatte wirklich höher zu legen. Mehr ist es nicht. Und schließlich haben Sie echte quantifizierbare Daten und kontrollieren einige der Kontrollen, bei denen es in anderen Organisationen zu bedauerlichen Vorfällen gekommen ist, so dass Sie sich auch daran messen lassen können. Einige dieser Daten sind ebenfalls verfügbar.

David Finn:

Sehr gut, Sie. Sie haben Schwachstellen erwähnt, also werde ich in diese Richtung gehen. Da die Hersteller von Geräten verpflichtet sind, über Schwachstellen und ähnliche Probleme zu berichten, werden immer mehr Schwachstellen bei medizinischen Geräten gemeldet. Was können Sie tun, um das Risiko dieser Schwachstellen zu verringern, vor allem, wenn es nur wenige Patches gibt? Selbst wenn eine Sicherheitslücke bekannt gegeben wird, gibt es oft keinen Patch dafür. Sie warnen lediglich davor. Und viele Anbieter haben sich noch nicht mit der Netzwerksegmentierung oder Mikrosegmentierung befasst. Möglicherweise ist das für sie nicht einmal eine Option. Was kann also ein Anbieter tun, der keine Patches hat und nicht stark segmentiert ist?

Shankar Somasundaram:

Das ist wieder eine gute Frage. Ich würde also sagen, dass dies auf Ihre ursprüngliche Frage zurückgeht, denn medizinische Geräte sind einzigartig. Biomedizinische Geräte und sogar viele der IoT-Geräte sind einzigartig. Sie können nicht den Standardansatz der IT-Abteilung verfolgen, der darin besteht, alles zu patchen...Patch Tuesday und Patch Friday. Das geht nicht, weil nur sehr wenige Patches verfügbar sind. Sie wissen das, und ich hoffe, dass viele der Zuhörer das auch wissen.

Das andere Problem ist die Segmentierung und Mikro-Segmentierung. Ich meine, ich sage nicht, dass man es nicht tun sollte, aber es gibt Herausforderungen dabei. Und selbst wenn man diese Segmente beibehält, kennt man die Herausforderungen, die damit verbunden sind, wenn man schon lange in der Branche tätig ist. Es gibt Gesundheitssysteme, die sagen, dass sie seit fünf Jahren segmentieren und sich immer noch auf Stufe eins oder Stufe null befinden, würde ich sagen. Wie kann man das Problem also wirklich lösen?

Die gute Nachricht bei medizinischen Geräten ist, dass die Einzigartigkeit von medizinischen oder einigen dieser ICS- und IoT-Geräte darin besteht, dass sie im Netzwerk ganz anders konfiguriert sind. Sie sind ganz anders gehärtet. Und sie sind ganz anders verbunden. Wenn Sie das Gerät in dieser Umgebung mit Hilfe von MITRE ATT&CK analysieren, werden Sie feststellen, dass es für den Angreifer sehr viel schwieriger ist, an diese Geräte heranzukommen, als an ein durchschnittliches IT-Gerät. In vielen Fällen ist es sehr viel schwieriger, das Gerät zu erreichen. Es gibt nur bestimmte Wege für den Angreifer, und das ändert sich von Umgebung zu Umgebung. Wenn Sie also analysieren, wie ein Angreifer mein Gerät in meiner Umgebung ausnutzen kann, werden Sie feststellen, dass es nur eine bestimmte Anzahl von Möglichkeiten gibt, die der Angreifer ausnutzen kann. Und es gibt wahrscheinlich fünf oder 10x Exploit-Teile, die in dieser Umgebung kritisch sind. Wenn Sie nicht wirklich segmentieren können, aber immer noch über die NAC der Firewall verfügen, können Sie gezielte Richtlinien anwenden, die keine Segmentierung darstellen, sondern spezifische, einfache Richtlinien sind, die Sie auf die Geräte im Netzwerk anwenden können. Das ist die erste Option, die den Weg eines Angreifers minimieren oder abschwächen kann, so dass er das Gerät nicht wirklich ausnutzen kann.

Option zwei: Einige dieser Maßnahmen können auf dem Gerät selbst ergriffen werden, denn vieles, was dazu führt, dass das Gerät ausnutzbar oder angreifbar wird, kann durch das Gerät selbst entschärft werden. Einige dieser Maßnahmen können Sie also mit dem Hersteller abklären. In fast allen Fällen haben wir die Erfahrung gemacht, dass nichts davon wirklich für den klinischen Betrieb des Geräts erforderlich ist. Sie können also auch dann Maßnahmen am Gerät ergreifen, wenn Sie absolut keine Möglichkeit haben, das Netz zu nutzen. Man muss also nicht unbedingt eine Segmentierung, eine Mikrosegmentierung vornehmen. Ich bin nach wie vor der Meinung, dass man das tun kann und sollte, aber man muss es nicht tun und sich nicht tagein, tagaus den Kopf darüber zerbrechen. Sie können die Exploit-Vektoren im Netzwerk oder auf dem Gerät effektiv blockieren, und wo immer Sie eine Segmentierung vornehmen können, können Sie diese als zusätzliche Schicht darüber legen, um wirklich sicher zu sein.

David Finn:

Shankar, im Laufe der Jahre habe ich einige Desktop-Übungen mit Führungskräften aus dem gesamten Gesundheitswesen durchgeführt, und wenn wir diese Pläne für die Reaktion auf Zwischenfälle üben, werfe ich das immer ein, und da ich eine besondere Affinität zu medizinischen Geräten habe, fallen mir die Augen zu und die Sterne werden leer. Was empfehlen Sie also den Anbietern, die ein Programm zur Reaktion auf Zwischenfälle planen, da die Angriffe auf diese Systeme und medizinischen Geräte zunehmen? Nicht nur bei der Planung, sondern auch bei der Durchführung?

Shankar Somasundaram:

Ein Programm zur Reaktion auf Zwischenfälle besteht im Wesentlichen aus zwei Teilen. Der eine ist wirklich der Prozess und der andere die Technologie, und beide sind wichtig. Ich habe viele Gesundheitssysteme gesehen, die nur einen Prozess haben, bei dem sie sagen, wenn ein Vorfall eintritt, kontaktieren wir die Rechtsabteilung, und die Rechtsabteilung kontaktiert das FBI. Das ist gut, aber es löst das Problem nicht wirklich. Sie haben nicht wirklich auf den Vorfall reagiert. Sie haben die Leute nur darüber informiert, dass ein Vorfall eingetreten ist. Das brauchen Sie, weil Sie eine Befehlskette brauchen. Sie müssen wissen, wer was tut, welche Rolle das Netzwerk spielt, welche Rolle der IS spielt? Welche Rolle spielt die Klinik? Sie müssen wissen, welche Rolle jeder Einzelne dabei spielt. Und Sie müssen wissen, wer sich an sie wendet. An welchen Stellen muss man regulierend eingreifen? Das ist also der erste Teil. Sie müssen wissen, wer was tut, wie Sie auf Vorfälle reagieren, wer sich an die Aufsichtsbehörden wendet, wie groß der Vorfall ist und welche Eskalationswege es gibt.

Der andere Teil ist das Lösen von Problemen. Ich hatte eine interessante Diskussion mit einigen hochrangigen Führungskräften und fragte sie, was das größte Problem ist. Sie sagten mir, dass das größte Problem im Gesundheitswesen in Bezug auf Beweise der Mangel an Daten ist. Die Organisationen rufen uns an, haben absolut keine Daten und bitten uns, die Ursache des Problems zu finden. Wir können die Geräte nicht nach Daten durchsuchen, also was tun wir? Wir verbringen Monate und Wochen damit, Daten zu beschaffen, bis der Angreifer weg ist. Wir suchen also wirklich eine Nadel im Heuhaufen. Sie müssen also wirklich in der Lage sein, Daten zum Zeitpunkt des Vorfalls zu erfassen. Wenn sie sich im Netzwerk befinden, sind das immer noch sehr wertvolle Daten. Wenn sie sich auf dem Gerät befinden, ist es dasselbe, und das können Sie tun, wenn Sie können. Das wird eine große Herausforderung sein. Aber man muss in der Lage sein, Daten zum Zeitpunkt eines Vorfalls, einer Anomalie oder einer Bedrohung im Netzwerk zu erfassen und sie zu speichern. Denn 50 % der Kosten, die die forensischen Ermittler bei der Reaktion auf einen Vorfall in Rechnung stellen, entfallen auf die Datenerfassung. Und das war eine verblüffende Tatsache, die ich kürzlich herausgefunden habe. Wenn Sie also zwei Millionen ausgeben, entfällt eine Million auf die Datenerfassung, denn das ist der Aufwand, den sie betreiben müssen, und die verbleibende Million ist für die Suche nach der Ursache des Problems. Wenn man das Problem lösen kann, hat man wirklich einen Vorsprung. Man kann sich schneller bewegen, man kann den Angreifer schneller finden. Der durchschnittliche Angreifer bleibt nur 48 Stunden in der Umgebung. Sie können die Daten des Angreifers schneller erfassen, Sie können schneller handeln, Sie können Ihr System schneller wiederherstellen und Sie können viel weniger ausgeben. Man braucht diese Fähigkeit und dann die Fähigkeit, sie zu analysieren und zu erhalten. Das ist also der Prozess, den man einrichten muss, aber auch die Fähigkeit, forensische Analysen zu erstellen, denn die Statistiken darüber sind heutzutage alarmierend. Wenn Sie diese Fähigkeit nicht haben, geraten Sie ins Hintertreffen.

David Finn:

Ich werde vom Backend der Reaktion auf Zwischenfälle zum Frontend übergehen. Auf unserem AEHIS-Forum vor ein paar Wochen lautete unsere Eröffnungsrede "IRR steht für absichtliche Widerstandsfähigkeit, nicht für Reaktion auf Zwischenfälle", denn die beste Reaktion auf Zwischenfälle ist, wenn man gar keine machen muss. Aber wie kann man der Sicherheitskurve einen Schritt voraus sein, wenn neue Geräte angeschlossen und eingeführt werden, und jetzt sind es vielleicht nicht einmal Geräte im Krankenhaus, sondern Wearables? Es kann sich um Dinge handeln, die Patienten mit ihrer Akte verbinden wollen, und all das wird Auswirkungen haben. Was müssen Sie also tun, um eine Reaktion auf einen Vorfall zu vermeiden?

Shankar Somasundaram:

Das ist eine gute Frage. Also ja, ich meine, dass es hier zwei Dinge gibt. Viele Leute denken, dass die Verantwortung erst dann entsteht, wenn das Gerät mit dem Netz verbunden ist. Aber in Wirklichkeit beginnt die Verantwortung in dem Moment, in dem Sie mit Ihrem Mentor über das Gerät sprechen. Hier beginnt Ihre Verantwortung, denn andernfalls sind Sie immer auf der Suche nach dem Problem. Daher denke ich, dass der erste Schritt, den Sie tun müssen, in der Beschaffungsvorbereitung oder im Beschaffungsprozess liegt, und Sie müssen sich das Gerät in dieser Phase ansehen und verstehen, welche Art von Gerät Sie kaufen. Welche Auswirkungen hat es auf die Sicherheit? Welche Art von Konfigurationsrichtlinien müssen Sie dafür einrichten? Welche Richtlinien für die Sicherheitshärtung müssen Sie einführen? Welche Art von Abhilfemaßnahmen müssen ergriffen werden, sobald das Gerät angeschlossen ist? Das ist also ein sehr wichtiger Aspekt der Sache. Das Beschaffungsrisiko muss bereits vor dem Anschluss des Geräts an das Netz abgesichert werden. Ihre Kontrollen müssen vorhanden sein. Ihre Konfigurations-Baselines müssen vorhanden sein. Das ist einer davon.

Der zweite Punkt ist, dass man über ein gewisses Maß an Standardisierung im gesamten Netzwerk nachdenken sollte, da die Leute nicht einmal wissen, wie die Geräte angeschlossen sind. Es gibt bestimmte Modelle, bestimmte Konfigurationen, bei denen man sagen kann: Das sind die Ports, die ich zulasse, und wenn es außerhalb dieser Ports ist, werde ich eine Warnung ausgeben, um bestimmte Konfigurationsrichtlinien zu befolgen. Man kann medizinische Geräte nicht standardisieren, aber man kann eine Vorstellung davon bekommen, wie diese Geräte funktionieren. Und schließlich denke ich, dass Sie, wenn Sie die Quelle überwachen, wenn die Geräte auftauchen, überwachen können, welche neuen Geräte in Ihre Netzwerke kommen. Man muss nicht warten, bis das Problem auftritt. Sie müssen nicht warten, bis die Schwachstelle auftaucht, sondern können bereits im Vorfeld Maßnahmen ergreifen. Die Antwort liegt also in der Risikoanalyse vor der Beschaffung und der Durchführung einer Risikoanalyse. Die Risikoanalyse muss durchgeführt werden, bevor das Gerät angeschlossen wird, und die Geräte müssen überwacht werden, noch bevor sie tatsächlich eine Schwachstelle aufweisen.

David Finn:

Ich habe noch eine letzte Frage an Sie, Shankar. Sie verbreiten das Thema nun schon seit vielen Jahren, und viele Gesundheitsdienstleister haben erkannt, dass dies ein Problem ist. Wir beobachten einen großen Aufschwung in diesem Bereich. Aber was müssen einige unserer Anbieter, vor allem kleinere oder solche, die nicht in der Lage waren, die Aufmerksamkeit der Führungskräfte zu gewinnen, als Erstes tun, um dies in ihr Programm aufzunehmen? Wie können sie die Führungskräfte überzeugen und das Bewusstsein innerhalb ihrer eigenen Organisation für diese Themen und Anliegen schärfen?

Shankar Somasundaram:

Ich denke, es ist ein schwer zu lösendes Problem, und kleine Organisationen haben ein begrenztes Budget. Sie müssen nicht das gesamte Problem [auf einmal] angehen. Sie müssen nicht sagen: "Ich werde die Ausfallsicherheit für all diese zehn Dinge lösen. Ich werde die Schwachstelleninventarisierung, Anomalie- und Bedrohungserkennung lösen. Man muss nicht alles über einen Kamm scheren. Man muss es in kleine Stücke aufteilen, um den Fortschritt in kleinen Häppchen effektiv zu zeigen. Viele Leute geben 5 Millionen Dollar für eine NAC-Lösung aus, und dann lacht das Management, wo bleibt der Ertrag? Wenn man es in kleine Stücke aufteilt, gibt man einen kleinen Geldbetrag für ein Stück aus. Sagen wir, ich möchte mein Inventar erfassen. Dann geben Sie einen kleinen Betrag für das Schwachstellenmanagement aus, so dass Sie Ihrem Management in kleinen Schritten Fortschritte zeigen können. Und das überzeugt dann das Management davon, dass man vorankommt. Das ist der erste Teil. Und noch einmal zurück zu der Frage: Wie kommt man an ein Budget? Es ist eine Kombination aus dem, was ich darüber gesagt habe, wie man ein Budget bekommt, aber in kleineren Organisationen geht es auch darum, es in kleine Stücke zu zerlegen, anstatt zu versuchen, den ganzen Elefanten zu essen. Und ich denke, das ist es, was man in einer kleinen Organisation tun muss, nämlich das Management davon überzeugen, dass man tatsächlich Fortschritte macht, dass man das Risiko senkt, dass man das Risiko auf diese Weise senkt und dass man im Vergleich zum Rest der Branche hier steht.

David Finn:

Es ist wie immer ein Vergnügen, mit dir zu sprechen, Shankar. Ich habe immer etwas gelernt. Irgendwelche abschließenden Gedanken oder Worte der Weisheit?

Shankar Somasundaram:

Dies ist ein multidimensionales Problem. Es ist nicht so einfach zu lösen, dass es eine Silberkugel gibt und alles in der Welt gelöst ist. Ich denke, Sicherheit ist ein kontinuierlicher Prozess. Denken Sie bitte auch daran, dass das, was Sie heute tun, sich ständig weiterentwickeln muss. Auch die Partner, mit denen Sie zusammenarbeiten, müssen sich ständig weiterentwickeln, denn wenn Sie stagnieren, dann stagnieren auch Ihre Angreifer nicht. Sie müssen die IoMT-Sicherheit also als eine sich entwickelnde Reise betrachten. Man braucht Partner und Prozesse, die sich ebenfalls weiterentwickeln, um mit der Branche Schritt zu halten.

David Finn:

Ganz genau. Wir leben in einer Welt, in der das Gleiche zu tun, wirklich nichts in Bezug auf die Sicherheit bedeutet. Ich danke Ihnen also. Ich weiß Ihre Zeit zu schätzen. Und ich freue mich darauf, Sie beim nächsten Mal wiederzusehen.

[Ende]