Warum BMR und Gesundheitswesen in den USA zusammengehören
In den USA ist das Gesundheitswesen mit einem Anteil von 13 % an der gesamten US-Belegschaft¹ einer der größten Wirtschaftszweige des privaten Sektors. Verständlicherweise haben Fachkräfte im Gesundheitswesen große Bedenken in Bezug auf die Cybersicherheit, und mit dem sich ständig weiterentwickelnden IoT kann die Bare Machine Recovery (BMR) eine wichtige Rolle bei der Risikominderung spielen.
Branchenexperten gehen davon aus, dass in allen globalen Dienstleistungsbereichen Organisationen von KMUs bis hin zu großen Aktiengesellschaften ins Visier genommen werden, wobei das Risiko im Gesundheitswesen aufgrund der wertvollen Daten und des zeitkritischen Materials weitaus größer ist. Cyberkriminelle haben es auf diese Unternehmen abgesehen, um ihre Daten gewinnbringend auf dem Schwarzmarkt zu verkaufen oder durch Lösegeldzahlungen direkt an das betroffene Unternehmen Einnahmen zu erzielen.
Aufsichtsbehörden wie HHS haben Richtlinien und Verfahren eingeführt, um das Bewusstsein für diese Art von Vorfällen in der Branche zu schärfen und sie grundsätzlich zu verhindern. Ihr Ziel ist es, Unternehmen dazu zu bringen, über die Risiken nachzudenken und sicherzustellen, dass ein Notfallplan für den Fall eines noch nie dagewesenen Angriffs vorhanden ist.
Der Health Insurance Portability and Accountability Act of 1996 (HIPAA), Public Law 104-191, wurde vom HHS eingeführt und hat den nationalen Industriestandard für gute Praktiken in Bezug auf die elektronische Gesundheitsversorgung und die Sicherheit gesetzt.
"Gleichzeitig erkannte der Kongress, dass die Fortschritte in der elektronischen Technologie die Privatsphäre von Gesundheitsinformationen untergraben könnten. Folglich hat der Kongress in den HIPAA Bestimmungen aufgenommen, die die Annahme von bundesstaatlichen Datenschutzbestimmungen für individuell identifizierbare Gesundheitsinformationen vorschreiben.²
Hier werden wir uns direkt mit der HIPPA-Sicherheitsvorschrift vom Februar 2003 befassen, die sich auf den Schutz elektronischer geschützter Gesundheitsinformationen (e-PHI) bezieht.
Einhaltung von Vorschriften im Gesundheitswesen
"Die Sicherheitsvorschrift verlangt von den betroffenen Einrichtungen, dass sie angemessene und geeignete administrative, technische und physische Schutzmaßnahmen zum Schutz von e-PHI treffen.
Konkret müssen die betroffenen Einrichtungen:
- Sicherstellung der Vertraulichkeit, Integrität und Verfügbarkeit aller e-PHI, die sie erstellen, empfangen, aufbewahren oder übertragen;
- Identifizierung und Schutz gegen vernünftigerweise zu erwartende Bedrohungen der Sicherheit oder Integrität der Informationen;
- Schutz vor vernünftigerweise zu erwartenden, unzulässigen Verwendungen oder Offenlegungen; und
- Sicherstellung der Einhaltung der Vorschriften durch ihre Mitarbeiter...
... eine betroffene Einrichtung entscheidet, welche Sicherheitsmaßnahmen zu verwenden sind, schreibt die Regel diese Maßnahmen nicht vor, sondern verlangt von der betroffenen Einrichtung, sie zu berücksichtigen:
- Seine Größe, Komplexität und Fähigkeiten,
- Seine technische, Hardware- und Software-Infrastruktur,
- die Kosten der Sicherheitsmaßnahmen und
- Die Wahrscheinlichkeit und die möglichen Auswirkungen potenzieller Risiken für e-PHI.
- Die betroffenen Einrichtungen müssen ihre Sicherheitsmaßnahmen überprüfen und anpassen, um den Schutz von e-PHI in einem sich verändernden Umfeld fortzusetzen.
Angesichts der zunehmenden Bedrohung durch Cyberkriminalität war letzteres noch nie so wichtig wie heute. Dieser Standard ist wichtig, um den Datenschutz und das Wohlergehen der Patienten zu gewährleisten. Da die Daten für die Patientenversorgung und die Beurteilung von Diagnosen von entscheidender Bedeutung sind, müssen die IT-Systeme rund um die Uhr und an 365 Tagen im Jahr voll funktionsfähig sein. Da die Einführung elektronischer Gesundheitsakten zur Norm wird, ist die Patientenbeurteilung systemkritisch, und ohne ein funktionierendes System wird die Patientenversorgung ernsthaft beeinträchtigt.
Die Gemeinsame Kommission
Die Joint-Commission-Zertifizierung ist eine weitere Akkreditierung, die Gesundheitseinrichtungen annehmen, um zu zeigen, dass sie eine sichere und effektive Pflege auf höchstem Niveau bieten. Die Regeln und Standards, die erfüllt werden müssen, stehen im Einklang mit der HIPAA-Sicherheitsrichtlinie und sind eine weitere Bestätigung für die gute Praxis der Organisation.
Was sind die Risiken?
Es ist wichtig, dass diese Standards eingehalten werden, nicht nur, weil Verstöße gegen den HIPAA zu erheblichen Geldstrafen führen können, die zwischen 100 und 1,5 Millionen Dollar liegen können.4 Gesundheitsdienstleister können aber auch Sanktionen oder den Verlust ihrer Zulassung riskieren. Darüber hinaus würden Sie aus moralischer Sicht eine unzureichende Patientenversorgung leisten.
Eine weitere Möglichkeit, Risiken zu erfassen, ist die Betrachtung der physischen Auswirkungen. Können Sie sich eine Ausfallzeit leisten? Welche Folgen hat der Verlust von Sicherheit und IT-Systemen aus betrieblicher Sicht? Dies sind die eigentlichen Fragen, die Sie sich stellen müssen, sehr zum Entsetzen eines Krankenhauses in Los Angeles, das aufgrund eines Ransomware-Angriffs mehr als eine Woche lang offline war.
Es stellte sich heraus, dass das Lösegeld das geringste Übel war, denn das Krankenhaus zahlte die Summe, um sein Netzwerk und den normalen Betrieb nach einer Woche erfolgloser Wiederherstellung wiederherzustellen. Das Krankenhaus hatte während des Sicherheitsverstoßes Einnahmeverluste zu verzeichnen und musste Patienten in andere Krankenhäuser verlegen, da es Schwierigkeiten hatte, auf Patientendaten zuzugreifen und wichtige Geräte zu bedienen.5
Obwohl dieser Angriff wie alle Cyberangriffe plötzlich erfolgte, hätte das Krankenhaus, wenn es über ein Backup oder einen Notfallplan verfügt hätte, das Lösegeld nicht zahlen müssen und der Betrieb hätte mit minimaler Ausfallzeit und ohne größere Störungen wiederhergestellt werden können, je nach den festgelegten RPOs (Recovery Point Objectives) und RTOs (Recovery Time Objects). Aus diesem Grund müssen Sie, um HIPAA-konform zu sein, über einen Notfallplan verfügen, der in der HIPAA-Norm für Notfallpläne im Abschnitt "Administrative Sicherheitsvorkehrungen" der HIPAA-Sicherheitsvorschrift definiert ist.
HIPAA-DR-Plan
"Ein HIPAA-Notfallwiederherstellungsplan ist ein Dokument, das die Ressourcen, Maßnahmen, das Personal und die Daten festlegt, die zum Schutz und zur Wiederherstellung von Gesundheitsinformationen im Falle eines Brandes, Vandalismus, einer Naturkatastrophe oder eines Systemausfalls erforderlich sind.6
HIPAA-konforme Organisationen müssen die Schritte festlegen, die sie in solchen Szenarien unternehmen werden, und in der Lage sein, die erforderlichen Maßnahmen zu ergreifen. Dazu gehören Einzelheiten über die Nutzung der Hardware- und Software-Infrastruktur, das für den Betrieb zuständige Personal, die Art und Weise, wie sensible Daten übertragen werden können, ohne gegen die HIPAA-Datenschutz- und Sicherheitsvorschriften zu verstoßen, und wie diese Daten im Falle eines Ausfalls wiederhergestellt werden können.
Es gibt keine strikten Methoden für die Art und Weise, wie dies zu geschehen hat, aber die Richtlinien müssen eingehalten werden, und da Experten und nützliche Leitfäden leicht verfügbar sind, sollte ein Plan für die Geschäftskontinuität oberste Priorität haben. An dieser Stelle kommen Cristie und BMR ins Spiel.
Back-up- und DRaaS-Lösungen
Ein Backup- und Notfallplan war noch nie so wichtig wie heute. Wir wissen bereits, wie wichtig diese Pläne sowohl für die Prävention als auch für die Wiederherstellung sind. Und auch die unmittelbare Notwendigkeit, sich im Gesundheitswesen zu beschweren. Wie einfach ist es also, sie zu implementieren?
Einfache Wiederherstellungsprozesse erfordern nur minimale technische Kenntnisse. Wir wissen, wie wichtig es ist, RPOs und RTOs zu verwalten, um Pflegeminderungen oder gar den Verlust von Menschenleben zu vermeiden, und deshalb können Sie mit unseren Lösungen einfach einrichten und vergessen, die Risiken zu minimieren.
Wiederherstellung der nackten Maschine
Als Experten für BMR bieten unsere Lösungen eine zuverlässige, bewährte und schnelle Reaktion, um sicherzustellen, dass alle Ihre Systeme nach einer Katastrophe vollständig wiederhergestellt werden. Wiederherstellungen können vollständig automatisiert werden und dauern in der Regel weniger als 10 Minuten. Cristie Recover liefert vollständig integrierte und sofortige Wiederherstellungen für physische, Hypervisor- und Cloud-Umgebungen.
Wiederherstellung von Systemen, Anwendungen und Daten direkt aus Backups führender Softwareanbieter, ohne dass zusätzliche Backups erstellt oder verwaltet werden müssen.
Wiederherstellung von Sicherungen, die von:
Beweisen Sie mit dem Recovery Simulator , dass Ihr System im Falle eines Ausfalls wiederhergestellt werden kann, indem Sie wichtige Wiederherstellungstests automatisieren. Planen Sie Wiederherstellungssimulationen und führen Sie sie auf einem anderen Rechner durch, und erstellen Sie einen Bericht, um die Zuverlässigkeit der Wiederherstellung zu überprüfen; dies ist für die Einhaltung des HIPAA unerlässlich.
"Durch den Einsatz von Cristie spart unsere Einrichtung eine Menge Geld für eine DR-Lösung. Früher konnten wir die Bare Metal Recovery nicht wiederherstellen; es war ein sehr langwieriger und mühsamer Prozess, der meistens erfolglos war. Manchmal klappte es, aber es war zeitaufwändig, da man das System immer manipulieren musste, um erfolgreich zu booten.
"Jetzt bin ich in der Lage, den Server je nach Größe innerhalb von 1 bis 2 Stunden wiederherzustellen. Normalerweise dauert eine 60-GIG-Wiederherstellung eines Betriebssystems etwa 1 Stunde. In etwa 99,8 % der Fälle kann ich einen Server ohne Probleme wiederherstellen. Ich kann von einem physischen zu einem virtuellen Server oder umgekehrt konvertieren, ohne ein Betriebssystem oder eine Anwendung zu installieren, was ein großer Vorteil ist. Ich kann auch auf jeder beliebigen Hardware wiederherstellen, was ein weiterer Pluspunkt ist.
"Außerdem hat Cristie eines der besten Support-Teams, die ich in meiner gesamten IT-Karriere von über 30 Jahren erlebt habe. Ich habe immer eine sehr gute Erfahrung mit großartigem Support und sehr sachkundigen Mitarbeitern, mit außergewöhnlichen Reaktionszeiten. Ich muss nicht tagelang darauf warten, so dass ich keine Unannehmlichkeiten oder weitere Unterbrechungen für unser Geschäft oder unsere Kunden erlebe."
Parul Patel, Administrator für Datensicherung und -wiederherstellung
Einstein Healthcare Network
Heißer Standby
Replizieren und synchronisieren Sie kritische Systeme für Disaster Recovery und Business Continuity mit CloneManager. Mit dieser Lösung können Sie perfekte Kopien von Live-Workloads oder Systemen erstellen und dann Synchronisierungen nach Ihren Anforderungen planen, um sie für Disaster Recovery-Zwecke aktuell zu halten. Die Systeme werden vollständig repliziert - einschließlich des Betriebssystems, der Anwendungen, der Daten und sogar der Benutzerkonfiguration - und in die physische, virtuelle oder Cloud-Zielumgebung kopiert, was für die Einhaltung des HIPAA unerlässlich ist.
Simulieren Sie Wiederherstellungsprozesse, um die Einhaltung von HIPPA und The Joint Commission zu gewährleisten.
Nächste Schritte
Um mehr über unsere BMR-Lösungen zu erfahren, besuchen Sie unsere Wiederherstellungslösungen, für Server-Replikation siehe Hot Standby und für Server-Migration siehe Verschieben.
Oder wenden Sie sich an Jim Canavan, Vertriebsleiter (Nordamerika) und unser Experte für IT-Gesundheitswesen, E-Mail: james.canavan@cristie.com.
Jim wird an den folgenden Branchenveranstaltungen teilnehmen. Vereinbaren Sie also einen Termin mit ihm, um bei einem Kaffee Ihren BMR-Bedarf zu besprechen; er ist gerne bereit, Sie bei Ihrem DR-Plan zu unterstützen.
HiMSS 17, 19. bis 23. Februar, Orlando, FL
HIPAA-Gipfel, 29. bis 31. März, Washington, DC
Sie können auch unsere Einführung in das Gesundheitswesen, BMR, hier herunterladen zum schnellen Nachschlagen herunterladen.
Laden Sie dieses Whitepaper 'Warum BMR und Gesundheitswesen zusammenpassen' als pdf herunter.
Nützliche Ressourcen und weitere Informationen
Nützliche Informationen über HIPAA und den US-Gesundheitssektor finden Sie unter;
¹ https://www.bls.gov/emp/ep_table_201.htm
² https://www.hhs.gov/hipaa/for-professionals/index.html
³ https://www.hhs.gov/hipaa/for-professionals/security/laws-regulations/index.html
4 https://hipaapoliciesandprocedures.com/f-a-q/hipaa-fines-and-penalties
6 https://searchhealthit.techtarget.com/definition/HIPAA-disaster-recovery-plan
