Greg Scott und Jeremy Linden diskutieren über die Herausforderungen bei der Beschaffung von IoMT und darüber, wie Organisationen im Gesundheitswesen Überlegungen zur Cybersicherheit in den Beschaffungsprozess einbeziehen können.
Jeremy Linden:
Guten Morgen zusammen. Mein Name ist Jeremy Linden. Ich bin Senior Director of Product Management hier bei Asimily und ich freue mich sehr, Sie zu unserer Podcast-Serie begrüßen zu dürfen. Heute sprechen wir über die Herausforderungen bei der Beschaffung im Gesundheitswesen und darüber, wie Organisationen des Gesundheitswesens Cybersicherheitsaspekte in den Beschaffungsprozess einbeziehen.
Ich freue mich sehr, dass Greg Scott, Vizepräsident für Informationstechnologie bei RENOVO Solutions, heute bei mir ist. Greg hat über 15 Jahre Erfahrung im Management von Gesundheitstechnologie. Er begann als Techniker für biomedizinische Geräte und spezialisierte sich auf elektrophysiologische Unterstützung, Systeme für die Radioonkologie, Videointegration und Schnittstellen für biomedizinische Geräte. Greg hat einen Associate-Abschluss in biomedizinischen Informationssystemen und -technologien und einen Bachelor-Abschluss in Computer-Informationstechnologie. Dank seiner IT-Kenntnisse war Greg maßgeblich an frühen EMR-Integrationsprojekten für medizinische Geräte, Ereignismanagementsystemen und Patch-Support beteiligt. Bevor er zu RENOVO Solutions kam, half Greg beim Aufbau der virtuellen Infrastruktur und des Betriebsteams, das für das Hosting und die Unterstützung vieler wichtiger klinischer Systeme in einer großen Gesundheitsorganisation verantwortlich war. In seiner Zeit bei RENOVO hat er mit Technikern und Führungskräften zusammengearbeitet, um das Management medizinischer Geräte neu zu definieren und das Risiko für Patienten durch Cyber-Sicherheitsbedrohungen landesweit zu verringern. Herzlich willkommen, Greg. Wir freuen uns sehr, dass Sie hier sind.
Greg Scott:
Ich danke Ihnen. Danke, dass ich dabei sein durfte.
Jeremy Linden:
Lassen Sie uns also zunächst ein wenig den Rahmen abstecken. Warum sollten Gesundheitsdienstleister im Beschaffungsprozess die Cybersicherheit berücksichtigen?
Greg Scott:
Das ist eine gute Frage, und ich denke, es ist wirklich wichtig, dass Unternehmen das Risiko verstehen, das sie eingehen, bevor sie sich darauf einlassen. Sie müssen wissen, was sie beim Kauf einer neuen Technologie zu erwarten haben, damit sie das Risiko beherrschen oder sich auf unbekannte Kosten vorbereiten können, um diese Risiken zu mindern, sobald sie eintreten. Ich denke, dass Unternehmen oft darauf vertrauen wollen, dass die Anbieter die neueste Technologie einsetzen und diese Dinge tatsächlich Probleme für sie lösen werden. Und ich habe schon erlebt, dass Techniker, die noch nicht lange im Gesundheitswesen tätig sind, von der Technologie dieser Anbieter einfach umgehauen wurden, oder von Dingen, die brandneu sind, aber ein Betriebssystem verwenden, das schon lange veraltet ist. Ich denke, wir müssen davon wegkommen. Es sollte keine Überraschungen geben, wenn wir medizinische Geräte kaufen. Es gibt einen großen Drang nach dem Neuesten und Besten, was die Sicherheit angeht ... "wir versuchen, von XP wegzukommen oder auf Windows 10 umzusteigen" ... und manchmal ist das wirklich nicht der beste Weg nach vorne. Man glaubt, das Risiko zu verringern, indem man sich das Neueste anschafft, und weiß nicht, dass man damit möglicherweise neue Risiken eingeht, auf die man nicht vorbereitet war oder die man noch nicht dokumentiert hat. Ich denke, es ist wichtig, dass wir uns den Beschaffungsprozess ansehen, ihn vorwegnehmen und uns ansehen, was in die Organisation kommt, bevor es dort ankommt.
Jeremy Linden:
Dem stimme ich voll und ganz zu, und das bringt mich zu meiner nächsten Frage. Viele Organisationen des Gesundheitswesens versuchen wirklich, diesem Problem zuvorzukommen, aber sie setzen diese Art von Prozessen auf sehr manuelle Weise um. Die Überprüfung von Herstellerangaben wie MDS2 und SBOM durch Menschen endet oft in einer bloßen Ankreuzübung, die alle Beteiligten frustriert. Wie sollten Organisationen Ihrer Meinung nach auf diese Art von, wie ich es nennen würde Antimustern achten, während sie ihre Prozesse entwickeln und sicherstellen, dass die Unternehmen tatsächlich verwertbare Erkenntnisse aus dem gewinnen, was sie entwickeln?
Greg Scott:
Das habe ich auch schon erlebt. Die Organisationen erstellen ein Aufnahmeformular oder ein Beurteilungsformular oder ein Technologieformular, und so entstand auch das MDS2-Formular. Das war eigentlich die Absicht. Wir sollten diesen Prozess standardisieren, damit wir die Informationen bekommen, und darauf bauen wir jetzt auf, und es gab Überarbeitungen. Ich denke, dass es letztendlich eine Reaktion auf das "Wir wussten nicht, dass wir das bekommen würden" oder "Hätten wir nur vor dem Kauf gewusst, dass das Ding unter Windows XP läuft" ist. Das stimmt, aber ich denke, dass die Organisation wirklich entscheiden muss, was sie tun will und was sie mit den Daten tun will. Haben sie einen Plan? Oder kreuzen sie nur das Kästchen an, weil sie all diese Formulare bekommen ... Nun muss jemand die Daten tatsächlich analysieren. Was bedeuten sie? Was bedeuten diese Informationen für die Organisation? Akzeptieren wir die Tatsache, dass sie auf dieser bestimmten Software läuft oder diesen bestimmten Port offen hat, und wer ist wirklich in der Lage, diese Entscheidungen zu treffen? Normalerweise müssen wir mit den Zielen beginnen. Werden wir weitere Nachforschungen anstellen? Werden wir die Anbieter zurückdrängen? Versteht die Führung ihre Rolle in diesem Bereich wirklich? Oft wird die Cybersicherheit hier zum Bösewicht, weil wir diese Formulare und Daten bekommen. Wir können sie auf keinen Fall kaufen. Aber es besteht ein enormer klinischer Druck, die neue Ausrüstung für ein Verfahren oder ein Supportproblem oder was auch immer zu beschaffen. Und wenn es sich wirklich um ein Risiko für die Organisation handelt, dann muss die Führung in der Lage sein, den Standpunkt einzunehmen: "Nein, der klinische Nutzen ist in diesem Fall zweitrangig, weil dies einen größeren Teil unserer Organisation betreffen könnte". Man braucht ein ganzes Dorf, um die Ziele zu definieren, um festzulegen, was man zu akzeptieren bereit ist, um die Akzeptanzkriterien zu definieren und um dann zu entscheiden, was man damit anfangen will. Ich denke also, dass all das im Voraus geplant werden muss, bevor wir einfach Daten sammeln und den Leuten mehr Arbeit aufbürden, nur um dann festzustellen, dass sich nichts geändert hat. Wir haben es trotzdem gekauft oder wir haben nichts damit gemacht. Nehmen Sie sich also auf jeden Fall jetzt die Zeit und planen Sie, wie Sie Ihren Beschaffungsprozess für Medizinprodukte handhaben wollen.
Jeremy Linden:
Das bringt mich zu Asimily ProSecure, unserem Produkt für Lieferkettenteams, mit dem sie das Cybersicherheitsrisiko, das ein neues Gerät darstellen könnte, verstehen können. Mit ProSecure können Sie jede beliebige Gerätemodellinversion nachschlagen und Sie sehen alle Informationen, die wir darüber haben, wie es sich im Netzwerk verhält, welches Risiko es darstellt und welches die Konfigurationen mit dem niedrigsten und höchsten Risiko sind, die wir tatsächlich gesehen haben. Wir beziehen diese Daten aus realen Einsätzen von Asimily in der Praxis und stellen so sicher, dass Sie immer aktuelle Qualitätsinformationen erhalten, die Sie für Ihre Entscheidungen nutzen können. Greg, als unser Partner arbeiten Sie mit Organisationen des Gesundheitswesens zusammen, um unsere Produkte zu operationalisieren. Wie würden Sie den Organisationen generell empfehlen, die von Prosecure bereitgestellten Daten während des Beschaffungsprozesses zu nutzen?
Greg Scott:
Ich denke, dass es darauf ankommt, ein Team zu haben, das in der Lage ist, die Daten zu prüfen und die Informationen für die Entscheidungsfindung bereitzustellen, die die Führungskräfte benötigen. Wenn es um den technischen Weg geht, ist die eigentliche Roadmap in den Bericht integriert. Durch das Crowdsourcing dieser Daten können Sie sehen, "das war das Worst-Case-Szenario", "so hätten wir eingekauft, wenn wir nichts ändern" ... bis hin zum Best-Case-Szenario, "so machen es andere Krankenhäuser". Diese Informationen schaffen also einen technischen Pfad und versetzen das Personal in die Lage zu sagen: "Dieses Gerät ist vielleicht nicht das sicherste, aber wir sind zuversichtlich, dass wir es mit diesen Mitteln sichern können, weil wir gesehen haben, wie andere es gemacht haben". Wenn das nicht der Fall ist, tappt man im Dunkeln und muss sich viele Fragen an den Anbieter stellen: "OK, können wir das... können wir das...? Asimily hat uns diese Arbeit abgenommen, und ich freue mich sehr, dass wir unseren Kunden diese Möglichkeit bieten können, denn jetzt können sie mit Fragen zu uns kommen wie: "Hey, was haltet ihr von diesem Gerät... dieser neuen Sache, die wir in Betracht ziehen". Wir können die Berichte erstellen und ihnen zeigen, wie es in ihrer Organisation aussehen wird, und sie auf einige Dinge hinweisen, die sie tun müssen, um sicherzustellen, dass es sicher implementiert wird. Wir haben damit bereits großartige Ergebnisse erzielt. Vor kurzem haben wir mit dem Anbieter zusammengearbeitet, der ein Upgrade des Systems durchgeführt hat. Wir haben uns das System im Vorfeld angesehen und konnten sagen: "Wir wissen, dass diese Ports offen liegen werden. Aufgrund der Art und Weise, wie wir das System nutzen werden, müssen diese Ports nicht aktiviert werden. Können Sie, Anbieter, diese Ports sperren? Können Sie diese bei der Installation abschalten?", was den Arbeitsaufwand für die Mitarbeiter reduzierte. Unsere HTM-Mitarbeiter brauchten nichts zu tun. Die IT-Mitarbeiter brauchten nichts zusätzlich zu tun. Wir haben die Standardkonfiguration übernommen, und der Anbieter war in der Lage, sie für das Unternehmen sicherer zu machen, weil er wusste, dass wir diese Dinge abschalten können. All diese Dinge summieren sich, und ich denke, dass dies einen enormen Einfluss auf die Effizienz der Abteilung und unsere Fähigkeit hat, die Geräte zu sichern. Wenn wir diese Informationen in die richtigen Hände und an die richtigen Mitarbeiter weitergeben, können diese die richtigen Entscheidungen treffen und die Führung kann die Dinge dorthin lenken, wo sie gebraucht werden.
Jeremy Linden:
Das macht Sinn. Das ist ein Thema, das Sie vorhin in Bezug auf klinische Technik und IT- oder Cybersicherheitsbelange angesprochen haben. Wie sollten Gesundheitsdienstleister Ihrer Meinung nach diese beiden Aspekte sowie andere Faktoren während des Beschaffungsprozesses gegeneinander abwägen? Man kann natürlich nicht erwarten, dass IT- oder Cybersicherheitsrisiken immer Vorrang haben, aber man sollte sie auch nicht ignorieren.
Greg Scott: >
Dies ist ein Schlüsselprozess, der sowohl auf die Definition des Risikos für die Organisation zurückgeht... was sie akzeptieren... als auch auf das Verständnis des klinischen Workflows. HTM ist in einer einzigartigen Position, in der es ihnen leicht fällt, mit dem klinischen Personal zusammenzuarbeiten und zu verstehen, was die Auswirkungen auf die Patienten sind. Wir wollen nicht in eine Situation geraten, in der wir die Patientensicherheit aufgrund von Ausfallzeiten für Patches oder Interoperabilität wegen einer Art von Sicherheitskontrolle gefährden. Das ist ein Kompromiss. Die Sicherheit ist im Allgemeinen gefährdet. Wir werden nie in der Lage sein, die Geräte vollständig zu sichern und gleichzeitig einfach zu bedienen. Ich denke, die eigentliche Empfehlung ist, dass Ihre Teams zusammenarbeiten müssen. Sie können das nicht in einem Silo machen. Es muss eine gute Arbeitsbeziehung zwischen der IT-Sicherheit, dem klinischen Personal und dem HTM-Personal bestehen, denn sie alle haben die gleichen Ziele. Sie alle wollen gute Ergebnisse für die Patienten erzielen. Es gibt nur unterschiedliche Prioritäten und Schwerpunkte, je nachdem, von wo aus sie kommen. Ich denke, das kann erreicht werden. Die Daten von Proscure helfen uns dabei, indem sie uns Technikern einen technischen Überblick verschaffen. Indem wir sie in den Arbeitsablauf des klinischen Personals übertragen, können wir hoffentlich diese Kompromisse eingehen und das richtige Gleichgewicht zwischen Sicherheit und Schutz herstellen.
Jeremy Linden:
Um auf ProSecure zurückzukommen: Viele Kunden nutzen diese Intelligenz während des Beschaffungsprozesses, über den wir zuvor gesprochen haben, aber wir sehen auch, dass andere Kunden sie nutzen, um Entscheidungen darüber zu treffen, ob und wie eigenständige Geräte angeschlossen werden sollen, die derzeit nicht online sind, aber die Möglichkeit haben, es zu werden. Das Krankenhaus fragt sich, ob es diese Geräte offline lassen soll oder ob es die vernetzten Geräte einschalten soll, um einige der Vorteile zu nutzen, die Krankenhäuser davon haben, dass alles auf einer Plattform verbunden und sichtbar ist. Wie sollten Gesundheitsdienstleister Ihrer Meinung nach bei diesen Entscheidungen vorgehen?
Greg Scott:
Ich glaube nicht, dass es darauf eine einzige Antwort gibt. Ich denke, es kommt wirklich darauf an, was die Gesundheitsorganisation mit dem Gerät erreichen will. Wir haben das bei der frühen Einführung der Interoperabilität mit dem großen Vorstoß bei den EMRs und der Beteiligung an diesem Bereich sehr oft gesehen. Ich konnte auch die negative Seite sehen. Wir hatten Geräte, die nicht immer gut mit der Interoperabilität oder unterschiedlicher Middleware harmonierten, weil sie nie wirklich mit Blick auf diese Art von Robustheit entwickelt worden waren. Bevor die Sicherheit überhaupt ein Thema wurde, gab es bereits potenzielle Ereignisse, die nur auf die innere Interoperabilität zurückzuführen waren. Wenn man Sicherheit einführt, gibt es eine Menge Dinge, die direkt im Netzwerk platziert werden könnten, aber jetzt besteht ein großes Risiko für die Organisation. Ich denke, man muss sich das ansehen und sagen. "Ist es dieses Risiko wert?". Wenn dieses eine Gerät kompromittiert werden könnte und dann die Organisation auslöscht, haben Sie einen großen Schaden angerichtet. Sie haben vielleicht ein paar Minuten auf dieser Schnittstelle gewonnen, aber vielleicht haben Sie die Organisation einen Monat lang wegen Ransomware lahmgelegt. Das ist ein realistischer Fall, der passieren kann. Sie brauchen die richtigen Informationen, um festzustellen, wie riskant diese Verbindung ist. Sie brauchen die Informationen, um sagen zu können, welchen Nutzen wir aus dieser Verbindung ziehen. Natürlich gibt es Geräte, die aus Sicht der Patientendaten oder des Datenschutzes nicht sicher sind, aber die Vorteile der Interoperabilität und des Personaleinsatzes sind enorm, sei es in Bezug auf zeitnahe Daten oder genauere Diagnosen, weil die Informationen schneller in das System gelangen. Diese Dinge sind es wert, den Kompromiss eines unsicheren Geräts einzugehen, auf dem Patientendaten möglicherweise zugänglich sind, denn man spart mehr, als man verliert. Es gibt kein Patentrezept für alle. Ich denke, jedes System muss einzeln analysiert werden, und es ist wichtig, die richtigen Informationen zu haben, denn Sie wissen, dass diese Entscheidungen schwer zu treffen sind. Ohne die richtigen Informationen und ohne die richtigen Leute im Raum kann es passieren, dass man am Ende die falsche Entscheidung trifft.
Jeremy Linden:
Ganz genau. Wir wissen definitiv, dass es kein Patentrezept und keine Einheitslösung gibt, weil jedes Unternehmen einzigartig ist und seine Bedürfnisse einzigartig sind. Ein Aspekt von ProSecure, den unsere Kunden sehr zu schätzen wissen, ist die Verwendung von Konfigurationsdaten, die ich vorhin erwähnt habe, um Härtungsleitfäden für diese Geräte im Netzwerk zu erstellen. Im Grunde genommen sagen wir ihnen: "OK, so können Sie das Gerät konfigurieren, um es so sicher wie möglich zu machen". Was empfehlen Sie Organisationen im Gesundheitswesen, um ihre Sicherheitslage zu verbessern?
Greg Scott:
Ich denke, dies ist eine großartige Aufgabenliste für jeden, der an der Sicherung dieser Geräte arbeitet, denn ohne diese Informationen wäre ich selbst auf diesem Weg gewesen. Sie haben ein Gerät. Zuerst findet man heraus, was damit nicht stimmt. Dann findet man heraus: "OK, was kann ich tun, um diese Dinge zu beheben? Und das bedeutet in der Regel, dass man entweder viel im Internet recherchiert [und] bei den Anbietern recherchiert [und] versucht, die richtige Person in der Technik zu erreichen, und die weiß vielleicht nicht immer die Antwort oder ist nicht in der Lage, das Richtige zu empfehlen. Wir erleben häufig, dass Anbieter sagen: "Aus der Sicht der Patientensicherheit funktioniert dieses Gerät einwandfrei. Es ist nicht gefährdet. Wir haben keine Empfehlung, wir werden unsere Konfiguration oder unsere Haltung aus Gründen der Patientensicherheit nicht ändern." Die potenzielle Bedrohung für das Unternehmen aus der Netzwerkperspektive oder durch Ransomware oder einen möglichen Angriffspunkt für Angreifer wird dabei nicht berücksichtigt. Indem wir uns also die Informationen aus der Menge ansehen, einige dieser Härtungsleitfäden, ersparen wir uns viel Zeit, Mühe und Arbeit und erledigen die ganze harte Arbeit für uns. Wir können sehen, "OK, boom, hier ist, was wir tun müssen, um dieses Gerät zu härten. Ich brauche nicht zu telefonieren. Ich muss keine Leads verfolgen und Nachforschungen anstellen. Ich kann einen Blick auf die Informationen werfen, zum Gerät gehen und die Konfigurationsempfehlungen umsetzen. Das war's. Jetzt habe ich den Hebel umgelegt. Ich habe das Risiko des Geräts verringert." Das ist der eigentliche Grund, warum wir überhaupt hier sind. Um auf den Anfang zurückzukommen: Wir haben über all diese Daten gesprochen. Wir leben in einem Zeitalter der Datenerfassung, aber was wir wirklich brauchen, sind Erkenntnisse. Durch die Betrachtung dieser Härtungsleitfäden erhalten wir die Erkenntnisse, die wir brauchen, um die Nadel zu bewegen und diese Geräte letztendlich zu sichern.
Jeremy Linden:
Ich denke, das ist ein guter Schlusspunkt. Greg, danke, dass Sie bei uns waren. Ich hoffe, alle anderen fanden das Gespräch genauso informativ wie ich. Wenn Sie mehr über ein Simile erfahren möchten, besuchen Sie unsere Website oder schreiben Sie uns eine E-Mail an info@asimily.com. Vielen Dank und bis zum nächsten Mal.
[Ende]
