David Finn
Hallo, mein Name ist David Finn und ich bin einer der Vizepräsidenten von chime, der für die Association for Executives in Healthcare Information Security verantwortlich ist. Und heute habe ich drei Personen, die ich als Schwergewichte in der Sicherheitsbranche bezeichnen muss, insbesondere im Bereich der medizinischen Geräte. Mein erster Gast ist Shankar Somosundaram, der derzeit der CEO von Asimily ist. Asimily ist eine datengesteuerte, nicht-invasive Lösung zur Überwachung medizinischer Geräte für Gesundheitsdienstleister und Hersteller medizinischer Geräte, die Lösungen für Asset Management, Cybersicherheit und betriebliche Anwendungsfälle bietet. Zuvor leitete Shankar den Geschäftsbereich Internet of Things bei Symantec und war in dieser Funktion für das Internet of Things-Geschäft von Unternehmen in verschiedenen Branchen zuständig, darunter Gesundheitswesen, industrielle Kontrollsysteme und Anlagen. Zuvor gehörte Shankar zu den Geschäfts- und Unternehmensentwicklungsteams, die sich mit Geschäften in den Bereichen Unternehmensspeicher und Sicherheit befassten. Vor seiner Tätigkeit bei Symantec war Shankar bei Unternehmen wie Qualcomm, interdigital und British Telecom in den Bereichen technische Strategie und Produktmanagement tätig. Shankar gründete und leitete außerdem Startups sowie Unternehmenssoftware- und Sicherheitsbereiche und ist Inhaber von mehr als 50 erteilten Patenten in den Bereichen Netzwerke und Sicherheit.
Mein zweiter Diskussionsteilnehmer heute ist Axel Wirth. Axel Wirth ist Chief Security Network Strategist bei MedCrypt. In dieser Funktion bietet er med crypt und seinen Kunden eine strategische Vision und Branchenführerschaft und leitet sie bei wichtigen Entscheidungen zur Sicherheitsstrategie an. Er ist ein aktiver Teilnehmer in Industrie- und Standardisierungsorganisationen, arbeitet in Vorständen und Ausschüssen und gibt sein Wissen über Cybersicherheit durch Veröffentlichungen und Präsentationen weiter. Als Lehrbeauftragter unterrichtet Wirth einen Kurs über Cybersicherheit für medizinische Geräte an der University of Connecticut Clinical Engineering und im Graduiertenprogramm. Er ist Mitherausgeber und Mitverfasser der ersten beiden Bücher über Cybersicherheit bei Medizinprodukten, die jemals veröffentlicht wurden und sich mit dem Bedarf an Cybersicherheitsschulungen für Klinikingenieure in Krankenhäusern sowie für Ingenieure, die für Hersteller von Medizinprodukten arbeiten, befassen. In Anerkennung seiner Leistungen wurde er 2018 mit dem ACCE HIMSS Excellence in Clinical Engineering and IT Synergies Award und dem ACCE 2019 Clinical Engineering Advocacy Award ausgezeichnet und wurde von AAMI und HIMSS zum Fellow ernannt. Er hat einen BS in Elektrotechnik von der Fachhochschule Düsseldorf und einen MS in Engineering Management vom Gordon Institute an der Tufts University.
Und zu guter Letzt ist heute Steve Grimes bei uns. Steve Grimes verfügt über mehr als 40 Jahre Erfahrung in der Zusammenarbeit mit unabhängigen Dienstleistungsunternehmen, akademischen medizinischen Zentren, Beratungs- und Forschungsunternehmen im Gesundheitswesen. Er ist eine anerkannte Autorität und tritt häufig als Redner und Autor zu Themen auf, die von zukünftigen Herausforderungen für die Technologieunterstützung bis hin zur Konvergenz der Gesundheitstechnologie, dem Risikomanagement für medizinische Geräte und Fragen des Qualitätsmanagements reichen. Vor kurzem war er Mitverfasser und Mitherausgeber des AAMI-Leitfadens zur Cybersicherheit von Medizinprodukten für Fachleute aus dem Bereich des Gesundheitstechnologie-Managements und unterrichtet einen Ingenieurkurs für Hochschulabsolventen. Cybersecurity für Medizinprodukte an der Universität von Connecticut. Hey! Du und Axel, ihr kennt euch vielleicht. Mir ist gerade aufgefallen, dass er an der Entwicklung vieler der wichtigsten Health Care Technology Management Standards der Branche beteiligt war und als HTM-Berater für die Weltgesundheitsorganisation und die Panamerikanische Gesundheitsorganisation gearbeitet hat. Er wurde mit dem jährlichen AAMI Healthcare Technology Management Leadership Award, dem ACCE Lifetime Achievement Award und dem ACCE HIMSS Annual Excellence in CEIT Synergies Award ausgezeichnet. Im Jahr 2019. Er wurde in die Clinical Engineering Hall of Fame der ACCE aufgenommen. Das ist eine Menge Einleitung, aber dahinter steckt eine Menge Erfahrung. Ich werde also eintauchen und mit Ihnen beginnen, Steve und Shankar. Das Gesundheitswesen befindet sich in einer schwierigen Phase, wie alle Sektoren in unserer Wirtschaft. Es ist eine schwierige Zeit, um zu planen und herauszufinden, ob wir uns in einer Rezession oder in einer Inflation befinden oder was vor sich geht. Meine erste Frage an Sie lautet also: Was ist der häufigste Einwand, den Sie von leitenden Angestellten hören, wenn sie nach einem Budget für Cybersicherheit fragen? Steve?
Steve Grimes 5:32
Ich danke Ihnen. Das wahrscheinlich größte Problem, das wir hören, ist, dass es für die Menschen schwierig ist, ein vernünftiges Budget für die Cybersicherheit einzuplanen, oder wofür man es einplanen sollte. Und diese Schwierigkeit ergibt sich aus der Natur unserer Branche: Das Gesundheitswesen nutzt zunehmend neue Technologien, die eine Verbesserung der Gesundheitsfürsorge, der Qualität der Gesundheitsfürsorge und der Verfügbarkeit der Gesundheitsfürsorge versprechen, aber mit der Einführung neuer Technologien verringern wir auch die Zahl der Schwachstellen. Und wir stellen fest, dass die Zahl der Cyber-Bedrohungen zunimmt. Das Problem ist, dass es in der Vergangenheit nicht wirklich eine Historie gab, aus der man leicht ableiten konnte, wie hoch die Kosten für zukünftige Cyberangriffe sein werden. Man darf sich also nicht nur auf historische Daten stützen, sondern muss auf der Grundlage der Art der Technologie des Unternehmens die Schwachstellen, die es hat, ermitteln. Aber auch wie sieht das Bedrohungsprofil aus? Wie entwickeln sich die Bedrohungen? Basierend auf historischen Informationen und der Entwicklung der Technologie, den neuen Technologien, die verwendet werden, der Entwicklung der Bedrohungen, die auftreten. Was muss ich einplanen, um sicherzustellen, dass ich mich vor diesen neuen Bedrohungen, die mit den Schwachstellen verbunden sind, schützen kann? Das ist also eine der großen Schwierigkeiten. Die Menschen müssen sich nicht nur mit den historischen Informationen befassen, sondern auch mit dem Projekt, das auf der Frage basiert, wie ich die Technologie einsetze. Und wie wirkt sich das auf meine Schwachstellen aus? Und auch wie sehen die Bedrohungsprofile aus? Entwickeln sie sich, tauchen sie auf? Und wie gehe ich mit diesen um?
Shankar Somasundaram 7:38
Danke, Steve. Und wenn ich noch etwas zu dem hinzufügen kann, was Steve erwähnt hat, dann denke ich, dass das andere Problem, wenn es darum geht, ein Budget zu beantragen, darin besteht, dass die Gesundheitssysteme sich des Cyber-Risikos wirklich bewusst sind, aber nicht wirklich wissen, dass sie wirklich sagen, okay, wie werde ich das nutzen? Ich habe nicht das Personal, um Maßnahmen zu ergreifen, wenn ich nicht über das Personal verfüge, um eine Lösung zu nutzen, und andere haben das Personal, um mit, sagen wir, einer Dienstleistungsorganisation zu arbeiten. Und ich denke, der andere Teil davon ist, dass man Cybersicherheit als einen Plan betrachten muss, nicht als einen Erfolg über Nacht. Und alles, was man in kleinen Häppchen betrachtet, ist meiner Meinung nach viel einfacher zu budgetieren als eine ganze Armee, die das Problem über Nacht löst, oder? Es ist also viel einfacher, das Budget für eine ganze Armee aufzuteilen, die das Problem von heute auf morgen lösen soll, und es in kleine Häppchen aufzuteilen. Das macht es auch einfacher, denn im Moment ist die größte Ehre, das größte Problem, wirklich, wie bekomme ich das Budget vom Vorstand für ein wirklich großes Team, um all diese Probleme zu lösen, wenn man es wirklich in kleinere Brocken aufteilt, Dinge, die man Stück für Stück angehen kann, dann denke ich, ist es viel einfacher, das zu tun.
David Finn 8:47
Vielen Dank, ihr beiden. Ich übergebe jetzt an Sie, Axel und Steve. Wir haben über den Teil gesprochen, in dem es darum geht, Geld zu verlangen, aber davor geht es um die Quantifizierung des Risikos, was ist wirklich das Risiko für die Organisation? Und ich glaube, dass diese Risikoquantifizierung im Gesundheitswesen geradezu aufkocht. Ich hatte das Vergnügen, einige Jahre lang mit Axel bei Symantec zusammenzuarbeiten. Wir kamen typischerweise durch die IT-Tür und die Risiken aus der IT-Perspektive sind anders als aus der Perspektive der klinischen Technik. Und beide sind aus der Sicht des CEOs oder des CFOs unterschiedlich. Axel, wie schätzen Unternehmen Ihrer Meinung nach heute das Risiko und den Wert der Cybersicherheit ein?
Axel Wirth 9:46
Ja, das ist ein hervorragender Punkt, denn viele der Modelle, die wir verwenden, stammen aus dem traditionellen IT-Sicherheitsbereich, und die Anwendung dieser Modelle auf medizinische Geräte hat ihre Grenzen. Im Bereich der Medizinprodukte sind wir es gewohnt, traditionelle Sicherheitsrisikoanalysen durchzuführen. Aber die Ergebnisse sind anders als bei einer Sicherheitsrisikoanalyse. Wenn wir also Medizinprodukte und ihr Risiko durch Cyberrisiken quantifizieren wollen, müssen wir meiner Meinung nach ein kombiniertes Modell in Betracht ziehen, das die Grundsätze der traditionellen IT-Sicherheitsrisikoanalyse und die Erfahrungen aus der traditionellen Sicherheitsrisikoanalyse miteinander verbindet, und eine spezielle Sicherheitsrisikoanalyse für Medizinprodukte durchführen, um nur zwei spezifische Bereiche hervorzuheben, in denen wir auf Unterschiede achten müssen. Das eine ist sicherlich die statistische Schätzung der Wahrscheinlichkeit des Auftretens eines Ereignisses, das wir in der Cybersicherheit haben, wir haben sehr wenig historische Daten, die es uns erlauben würden, die Zukunft zu projizieren, wir können Trends ableiten, wir können das große Bild betrachten, aber wir können nicht auf der Grundlage historischer Daten vorhersagen, Wir können Trends ableiten, wir können das große Ganze betrachten, aber wir können nicht auf der Grundlage historischer Daten vorhersagen, mit welcher Wahrscheinlichkeit ein bestimmtes Cyber-Ereignis eintreten wird. Ich kann versuchen, mein System, meine Schwachstellen und Anfälligkeiten zu verstehen und einzuschätzen, wie ausnutzbar es ist, wie leicht es durch einen Angriff kompromittiert werden kann, und dann davon ausgehen, dass es eines Tages passieren wird, anstatt die Vergangenheit zu betrachten und einfach eine kühne Vorhersage für die Zukunft zu treffen. Denn schließlich bewegen wir uns in einem lebenswichtigen Bereich im Vergleich zu einem unternehmenskritischen Bereich auf der IT-Seite. Das zweite Beispiel, das ich anführen möchte, ist, dass es bei der Cybersicherheit, vor allem aber bei medizinischen Geräten, nie nur um ein einzelnes Gerät oder eine einzelne Schwachstelle oder Anfälligkeit geht. Wir wissen, dass raffinierte Hacker mehrere Schwachstellen kombinieren, um in Systeme einzudringen. Jede einzelne Schwachstelle abzuschätzen, hilft uns also nicht wirklich, eine gute Verteidigung aufzubauen. Wir wissen aber auch, dass bei einem kompromittierten Gerät das Problem nie bei dem Gerät selbst bleibt, sondern sich auf andere Geräte ausbreitet oder ein kompromittiertes Gerät eine ganze Abteilung beeinträchtigt. Und in einigen Fällen kann es sogar das gesamte Krankenhaus oder andere Krankenhäuser in der Region betreffen. Wenn mein CT-Bildgebungssystem in der Notaufnahme ausfällt, kann ich bestimmte Patienten mit Schlaganfall-Symptomen nicht aufnehmen und muss sie an andere Krankenhäuser weiterleiten. Die Komplexität der Auswirkungen und Risiken, die ich bei Medizinprodukten berücksichtigen muss, übersteigt also bei weitem das, was wir bei der Cybersicherheit, aber auch bei der traditionellen Gerätesicherheit gewohnt sind.
David Finn 12:56
Steve, haben Sie weitere Gedanken zu diesem Thema?
Steve Grimes 13:00
Ich denke, das ist eine sehr gute Zusammenfassung, ich würde nur hinzufügen, dass wir wieder über medizinische Geräte sprechen. Wenn wir über Cyberkompromittierungen sprechen, sind nicht nur die finanziellen Risiken zu berücksichtigen, sondern auch die Auswirkungen auf die Patientensicherheit und die Patientenversorgung. Der Gesamtbetrieb der Organisation ist so hervorragend wie beschrieben, wenn bestimmte Dienste ausfallen, kann der Gesamtbetrieb stark beeinträchtigt werden. Und auch hier kann sich die Beeinträchtigung erheblich auf den Ruf einer Organisation auswirken. Dies sind also alles Dinge, die berücksichtigt werden müssen. Und bei der Beschaffung eines Budgets müssen Sie in der Lage sein, diese Informationen an die Leitung und den Vorstand weiterzugeben, um zu verstehen, welches Potenzial die Kompromisse haben, wie sie sich auf diese Aspekte der Organisation auswirken können und welche Auswirkungen das Budget hat, das notwendig ist, um eine vernünftige Chance zu haben, diese Art von Risiken zu beseitigen oder zumindest zu mindern. Also noch einmal: Betrachten Sie die verschiedenen Aspekte, die diese Arten von Cyber-Risiken in Bezug auf medizinische Geräte darstellen, und stellen Sie sicher, dass Sie diese Informationen so gut wie möglich vermitteln. Extrapolieren Sie von historischen Informationen unter Verwendung der Informationen, die Sie aus Ihrer Risikobewertung gewinnen, um zu bestimmen, wie hoch die Wahrscheinlichkeit und die potenziellen Auswirkungen auf diese Bereiche der Finanzoperationen, die Patientensicherheit und den Ruf sind.
David Finn 14:51
Danke, es hört sich also so an, als ob sie und die klinische Entwicklung gemeinsam daran arbeiten müssen. Und ich habe mit der Wanze angefangen. Gute Frage für dich, Steve. Ich werde also auf Sie zurückkommen. Wir haben über einige der Probleme gesprochen, die Sie hören, als die Leute nach Budgets fragten und einige der Dinge, die sie tun könnten, und dann sind wir auf die Risikoquantifizierung eingegangen. Ich komme also zurück und schließe sozusagen den Kreis. Shankar und Steve, was glauben Sie, werden Unternehmen in Zukunft tun können? Nach Budgets für Cybersicherheit fragen und eine bessere Möglichkeit haben, diese kombinierte Geschichte zu erzählen?
Shankar Somasundaram 15:39
Ja, Steve, du kannst anfangen.
Steve Grimes 15:41
Na gut. Danke, Shankar. Diejenigen, die an der Verwaltung dieser Risiken beteiligt sind und sicherstellen, dass die Organisation sich dessen voll bewusst ist, müssen zuallererst die Schwachstellen der Organisation analysieren, und zwar auf der Grundlage der verwendeten Technologien, der Prozesse, der an der Nutzung der Technologie beteiligten Akteure und der Art und Weise, wie all diese Technologien zusammenarbeiten. Es muss also eine Analyse und ein Bericht über die aktuellen Schwachstellen in diesem Bereich erstellt werden. Sie müssen auch den Bericht über die aktuelle, externe Bedrohungslandschaft, die Quellen und die Arten der Kompromittierung analysieren. Bei einer effektiven Risikobewertung müssen die potenziellen Auswirkungen auf die Patientensicherheit, die Pflege, die Finanzen, den Betrieb und den Ruf der Organisation abgeschätzt werden, falls eine der identifizierten Schwachstellen ausgenutzt wird. Und schließlich müssen sie Schritte zur Verfügung stellen, die mit einem Budget verbunden sind, um die entsprechenden Sicherheitskompromittierungen zu reduzieren oder zumindest deutlich abzuschwächen, wenn eine solche auftritt.
Shankar Somasundaram 17:04
Vielen Dank, Steven, ich denke, wir haben eine Menge guter Punkte angesprochen. Wenn ich das, was Steve gesagt hat, noch ergänzen darf: Ich denke, es gibt noch ein paar andere Dinge, die Organisationen tun können. Eine davon ist die Quantifizierung ihres Risikos im Vergleich zu anderen Organisationen da draußen in der Landschaft. Und um diese Informationen zu erhalten, kann man sie sich entweder beschaffen, es gibt Lösungen dafür, oder man kann auch als CISO oder als Leiter der Cybersicherheit seine eigene Peer Group haben, die man kontaktieren kann, und die vielleicht ihre Risikolage quantifiziert hat. So können Sie deren Risikostruktur mit der Ihren vergleichen. Generell sollten Sie natürlich sicherstellen, dass Ihre Risikostruktur mindestens mit der der übrigen Branche übereinstimmt, und Sie sollten sie ständig verbessern, denn die Sicherheitslandschaft verbessert sich definitiv. Aber Sie wollen auf keinen Fall hinterherhinken. Ein Vergleich der Risikolage oder ein Benchmarking Ihrer Organisation mit der Branche ist also sehr wertvoll. Eine weitere Möglichkeit ist die Veröffentlichung von Sicherheitsverletzungen im Gesundheitswesen durch verschiedene Einrichtungen. Und was Sie tun können, ist, einige CISOs einzubeziehen. Die CIOs haben mir erzählt, dass sie nach dem Einbruch Informationen über die vorhandenen Sicherheitskontrollen und die ergriffenen Maßnahmen erhalten haben und sich ihre eigene Organisation ansehen und sagen konnten: Das ist das absolute Minimum, denn selbst damit sind Einbrüche passiert. Wir müssen also mehr tun als das. So konnten sie zum Vorstand gehen und sagen: "Das ist das Beste, was wir bisher gesehen haben. Und wir wissen, dass es einige Probleme gegeben hat. Wir müssen es also besser machen als das. Und das ist der Gesamtbetrag des Budgets, der erforderlich ist, um dieses Ziel zu erreichen. Auch hier handelt es sich also um eine andere Art der Quantifizierung, bei der Sie sich an Ereignissen messen, die bereits eingetreten sind, und an dem, was getan wurde. Sie versuchen wirklich, Ihre eigene Haltung zu verbessern, und fragen nach dem Budget für diese Aufgabe.
David Finn 18:38
Ich danke Ihnen. Ich danke Ihnen beiden. Ich werde nun etwas tiefer in das Rätsel eintauchen, das wir aufgeworfen haben, nämlich die Zusammenarbeit von Clinical Engineering und Ice it oder Informationssicherheit. Ich denke, die meisten von Ihnen wissen, dass ich in einem früheren Leben CIO war. Und in den frühen 2000er Jahren war ich wahrscheinlich einer der ersten CIOs, die die klinische Entwicklung unter sich hatten. Der Director of Clinical Engineering war ein brillanter Mann, aber er war nicht begeistert. Er war nicht begeistert, dem CIO unterstellt zu werden. Seine ersten Worte an mich, als der CEO diese Entscheidung bekannt gab, waren: "Ich habe noch nie in meinem Leben so wenig über eine Organisation berichtet. Und ich kann Ihnen sagen, dass wir uns sehr schnell einig waren: Ich kannte mich mit klinischer Technik nicht aus. Ich mochte die Dringlichkeit, die die klinische Entwicklung mit sich brachte, sehr. Aber bei den klinischen Ingenieuren ging es darum, Probleme zu lösen, und sie hatten nicht viele der Prozesse, die sie normalerweise um sich herum aufbauen, manchmal zum Guten und manchmal zum Schlechten. Meine Frage an Sie, Axel und Steve, lautet also: Wie sehen Sie Organisationen? Wir haben heute von Ihnen allen gehört, dass IT und Sicherheit in Zukunft zusammenarbeiten müssen. Aber welche Art von Modellen? Sehen Sie diese? Was tun die Unternehmen, um Sicherheit und IT und HTM oder klinische Technik in Einklang zu bringen? Und was funktioniert Ihrer Meinung nach und was wird nicht funktionieren? Axel, ich fange mit Ihnen an.
Axel Wirth 20:27
Ich glaube nicht, dass es hier einen einheitlichen Ansatz gibt, der für alle passt. Ich glaube, das Modell, das ich heutzutage am häufigsten sehe, ist das von Ihnen erwähnte, bei dem die klinische Technik und die IT-Sicherheit mit einbezogen sind. Aber die anderen Modelle sind das, was die Mayo-Klinik ursprünglich eingeführt hat und was einige andere auch kopiert haben. Dabei handelt es sich um die Bildung einer dritten Gruppe, die mit Mitarbeitern beider Seiten besetzt ist, aber unabhängig arbeitet und für die Sicherheit der Medizintechnik zuständig ist, wobei es sich nicht unbedingt um eine Organisationseinheit handeln muss, sondern auch um einen Ausschuss oder eine Arbeitsgruppe, die mit Mitarbeitern beider Seiten besetzt ist. Je nach Größe, Erfahrung und Fachwissen sollten Sie sich also diese drei Modelle ansehen und herausfinden, welches am besten funktioniert. Was für Sie das Beste ist. Dann gibt es natürlich noch die verfahrenstechnische Seite. Und das ist, dass bestimmte Verfahren sie erfordern können. Schritte auf beiden Seiten der Organisation unternommen worden sind. Ein einfaches Beispiel ist die Beschaffung. Oder? Wenn das klinische Engineering ein neues Gerät beschafft, das mit dem Netzwerk verbunden ist, müssen die meisten Organisationen den Prover für diesen Kauf und die IT-Sicherheit durchlaufen, um sicherzustellen, dass das neue Gerät mit den Netzwerk- und IT-Anforderungen übereinstimmt und das Krankenhaus in Zukunft sicher ist. Es handelt sich also sowohl um eine organisatorische Frage als auch um eine Frage der Prozesse und Verfahren in Bezug auf bestimmte Prozesse, die früher auf einer der beiden Seiten stattfanden, jetzt aber auf beiden Seiten stattfinden und gemeinsam verwaltet werden müssen.
Steve Grimes 22:22
Also füge ich hinzu, dass ich der einzige klinische Ingenieur in dieser Gruppe bin. Und ich werde meinen Senf dazugeben. Ich bin seit fast 45 Jahren in der Branche tätig und kenne mich mit Gesundheitstechnologie und klinischer Technik aus. Insbesondere in den letzten 20 Jahren haben wir eine Konvergenz der Technologien erlebt, die eine engere Zusammenarbeit erfordert, sei es bei der Zusammenführung der Abteilungen, also zwischen Clinical Engineering und IT, und die Herausforderung besteht darin, dass diese beiden Gruppen sehr unterschiedliche Hintergründe haben und sich kulturell größtenteils unterscheiden. Folglich ist es nicht einfach, die beiden Gruppen zusammenzubringen, wie auch immer das geschehen mag, es erfordert einige Überlegungen. Eines der Probleme bei den Herausforderungen, die wir gesehen haben, ist, dass Organisationen oft versucht haben, einfach nur eine Zeile in einem Organigramm zu ändern, ohne groß darüber nachzudenken, wie wir diese Gruppen dazu bringen können, in allen Bereichen zusammenzuarbeiten, nicht nur im Bereich der Cybersicherheit, aber es ist eine Herausforderung in allen Bereichen. Das bedeutet nicht notwendigerweise, dass sie in derselben Abteilung sein müssen, sie können vollständig zusammenarbeiten, aber sie müssen erkennen, dass sie einen synergetischen Ansatz brauchen, einen integrierten Ansatz für den Umgang mit diesen hybriden Technologien, den Computer- und Medizintechnologien. Wenn es also um die Entwicklung von Richtlinien und Verfahren geht, sagen wir, um die Cybersicherheit, wenn es um Fragen wie die Beschaffung von Technologien, die Nutzung von Technologien und die Sicherheit geht, dann sind das Dinge, die nicht von einer der beiden Gruppen isoliert getan werden können. Sie müssen sich zusammensetzen und planen, wie wir effektiv zusammenarbeiten können, um sicherzustellen, dass es keine Lücken in unserem heutigen Ansatz gibt. Cybersicherheit, dass wir über integrierte Richtlinien und Verfahren verfügen, die im Wesentlichen demselben Plan folgen. Und noch einmal, das ist nichts, was für die meisten IT- oder Kliniktechniker selbstverständlich ist. Aber es ist etwas, das die sichere und effektive Nutzung der Technologie voraussetzt, dass diese Gruppen effektiver zusammenarbeiten. Und das wird, das ist der Sinn, den Sie brauchen, Sie werden, wieder, eine cyber sichere Umgebung haben, aber medizinische Geräte.
Axel Wirth 25:39
Vielleicht sollten wir auch nicht vergessen, was Sie als drittes Bein des Hockers bezeichnen würden, nämlich die Anlagen. Sie betreiben Aufzüge, Sicherheits- und Alarmsysteme, die alle mit Netzwerken, SCADA-Geräten, industriellen Kontrollsystemen und IoT-Geräten arbeiten, die aus der Sicherheitsperspektive ebenso gefährdet sind. Und in der Tat gibt es mehrere hochkarätige Einbrüche, über die berichtet wurde und die tatsächlich mit einem System vom Typ H vac und all den oben genannten Dingen begannen. Daher muss ich die Systeme nicht nur als mögliche Eintrittspforte für einen Sicherheitsangriff betrachten, sondern auch als möglichen Risikofaktor für die Pflege. Wenn ich meine Aufzüge abstelle, stelle ich den Patiententransport ein. Wenn ich die Temperatur in meinem Operationssaal ändere, hat das Auswirkungen auf die für den Tag geplanten Eingriffe. Es geht also um mehr als nur um Tee und Technik.
David Finn 26:53
Ich werde hier eine Blitzrunde starten. Ich rufe also einfach einen Namen auf und gebe Ihnen eine Frage. Ich fange mit Ihnen an, Steve. Ich weiß, dass Axel die Zusammenarbeit mit dem Beschaffungswesen und deren Einbindung in den Kreislauf erwähnt hat. Aber eine der uralten Fragen oder Probleme, die ich von klinischen Ingenieuren höre, ist die Zusammenarbeit mit dem Hersteller und der IT-Seite dieser Welt: Sie wollen nichts ändern, sie können nichts tun. Was kann das klinische Engineering oder der Einkäufer aus der Sicht des klinischen Engineerings also tun, um den Hersteller mit neuen Ansätzen unter Druck zu setzen, während man sich im Beschaffungsprozess befindet?
Steve Grimes 27:39
Zunächst einmal denke ich, dass das ein guter Punkt und eine gute Frage ist. Sie haben die Macht des Scheckbuchs, wenn Sie über den Beschaffungsprozess sprechen. Sie werden also nie mehr Macht haben als zu diesem Zeitpunkt. Das ist also der Zeitpunkt, an dem man die entsprechenden Bedingungen mit dem Gegner oder die entsprechenden Vereinbarungen mit dem Hersteller treffen möchte. Und Organisationen sollten sich in der klinischen Entwicklung darüber im Klaren sein, und das sollten sie auch, dass die Beziehung zum Hersteller nicht mit der Beschaffung endet. Zuallererst sollten Sie Dinge wie einen Dokumentenabruf durchführen, den praktisch alle Hersteller medizinischer Geräte, jedenfalls die großen, zur Verfügung stellen. Er basiert auf dem Standard, an dessen Entwicklung ich vor etwa 20 Jahren beteiligt war, dem so genannten MDS2. Sie sollten dieses Dokument anfordern, da es sicherheitsrelevante Profilinformationen über medizinische Geräte enthält und Ihnen dabei hilft, die Sicherheitsmerkmale eines medizinischen Geräts zu bestimmen und herauszufinden, wie Sie das medizinische Gerät, das Sie in Betracht ziehen, in Ihre Umgebung einbinden können oder müssen, und ob es für Ihre Umgebung geeignet sein wird. Der zweite wichtige Punkt ist, dass Sie sicherstellen wollen, dass die Beziehung über die bloße Anschaffung hinausgeht, denn medizinische Geräte und andere computergesteuerte Geräte müssen oft aktualisiert werden. Wir alle wissen, dass für unsere Computersysteme regelmäßig Sicherheitsupdates durchgeführt werden müssen. Und das gilt natürlich auch für medizinische Geräte. Und es muss eine Beziehung bestehen, die während der gesamten Lebensdauer des Geräts aufrechterhalten wird, damit Sie so schnell wie möglich Sicherheits-Patches und Updates vom Hersteller erhalten, sobald diese verfügbar sind. Und Sie möchten sicherstellen, dass der Hersteller, wenn die Aktualisierungen verfügbar sind, diese an Sie weiterleitet und Sie darüber informiert, damit Sie Ihre Produkte aktualisieren und zur Aufrechterhaltung einer sicheren Umgebung beitragen können. Die klinische Entwicklung sollte die Möglichkeit haben, Geräte abzuzeichnen, bevor sie zum Kauf freigegeben werden, denn wenn es ein bedeutendes Sicherheitsproblem oder andere bedeutende Probleme gibt, Aspekte des Geräts oder andere Sicherheits- oder Wirksamkeitsaspekte des Geräts, die der klinischen Entwicklung bekannt sind, dann sollte sie die Möglichkeit haben, die Beschaffung abzuzeichnen. Sie sollten also im Vorfeld Informationen in Form des MDS2 und anderer Informationen einholen, die an den Hersteller weitergeleitet werden sollten, um eine langfristige Beziehung zum Hersteller aufrechtzuerhalten und sicherzustellen, dass Sie regelmäßige Sicherheitsupdates und andere Aktualisierungen für das Gerät erhalten, und um sicherzustellen, dass es Teil Ihrer internen Prozesse ist, dass die klinische Entwicklung und sie jede Anschaffung dieser neuen Technologien absegnen.
David Finn 30:58
Danke. Und Ihre Antwort, Steve hat eine weitere Frage aufgeworfen, die ich aufgrund seiner einzigartigen Position an Shankar weiterleiten werde. Ich kann mir vorstellen, dass Sie, Shankar, manchmal an einen Anbieter von klinischer Technik verkaufen, manchmal vielleicht an den Sicherheitsdienst. Aber wenn Sie eine Vereinbarung mit dem einen oder dem anderen getroffen haben, welche Ratschläge geben Sie ihm zum Beispiel in Bezug auf die klinische Entwicklung, bevor er sich an dem Geschäft beteiligt? Oder andersherum? Wenn Sie in die klinische Technik verkauft haben? Geben Sie ihnen Ratschläge, was sie tun müssen, bevor sie mit der Implementierung eines entsprechenden Systems beginnen?
Shankar Somasundaram 31:43
Das ist eine gute Frage. Ich denke, wir haben offensichtlich mit beiden Seiten des Hauses gearbeitet, wir haben mit Organisationen gearbeitet, die zusammenarbeiten, und mit Organisationen, bei denen sie sich nicht einmal sehen können, nicht einmal Auge in Auge. Ich würde sagen, wir sagen beiden Seiten, dass sie die andere Seite verstehen müssen, egal auf welcher Seite wir stehen. Sie muss also verstehen, dass medizinische Geräte einzigartig sind, sie sind nicht einfach nur eine weitere Workstation, ein weiterer Server, sie sind nicht, sie sind anders. Man muss sie also als solche behandeln, man kann nicht dieselben Ansätze verfolgen, man kann nicht einfach einen Patch-Dienstag einlegen und alle Geräte mit einem Patch überziehen. Auf der IT-Seite muss man also einige der Feinheiten verstehen, so wie Sie es getan haben, David, als Sie CIO waren, und Sie haben die medizinischen Geräte wirklich verstanden. Für die C-Site müssen wir die Auswirkungen der Cybersicherheit verstehen, sie als Problem behandeln, die ISI als Problem behandeln, die Organisation, mit der sie zu tun haben, und jemand, der ihre Arbeit behindert, ist nicht hilfreich, denn sie versuchen auch, die Gesamtversorgung zu verbessern, weil die Cybersicherheit letztendlich die Patientenversorgung beeinflusst. Sie arbeiten also in gewisser Weise Hand in Hand mit dem C-Team, um die Gesamtversorgung zu verbessern. Daher ist es meiner Meinung nach sehr wichtig, den Standpunkt des jeweils anderen zu verstehen. Das ist der erste Rat, den wir uns gegenseitig geben. Und dann ist es sehr wichtig, sie aufzuklären, ihnen die Informationen zu geben, die sie brauchen, um ihr Ziel zu erreichen, und ihnen dabei zu helfen, alle Nuancen von Medizinprodukten zu verstehen, was sie können und was nicht, warum sie nicht tun können, was sie nicht tun können. Und wie können sie die Nuancen von der IT-Seite und von der Seeseite aus berücksichtigen, sie mehr über Cybersicherheit, ihr Risiko, die Auswirkungen auf die Patienten aufklären, ich denke, das hilft ihnen, besser zu werden, so dass, wenn man ein Gerät in die Umgebung einführt, die andere Seite einige ihrer einzigartigen Perspektiven einbringen kann, um sicherzustellen, dass sie die richtigen Geräte einführen und versuchen, sicherzustellen, dass das Gerät, das eingeführt wird, das richtige für die Patientenversorgung ist, das richtige für die Ärzte ist, das richtige für die Organisation selbst ist. Richtig.
David Finn 33:27
Das ist sehr hilfreich. Und eine Sache möchte ich jeden von Ihnen ganz kurz fragen, und ich bin sicher, die Antwort ist sehr kompliziert. Aber eines der Dinge, die ich gelernt habe, als die klinische Entwicklung unter mir war, ist, dass wir auf jeden Fall Asset Management von der IT-Seite aus betrieben haben. Was ich in der Welt der klinischen Entwicklung gelernt habe, ist, dass sie eine ganz andere Reihe von Informationen verfolgen als wir in der IT-Welt. Wir verfolgten nie Dinge wie die Zwischenzeit, die Zeit zwischen Ausfällen, und wir protokollierten sicherlich nicht jedes Wartungsproblem, das wir bei einem Gerät in Angriff nahmen, wie es bei den regulierten Geräten der Fall sein muss. Meine Frage an Sie alle lautet also: Wie integrieren Sie eine Lösung wie Similes in das größere Asset Management und in die größere Datenbank, um zu einer einzigen Quelle der Wahrheit zu gelangen, anstatt mehrere Datenbanken zu haben, mit denen ich mich herumgeschlagen habe? Ich nehme Sie also als Beispiel.
Axel Wirth 34:32
Okay, ich kann damit anfangen. Ich meine, Sie sagten, Ihr Punkt ist gut getroffen, mehrere Datenbanken zu schreiben ist immer problematisch, weil Sie unverbundene Informationen haben, Sie haben Systeme, die in der Zukunft auseinanderdriften werden. Deshalb ist es wichtig, eine einzige Quelle der Wahrheit zu finden, oder alternativ dazu, einen Weg zu finden, diese Datenbanken automatisch zu synchronisieren. Unsere gute Risikobewertung und Risikominderung beginnt mit der Transparenz der Anlagen. Ich muss wissen, was sich in meinem Netzwerk befindet, ich muss jedes einzelne Gerät verstehen, ich muss es identifizieren, aber ich muss auch alles wissen, was sicherheitsrelevant für das Gerät ist, die Softwareversion, die Sicherheit und die Netzwerkkonfiguration. Sie können es sich aussuchen. Ich muss also sicherstellen, dass ich die Sicherheitsgrundlagen jedes einzelnen Geräts in meinem Netzwerk kenne. Und dann bin ich in der Lage, diese Grundlage auch in Zukunft aufrechtzuerhalten, da die Hersteller Updates und Patches herausgeben oder bestimmte Geräte auslaufen und externe kompensierende Kontrollen erfordern, um sie sicher zu halten. Es ist also alles eine Frage der Sichtbarkeit. Steve?
Steve Grimes 36:02
Gute Frage. Und das ist ein echtes Problem. Die traditionellen Datenbanken, die verwendet wurden, waren auf der klinisch-technischen Seite unter den so genannten computergestützten Wartungsmanagementsystemen angesiedelt, in denen die Bestands- und Wartungsinformationen für medizinische Geräte gespeichert waren. Auf der IT-Seite ist es die kritische, nicht kritische, aber die ganze Akronym, entgeht eingebettet, aber es ist ähnlich, aber es enthält mehr IT-bezogene Informationen gibt. CMDB. Sehen Sie, danke, Computerized Management, die richtige Datenbank, die oder die Entitäten. Also die CMDB. Im CMS gibt es einige Bemühungen, es gibt Möglichkeiten, die Informationen miteinander zu verknüpfen. Und einige Organisationen tun das, Organisationen wie Assembly und einige andere haben das entwickelt. Und ihre Angebote sind oft integrierbar. Und das ist etwas, worauf ich achten würde, nämlich die Fähigkeit zur effektiven Integration in die CMDB. Also das CMMS. Aber wie Axel schon sagte, ist es wichtig, dass man einen Satz echter Daten hat. Wenn man die Datenbanken voneinander trennt, wenn man versucht, dieselbe Art von Informationen in mehreren Datenbanken zu pflegen, geht das nie gut aus, denn dann wird eine unweigerlich ungenau und kann nicht effektiv gepflegt werden. Es ist also äußerst wichtig. Eines der Dinge, die wir in unserer, Sie wissen schon, seit einigen Jahren betonen, ist, dass es wichtig ist, dass Organisationen sicherstellen, dass sie Zugang zu Informationen haben, wie im Fall von Clinical Engineering, dass sie wissen, was in den CMDBs steht. Sie wissen, dass die Softwareversion, die Stückliste, die anderen Elemente, Konfigurationselemente oder die Datenbewertung, die anderen Konfigurationselemente, Konfigurationselemente enthalten sind. Es ist also sehr wichtig, sicherzustellen, dass diese Elemente integriert sind, und es gibt Möglichkeiten, sie miteinander zu verknüpfen. Und auch hier gibt es einige Systeme, wie z. B. Baugruppen, die so konzipiert sind, dass sie mit einigen der bestehenden Produkte, die es gibt, verbunden werden können.
David Finn 38:35
Shankar, du hast das letzte Wort in dieser Sache.
Shankar Somasundaram 38:38
Ja, ich glaube, sogar Axl hat darüber gesprochen? Nun, ich meine, ich würde sagen, dass viele von uns fast jeden Tag mit diesem Problem konfrontiert werden, egal ob es sich um neue Kunden oder bestehende Kunden handelt. Und es ist ganz einfach. Wir arbeiten als Orchestrierungs-Engine, das ist der einzige Weg, das Problem zu lösen, egal ob es sich um einen Knack oder eine Simulation oder einen Schwachstellen-Scanner oder ein CMMS, eine CMDB oder was auch immer handelt, jeder hat unterschiedliche Daten in seinen Systemen, man muss sie alle zusammenführen und eine einzige Quelle der Wahrheit schaffen. Und manchmal haben einige Systeme eine bessere Version für bestimmte Geräte, Sie haben vielleicht eine bessere Version, Ihr NOC hat vielleicht eine bessere Version als andere. Je nach Gerät, Typ und Kategorie müssen Sie entscheiden, welches Datenelement von welchem Tool oder welcher Lösung und welcher durchschnittlichen Datenbank besser geeignet ist, und dann alles in einer einzigen Ansicht zusammenführen, was wir tagtäglich tun. Das ist also der einzige Weg, um das Problem zu lösen, indem man diese Orchestrierung schafft, die wirklich eine einzige Ansicht hervorbringt.
David Finn 39:30
Ich danke Ihnen. Ich möchte mich bei Ihnen, Axel, Steve und Shankar bedanken, und ich möchte allen danken, die heute dieser Sendung zugehört haben. Dankeschön
[Ende]
