Shankar Somasundaram und Jeremy Linden diskutieren über das Bewusstsein für Cybersicherheit und ermutigen Gesundheitssysteme, sich auf die wichtigsten Bereiche des IoMT-Risikomanagements zu konzentrieren.
Jeremy Linden:
Guten Morgen allerseits. Ich bin Jeremy Linden, Senior Director of Product Management hier bei Asimily, und ich werde Ihr Gastgeber für den heutigen Podcast sein. Wir haben heute einen besonderen Podcast. In Folge vier sprechen wir mit unserem eigenen CEO und Gründer Shankar Somasundaram über das Bewusstsein für Cybersicherheit und die Ermutigung von Gesundheitssystemen, sich auf die Schlüsselbereiche des IoMT-Risikomanagements zu konzentrieren. Shankar ist der CEO und Gründer von Asimily. Wir sind ein auf das Gesundheitswesen fokussiertes Unternehmen, das das IoMT-Risikomanagement mit Gesundheitssystemen verschiedener Art im ganzen Land vorantreibt. Bevor er zu Asimily kam, leitete Shankar die Abteilung für vernetzte Geräte in der Healthcare-Abteilung von Symantec und entwickelte innovative Lösungen für kleine Unternehmen und Fortune-500-Unternehmen. Shankar hat in den letzten zehn Jahren zahlreiche Cybersicherheitsinitiativen für medizinische Geräte geleitet und an regulatorischen Rahmenwerken und Richtlinien mitgewirkt, darunter das NIST-Cybersicherheitsrahmenwerk, die FDA-Leitlinien für die Vor- und Nachvermarktung und der AAMI Cybersecurity Practice Guide for HTM Professionals. Herzlich willkommen, Shankar.
Shankar Somasundaram:
Vielen Dank, Jeremy. Ich bin froh, hier zu sein.
Jeremy Linden:
Jedes Jahr im Oktober konzentriert sich die Nationale Allianz für Cybersicherheit auf bestimmte Bereiche, um das Bewusstsein für Cybersicherheit zu fördern und zu schaffen. In diesem Jahr haben wir vier Themen: Cyber-Smartness, Kampf gegen Phishing, Erfahrungen sammeln und Bewusstsein schaffen und schließlich Cybersicherheit zu einer Priorität machen. Mit diesen Themen im Hinterkopf wollen wir nun einige wichtige Erkenntnisse von Shankar erkunden.
Erstens konzentrieren wir uns, wie Sie wissen, auf Geräte des Gesundheitswesens und stellen sicher, dass sie cyber-gesund sind. Wir stoßen auf viele Geräte und Systeme, die leider das Potenzial haben, eine wahre Goldgrube für Bedrohungsakteure zu sein. Können Sie uns einige Sicherheitspraktiken für diese Geräte des Gesundheitswesens nennen, die das Geschäft und die Daten der Patienten schützen, ohne die klinische Wirksamkeit zu beeinträchtigen?
Shankar Somasundaram:
Ich würde sagen, das Wichtigste ist, dass man versteht, dass Cybersicherheit nicht zu einem bestimmten Zeitpunkt geübt wird und man morgen damit aufhört. Es ist vielmehr etwas, das man während der gesamten Lebensdauer des Geräts praktiziert. Das bedeutet, dass man sich über Cybersicherheit Gedanken machen muss, und zwar von dem Zeitpunkt an, an dem man ein Gerät kauft, bis zu dem Zeitpunkt, an dem man es aus seiner Umgebung entlässt, es außer Betrieb nimmt und es verkauft. Das bedeutet, dass man in einem ersten Schritt an Cybersicherheit und Beschaffung denken muss. Das ist der richtige Weg.
Und wie macht man das? Es gibt eine Reihe von Möglichkeiten, dieses Problem zu lösen. Der Grundgedanke ist, dass man bei der Beschaffung prüfen muss, wie hoch das private Sicherheitsrisiko des Geräts ist, welche Art von Konfigurationshärtung ich für das Gerät implementieren kann, welche abschwächende Kontrolle ich anwenden sollte, welche Art von Firewall-Richtlinie ich in meinem Netzwerk einrichten sollte, damit das Gerät nicht nach außen geht und meine Umgebung infiziert. Unabhängig davon, wie man es macht, denke ich, dass der wichtigste Aspekt hier ist, dass die Beschaffung der erste richtige Schritt ist. Und das ist ein wichtiges Verfahren, weil es Ihnen auch hilft, einige der Vorschriften in der Branche zu erfüllen - es gibt Richtlinien der Joint Commission und OCR, die dies ebenfalls vorschreiben. Es geht also nicht nur um die Einhaltung von Vorschriften, sondern es ist auch eine wichtige und gesunde Praxis, bei der Beschaffung mit einer Risikobewertung zu beginnen. Das ist der erste Schritt, wenn man sich mit der Cybersicherheit für diese Geräte befasst.
Der zweite Schritt besteht darin, dass Sie, sobald Sie das Gerät in Ihrer Umgebung haben und es anschließen, das Risiko des Geräts in regelmäßigen Abständen bewerten müssen. Sie müssen es auf der Basis von Schwachstellen bewerten. Sie müssen es anhand der Anomalieerkennung bewerten, wenn ein Angriffsereignis stattfindet. Sie müssen die Aktivitäten im Netzwerk verfolgen. Sie müssen sehen, wo sie sich in Ihrem Netzwerk bewegen. Sie müssen alle Parameter verstehen. Es gibt hier eine Menge Aspekte. Aber die Idee ist, dass Sie, wenn Sie das Gerät an das Netzwerk angeschlossen haben, wirklich sicherstellen müssen, dass Sie es verfolgen ... dass Sie das Risiko managen und nicht nur einmal alle sechs Monate. Wir haben gesehen, dass es bestimmte Umgebungen und bestimmte Gesundheitssysteme gibt, die sagen: Ich mache eine jährliche Risikobewertung, und dann komme ich im nächsten Jahr wieder und mache eine weitere Risikobewertung. Cybersicherheit ist keine Momentaufnahme - eine Risikobewertung ist zwar gut, aber man muss die Bemühungen das ganze Jahr über fortsetzen und sie in Echtzeit durchführen. Das ist also der zweite Teil: Sobald die Verbindung hergestellt ist, muss man sich kontinuierlich um die Cybersicherheit kümmern.
Und der dritte Teil ist die Außerbetriebnahme des Geräts. Viele Leute sagen: "Wenn ich es ausmustere, bin ich fertig damit. Es gibt kein Cyber-Risiko mehr. In Wirklichkeit besteht immer noch ein großes Cyber-Risiko, weil viele dieser Geräte geschützte Gesundheitsdaten enthalten. Und man muss vorsichtig sein, wie man sie außer Betrieb nimmt, wie man das Gerät ausmustert und wie der Stilllegungsprozess aussieht. Es könnte sein, dass Sie einen Patienten warten lassen, weil Sie ein Gerät außer Betrieb genommen haben, das für Ihren Betrieb wichtig war. Sie müssen alle Faktoren berücksichtigen: die vertraulichen Daten, die Geschäftsabläufe, all das, bevor Sie ein Gerät vollständig aus Ihrer Umgebung entfernen. In gewisser Weise erstreckt sich die Cybersicherheit also über den gesamten Lebenszyklus, und es ist sehr wichtig, in jeder Phase an die Cybersicherheit zu denken. Man darf das Thema nicht isoliert betrachten, so als ob sich ein anderes Team darum kümmert und Sie nur ab und zu vorbeikommen und es sich ansehen. Es muss in den Gesamtprozess integriert werden. Es muss in Ihre Gesamtmethodik integriert werden, und das kann durch Technologie und Prozesse geschehen. Es kann mit externen Diensten und internen Ressourcen geschehen, wie auch immer Sie es machen wollen, aber es muss durchgängig sein, um Ihre Ziele zu erreichen.
Jeremy Linden:
Ganz genau. Und das ist etwas, auf das wir uns hier bei Asimily konzentrieren, wo wir versuchen, einen ganzheitlichen Ansatz zu verfolgen, von der Beschaffung über das Management bis hin zur Stilllegung. Als nächstes möchte ich ein wenig über Phishing sprechen. Phishing-Angriffe und Finanzbetrug haben seit der Pandemie wirklich exponentiell zugenommen. Und in diesem Jahr lassen sich mehr als 80 % der gemeldeten Sicherheitsvorfälle auf Phishing-Angriffe zurückführen. Es gibt viele Kampagnen, die auf E-Mail-Sicherheit, sichere SMS-Meldungen und verdächtige E-Mails abzielen, aber irgendetwas scheint nicht richtig zu funktionieren, oder zumindest glaube ich, dass wir einiges besser machen können. Wie können wir Ihrer Meinung nach besser vorgehen? Ob es sich nun um Geräte des Gesundheitswesens handelt, auf denen irgendwelche Anwendungen laufen, oder ob der Vorfall von der Nutzung sozialer Medien auf Workstations herrührt, die zusammen mit diesen Geräten verwendet werden, um ihnen zu helfen. Was sind Ihrer Meinung nach einige echte Tipps, die einige unserer Zuhörer zu schätzen wissen würden?
Shankar Somasundaram:
Ich denke, das ist ein wichtiger Punkt, und ich glaube, dass Phishing ein Weg für Ransomware geworden ist, um auch die Geräte und die Umgebung zu beeinflussen. Es ist ein gängiger Angriffsvektor, um verschiedene Arten von Malware zu erhalten, die dann effektiv Ransomware auslösen. Es ist ein sehr wichtiges Element, das in der Umgebung benötigt wird. Ich würde sagen, es gibt ein paar Dinge, die ein Gesundheitssystem tun kann. Es versteht sich von selbst, dass die Ausbildung an erster Stelle steht. Sie wollen nicht, dass jemand einfach Passwörter und Benutzernamen herausgibt, wenn jemand anruft und sagt: "Hey, es gibt einen Notfall, gib mir alle Benutzernamen und Passwörter." Das funktioniert einfach nicht, egal wie toll unsere Technologien sind. Wenn man so etwas tut, gefährdet man sich selbst. Man will nicht, dass jemand sagt: "Oh, da hat mich gerade jemand angerufen und brauchte unsere Kreditkarte und meine SSN, aber ich habe alles herausgegeben, weil es ein so dringender Anruf war". Ich meine, dass man ein gewisses Maß an Sicherheitsbewusstsein und -schulung haben muss. Man darf nicht auf bestimmte Links klicken. Da steht: "Klicken Sie hier, es gibt 50 Dollar Rabatt auf Ihr nächstes Abendessen". Ich meine, dass Sie solche Dinge nicht tun sollten, die unabhängig davon, wie großartig Ihre Technologie ist, in Ihrer Organisation ein Wespennest aufreißen. Daher würde ich sagen, das Wichtigste ist die Schulung. Und es gibt eine Menge Schulungsmodule, die dieses Problem lösen können. Sie müssen das Rad nicht neu erfinden. Wenn Sie sich online nach Cyber-Hygiene-Schulungen umsehen, finden Sie eine Vielzahl von Modulen, die von zahlreichen Unternehmen angeboten werden und Sie effektiv anleiten. Und wir selbst erinnern unsere Kunden immer daran, dass wir neben der Technologie auch bestimmte Prozesse befolgen müssen, und wir leiten sie auch dabei an. Das ist also der erste Schritt.
Ich denke, der zweite Schritt, der sehr wichtig ist, besteht darin, alles zu inventarisieren, denn wir haben festgestellt, dass viele Kunden bestimmte Regeln und Prozesse für bestimmte Geräte haben, was das Surfen und das Abrufen von E-Mails angeht. Aber dann vergessen sie die anderen Geräte in der Umgebung... das kann Schatten-IT sein, das kann ein medizinisches Gerät sein, von dem sie nicht wussten, dass es tatsächlich angeschlossen war, medizinische Workstations, die sie als IT-Arbeitsplatz behandeln und über die sie E-Mails versenden. Wir müssen also wirklich den Kontext für das Gerät kennen, und manches ist sehr kontextabhängig. Die Bestandsaufnahme und die Klassifizierung jedes Geräts, das Verständnis der Daten auf dem Gerät - all das ist sehr wichtig, wenn man sich mit dem Phishing-Problem befasst, denn ohne diese Informationen hat man keinen Kontext in der Umgebung, und ohne diesen Kontext ist es wirklich schwierig, das Problem zu lösen.
Und der dritte Teil ist die kontinuierliche Überwachung. Es gibt einige Geräte und Härtung. Es gibt einige Geräte, auf die bestimmte Zugriffe nicht erforderlich sind. Es ist beispielsweise nicht nötig, dass Sie auf dem medizinischen Arbeitsplatz Ihre E-Mails abrufen. Das sollte nicht passieren. Wie dringend es auch sein mag, Sie müssen einen anderen Arbeitsplatz nehmen, um sie zu prüfen. Sie sollten nicht an einem mit Ultraschall verbundenen Arbeitsplatz einkaufen gehen. Sie können bestimmte Dinge oder bestimmte Geräte nicht benutzen. Das hängt mit dem Kontext zusammen, aber auch damit, was man tun darf und was nicht. Dies kann in Echtzeit verfolgt und überwacht werden, so dass Sie effektiv sicherstellen können, dass bestimmte Anwendungen und Websites auf bestimmten Geräten nicht erlaubt sind. Und wenn man erst einmal den Kontext des Geräts kennt, die Mitarbeiter geschult sind und eine kontinuierliche Überwachung stattfindet, ist das sehr gut machbar. Es ist also eine Kombination aus Handel, Ausbildung, Technologie und Prozessen, um dies zu gewährleisten. Ich denke, wenn man all diese Maßnahmen gemeinsam ergreift, kann man das Risiko in seiner Umgebung wirklich senken.
Jeremy Linden:
Sehr gut. Zum Schluss möchte ich noch ein wenig über Sie sprechen. In diesem Monat geht es wirklich darum, die Cybersicherheit zu erforschen und das Bewusstsein dafür zu schärfen, die Karrieremöglichkeiten im Bereich der Cybersicherheit zu fördern und sicherzustellen, dass es ein dynamisches und aufregendes Feld bleibt, in dem man sich engagieren und in dem man arbeiten kann. Sie haben einen interessanten Hintergrund, der ziemlich vielfältig ist. Sie kommen aus dem Bereich der Elektrotechnik. Sie waren auch in den Bereichen Finanzen und Strategie tätig. Was sind Ihrer Meinung nach einige der wichtigsten Fähigkeiten, die Ihnen den Erfolg im Bereich der Cybersicherheit ermöglicht haben und an deren Entwicklung unsere Freunde im HDO-Bereich arbeiten können?
Shankar Somasundaram:
Ja, ich würde sagen, das sind drei Dinge, die man tun muss, um in der Cybersicherheit effektiv tiefer einzusteigen. Und das sind Dinge, die ich heute noch praktiziere. Das sind Dinge, die mir definitiv geholfen haben. Ich muss sagen, dass dies im Großen und Ganzen für jede Branche gilt, aber ich denke, dass es in der Cybersicherheit wichtiger ist als in anderen Branchen, da sich die Cybersicherheit weiterentwickelt. Ich würde sagen, der erste Punkt ist wirklich das Lesen und Aufnehmen von Informationen. Und man muss eine Menge Informationen lesen und aufnehmen, wenn man Cybersicherheit lernen will. Und wissen Sie, im Bereich der Cybersicherheit passiert ständig so viel, und das Interessante daran ist, dass ich den Bereich der Cybersicherheit nun schon seit 12 bis 13 Jahren beobachte, und mir ist aufgefallen, dass selbst die neuen Angriffe im Zusammenhang mit der Cybersicherheit im Großen und Ganzen die gleichen sind ... sie entwickeln sich weiter, aber es ist nur eine kleine Weiterentwicklung des Konzepts. Aber man muss eine Menge verstehen und alles wie ein Schwamm aufsaugen. Viele Leute haben Angst davor... haben Angst davor, weil sie denken, dass es zu viel ist. Sie werden es nicht verstehen, oder sie denken: "Warum sollte ich das überhaupt verstehen, weil es nicht zu meinem Job gehört?" Aber ich denke, um Cybersicherheit zu verstehen, muss man alles verstehen. Um ein einfaches Beispiel zu nennen: Bei Symantec haben wir so viele Ressourcen, dass ich so ziemlich jedes mögliche Whitepaper gelesen habe, das von irgendeiner Abteilung bei Symantec erstellt wurde. Ein Jahr lang habe ich so ziemlich alles gelesen und behandelt. Dabei spielte es keine Rolle, um welche Abteilung es sich handelte. Es spielte keine Rolle, wer es geschrieben hat, ich habe es gelesen. Und wenn Sie im HDO-Bereich tätig sind, haben Sie die Ressourcen. Sie verfügen über Ressourcen und Dokumente, die in Ihrer Organisation vorhanden sind, und über Anbieter, die Sie bedienen. Bitten Sie Ihre Anbieter, Ihnen Informationen zur Verfügung zu stellen. Ich garantiere Ihnen, dass jeder Anbieter Ihnen eine Menge guter Informationen zum Lesen geben wird, die Sie wirklich sachkundig machen und Ihnen eine Menge Informationen geben, die Sie brauchen. Das ist also der erste Schritt: lernen, lernen, lernen. Aufsaugen. Lesen. Fragen Sie Ihre Anbieter. Lesen Sie die White Papers. Lesen Sie das Rahmenwerk und Sie werden eine Menge Informationen erhalten, die Sie zum Verständnis der Cybersicherheit benötigen.
Der zweite Teil ist die Schaffung einer Gruppe von Gleichaltrigen, denen man Fragen stellen kann. Das ist also etwas, das mir immer geholfen hat. Bei Semantic zum Beispiel hatte ich Architekten, Führungskräfte und Innovatoren aus allen Geschäftsbereichen, und es gab dort eine ganze Reihe von Geschäftsbereichen. Und eigentlich jedes kleine Produkt, nicht jedes Geschäft, mit dem ich zu tun hatte. Ich konnte also jeden und jede anrufen und detaillierte Fragen stellen, warum es so funktioniert, wie es funktioniert. Was es tat. Und wenn Sie in der HDO-Branche tätig sind, gibt es eine Menge Leute in HDOs, die zur gleichen Zeit lernen. Es gibt Menschen in anderen HDOs, die den gleichen Lernprozess durchlaufen wie Sie. Wenn Sie eine Konferenz im Jahr besuchen, werden Sie eine Menge Leute finden, die sich mit anderen Menschen vernetzen und von ihnen lernen wollen. Auch hier können Sie immer wieder zu den Webinaren zurückkehren. Selbst wenn Sie keine Ressourcen haben, werden Sie dort Leute finden, die an einem ACCE-Webinar oder einem MD-Expo-Webinar teilnehmen können. Die Teilnahme daran kostet nichts. Bei einigen können Sie sehen, wer teilgenommen hat, und die Teilnehmerliste einsehen. Sie können also eine Peer-Group bilden, und wenn Sie eine Peer-Group bilden, können Sie Ihrer Peer-Group eine Menge Fragen stellen, um zu verstehen, wie sie denken. Und manchmal, wenn man Leute fragt, die im selben Boot sitzen und ebenfalls lernen, lernt man tatsächlich schneller. Das ist also die zweite Sache, die Sie meiner Meinung nach tun sollten. Bilden Sie eine Gruppe von Gleichgesinnten und lernen Sie mit ihnen, und bei HDO gibt es eine Menge Leute, die das gerade lernen. Ich denke also, das ist ein großartiger Ort, wenn man lernen will.
Und der letzte Punkt ist, wirklich dranzubleiben und beharrlich zu sein. Ich denke, dass Beharrlichkeit im Bereich der Cybersicherheit sehr wichtig ist. Manchmal sind die Konzepte sehr fremd. Sie scheinen sehr schwierig zu sein, aber wenn man sich weiter damit beschäftigt, wird man sie verstehen. Und der andere Teil der Cybersicherheit ist, dass man nicht aufhören kann zu lernen. Auch heute noch denke ich, dass ich viel Zeit damit verbracht habe, viel zu lesen und viel zu verstehen, aber auch heute noch lese ich jedes Framework. Ich lese jedes Papier, das ich in meiner Zeit finden kann, denn es wird immer etwas Neues veröffentlicht. Einige davon sind alte Konflikte, die wir ausgetragen haben. Manchmal ist es ein völlig neues Konzept, das man erst einmal verstehen muss. Aber wenn man dranbleibt und weiterliest, wird es immer einfacher. Wofür man früher fünf Stunden gebraucht hat, braucht man jetzt nur noch die Hälfte, und man liest schneller. Man lernt besser, und man kann die einzelnen Teile besser zusammenfügen als andere. Ich würde also viel lesen. Viel absorbieren. Die Peer-Group bombardieren und dann hartnäckig bleiben. Das sollte ein ständiger Bestandteil des Bildungszyklus sein. Ich würde sagen, wenn man diese drei Dinge kultiviert, wird man sehr bald gefragt werden. Wer auch immer nach uns kommt, wird ein Cyber-Experte sein, der den Rest der Branche vorantreibt, und zusammen mit dem Wissen über medizinische Geräte, das viele Leute bereits haben, wäre das eine unschlagbare Kombination, denke ich.
Jeremy Linden:
Ja, dem stimme ich voll und ganz zu. Und was mich betrifft, so denke ich definitiv, dass das Verstehen der Details und das Verstehen des Warum, diese Art von Neugier, das Warum verstehen zu wollen, super wichtig ist. Denn selbst wenn etwas eine technische Ebene unter dem liegt, was man eigentlich zur Lösung des Problems braucht, gibt einem das Verständnis dafür oft so viel mehr Kontext. Und ich bin wirklich froh, dass es heutzutage viel mehr Möglichkeiten gibt, sich auf formellem oder relativ informellem Weg weiterzubilden, als das früher der Fall war. Das ist also wirklich gut.
Damit sind wir am Ende angelangt. Danke, Shankar, dass Sie hier sind und etwas von Ihrem Wissen mit uns teilen. Und danke, dass Sie weiterhin Innovationen in der Welt der IoMT-Cybersicherheit vorantreiben. Wenn Sie Fragen haben oder mehr über Asimily erfahren möchten, können Sie uns unter info@asimily.com kontaktieren. Bis dahin, passen Sie auf sich auf und bis zum nächsten Mal.
[Ende]
