Cybersecurity und Gesundheit: “Die Herausforderung ist nicht nur finanziell, sondern auch menschlich”

‍

📌 Schlüsselelemente der Diskussion :

– François Lancereau ist der Ansicht, dass die derzeitigen Budgets der Krankenhäuser für die Cybersicherheit “nicht ausreichen”, weist aber darauf hin, dass der französische Konjunkturplan für zahlreiche Gesundheitseinrichtungen lebensrettend war: Er hat es ihnen ermöglicht, Lösungen zu erwerben, die sie vorher nicht bekommen konnten;

‍
– Er betont, dass auch der Erwerb von Informatikkenntnissen von entscheidender Bedeutung ist;
“Das Thema IT-Sicherheit muss innerhalb der Organisation global angegangen werden” (Governance-Fragen), und nicht nur von dem CISO zum Beispiel, stellt er fest: “Es ist notwendig, dass sich alle Mitarbeiter des Unternehmens mit dem Thema befassen, um Verstöße zu vermeiden;
– Eine der Schwierigkeiten besteht darin, das gesamte Personal für bewährte Verfahren zu sensibilisieren: “Ohne ein echtes Änderungsmanagement könnte das Cybersicherheitsprojekt scheitern”;
– In der Vergangenheit konnten einige amerikanische oder japanische Hersteller bestimmte Kontrollen oder Vorschriften umgehen, aber das ist heute nicht mehr möglich. “Hier helfen die europäischen Vorschriften: Wir bewegen uns auf das Prinzip “sie haben keine Wahl mehr” zu. Nicht mehr die Einrichtungen passen sich den Herstellern an, sondern die Hersteller passen sich den Bedürfnissen der Einrichtungen an.” WALLIX hat bereits mit vielen von ihnen Gespräche aufgenommen, “um diesen Wandel einzuleiten”;
– François Lancereau betont auch, wie wichtig es ist, Sicherheitsaspekte “by design” zu integrieren: “Wir müssen alles überwachen, was in das Krankenhaus gelangt, und dafür sorgen, dass die Ausrüstung sicher ist”;
– Für François Lancereau ist die Zahlung von Lösegeld “ein Irrweg”: “Europa hat mehr als jedes andere Interesse daran, sich aufzudrängen, um seine Regeln zu diktieren (…) Ein massives “Nein” ist in der gesamten EU erforderlich”;
Schließlich betont er, wie wichtig es ist, bei den neuen Generationen gute Reflexe für die Computersicherheit zu entwickeln, und zwar bereits in der Grundschule.

‍

Könnten Sie in einigen Worten WALLIX und insbesondere Ihre Aktivitäten im Gesundheitssektor vorstellen?

François Lancereau: Unser Spezialgebiet ist die Sicherung von Zugang und digitalen Identitäten. Wir sind in mehr als 90 Ländern mit mehr als 2.000 Kunden weltweit vertreten. Wir haben eine starke Präsenz in Frankreich, konnten aber in den letzten 20 Jahren (das Unternehmen wurde 2003 gegründet) auch international expandieren. Dies ermöglicht es uns, mit den unterschiedlichen Regelungen auf dem Markt umzugehen: Für ein und dasselbe Produkt gibt es nicht unbedingt dieselben Anwendungen, je nachdem, woher unser Kunde kommt (z. B. USA oder Frankreich).

Unsere Lösung, WALLIX PAM4ALL (PAM: Privileged Access Management), zielt darauf ab, alle Zugriffe der Benutzer – Menschen oder Maschinen – einer Organisation nach dem Prinzip der geringsten Privilegien zu sichern. So lässt sich feststellen, wer was, wo, wann und wie tut.

Unsere bevorzugten Sektoren sind die Industrie, das Gesundheitswesen und Finanzdienstleistungen, mit einer starken Expertise im Bereich des industriellen IoT (vernetzte Geräte / Beispiele: Produktionsmaschinen in Fabriken, Scanner, Laborroboter, MRTs, usw.): kritische Technologien, die oft auf sehr alten Windows-Versionen laufen.

Einige der Krankenhäuser, mit denen wir in den letzten Jahren Verträge abgeschlossen haben, haben bei der Installation von WALLIX PAM4ALL das Verhalten ihrer Nutzer, insbesondere ihrer Dienstleister, bemerkt: Sie meldeten Verbindungszeiten und identifizierten Geräte, die zu regelmäßigen Ausfällen neigten. Seit das Bollwerk in Betrieb ist, haben sie festgestellt, dass diese Geräte keine Ausfälle mehr haben, dass alles in Ordnung ist. Mit unserer Lösung nehmen wir die Menschen in die Pflicht: Wir hindern sie nicht daran, zu arbeiten, sondern wir wollen sie sicher machen.

Bewusstsein für die Notwendigkeit, Expertenprofile einzustellen

Cyberangriffe nehmen im Gesundheitssektor zu. Der jüngste Fall war der vielbeachtete Angriff auf das Centre Hospitalier Sud Francilien (CHSF). Sind Ihrer Meinung nach die Haushaltsmittel der Krankenhäuser ausreichend, um ihren Cyberschutz zu gewährleisten?

Die derzeitigen Krankenhausbudgets sind nicht ausreichend. Es ist auch wichtig zu verstehen, dass, als es ursprünglich notwendig war, CIOs in Krankenhäusern zu ernennen, diese Rolle oft automatisch an Ärzte vergeben wurde, die mehr oder weniger IT-affin waren. Diese Organisation hat sich seither stark verändert: Entweder sind einige dieser Ärzte zu IT-Experten geworden, oder die Position wurde an Personen vergeben, deren Aufgabe es war. Dieser Prozess begann bereits vor der Covid-Pandemie, und aufgrund der verschiedenen Angriffe, die während und nach der Krise auf den Sektor erfolgten, ist es uns gelungen, in das kollektive Unbewusste zu integrieren, dass es notwendig ist, diese Rolle an Fachleute zu vergeben, die wissen, wovon sie sprechen.

Früher galten CISOs als Schwarzmaler, die vor der Notwendigkeit eines speziellen Budgets für Cybersicherheit warnten, vor der Einführung dieser oder jener Praxis, vor der Sensibilisierung der Mitarbeiter usw. In der Regel wurde ihnen gesagt, dass weder das Budget noch die Zeit für die Umsetzung ihrer Empfehlungen vorhanden sei. In der Regel wurde ihnen gesagt, dass weder das Budget noch die Zeit für die Umsetzung ihrer Empfehlungen vorhanden sei. Bis die Katastrophe eintrat und sie Recht bekamen. Hätte man ihnen von Anfang an zugehört, hätten bestimmte Situationen vermieden oder zumindest eingedämmt werden können.

Die finanziellen Mittel ermöglichen es uns, über materielle, aber auch über menschliche Mittel zu verfügen. Der Plan France Relance hilft den Einrichtungen beim “Kapital”-Aspekt, aber sie müssen verstehen, dass sie auch über die personellen Ressourcen verfügen müssen, um diese Probleme zu bewältigen.

Es geht also nicht nur um das Budget, sondern um den Aspekt der “Mittel” im weitesten Sinne: kompetente, geschulte Leute zu haben… Der Vorteil ist, dass wir heute ein echtes Ohr für Fragen der Cybersicherheit haben, eine Aufmerksamkeit, die wir früher nicht hatten. Jedem ist klar, dass ein Cyberangriff katastrophale Auswirkungen auf die Krankenhausdienste haben kann. Wenn Hacker beispielsweise das Belüftungssystem in Operationssälen ausschalten, müssen sie den Saal sofort schließen, denn ein nicht belüfteter Saal ist nicht mehr steril: Wenn zum Zeitpunkt des Angriffs ein Patient auf dem Operationstisch liegt und alles stillsteht, kann das dramatische Folgen haben.

Die Notwendigkeit einer echten Governance, damit das Thema allgemein bekannt wird

Wer sollte sich Ihrer Meinung nach in den Gesundheitseinrichtungen um dieses Thema kümmern, um solche Angriffe zu verhindern?

Das Problem ist nicht, “wer”, denn sonst schieben alle den Schwarzen Peter weiter, bis einer von ihnen es bemerkt, z. B. der CISO: und wenn etwas passiert, muss er oder sie die volle Verantwortung übernehmen. Das Thema muss mit einem echten Governance-Thema angegangen werden, damit es zu einem gemeinsamen Thema wird. Es ist nicht mehr möglich, dass jeder in seiner eigenen Ecke agiert.

Das Thema muss global angegangen werden. Der CISO wird bei der Ausarbeitung von Empfehlungen eine Rolle spielen, da es seine Aufgabe ist, die verschiedenen Berufe abzusichern, aber er braucht die Unterstützung der IT-Abteilung und des Personals (Krankenschwestern, Ärzte, Labormitarbeiter usw.).

Kompliziert ist es, alle Beteiligten ins Boot zu holen. Es ist schwierig, Arbeitsgewohnheiten zu ändern. Sensibilisierung und Schulung sind daher bei der Durchführung von Cybersicherheitsprojekten unerlässlich. Ohne ein echtes Änderungsmanagement könnte das Projekt scheitern. Alle Mitarbeiter des Unternehmens müssen sich das Thema zu eigen machen, um Sicherheitsverletzungen zu vermeiden.

Was die Vorwegnahme von Angriffen betrifft, so gibt es eine Reihe von Einrichtungen, die derzeit Lösungen wie das VPN (Virtual Private Network) nutzen können, um zu wissen, wer eintritt und wer geht. Wenn zum Beispiel eine Person zum Putzen kommt, kann sie sich mit einem Ausweis ein- und ausweisen. Aber welche Garantie haben wir, dass es sich um die Person handelt, die putzt? Zumal diese Person mit einem solchen Ausweis überall in der Einrichtung hingehen kann. Das ist eines der Hauptprobleme: Wir wissen nicht, was die Leute tatsächlich in der Organisation tun. Es gibt kein Feedback. Zum Beispiel wurde Uber Ende 2016 (und auch im letzten September…) gehackt. Es handelt sich um ein großes US-Unternehmen mit vielen Ressourcen, aber es dauerte zwei Jahre, bis sie erfuhren, dass sie gehackt worden waren. Sie hatten keine Beweise.

Heute müssen wir in der Lage sein, alle potenziellen Einstiegspunkte für Hacker zu sichern. Solange es Menschen gibt, wird es auch Risiken geben. Es ist nicht die Frage, “ob” ich angegriffen werde, sondern “wann”.

“Vorschriften sind gut, sie durchzusetzen ist besser”

Sollten spezifische Vorschriften erlassen werden? Sind Sie der Meinung, dass der Cyber Resilience Act, der derzeit auf europäischer Ebene für vernetzte Objekte ausgearbeitet wird, erweitert werden sollte?

Vorschriften sind gut, sie durchzusetzen ist besser. Wenn ich Sie bitte, 50 Aufgaben an einem Tag zu erledigen, ist das nicht möglich. Aber es gibt tatsächlich Dinge, die gesetzlich geregelt werden müssen. Es gibt zum Beispiel viele biomedizinische Geräte, die von ausländischen Herstellern produziert werden, für die andere Gesetze gelten als für unsere. Einige von ihnen werden sich an die französische Gesetzgebung halten müssen: Sie können nicht mehr so handeln, wie sie wollen, sondern es gibt eine Zeit der Unsicherheit.

Einige unserer Kunden stehen bereits mit uns (WALLIX) in Kontakt, um zu sehen, wie wir unsere Lösungen miteinander verbinden können, damit wir nachvollziehen können, was sie tun, denn heutzutage sollte jede Gesundheitseinrichtung wissen, was zu Hause vor sich geht.

Bislang hatten diese Hersteller die Möglichkeit, sich bestimmten Kontrollen oder Vorschriften zu entziehen. Heute ist dies nicht mehr möglich. Hier hilft die europäische Verordnung: Wir nähern uns dem Prinzip “Sie haben keine Wahl mehr” an. Es sind nicht mehr die Institutionen, die sich den Herstellern anpassen, sondern die Hersteller passen sich den Bedürfnissen der Institutionen an. Aus diesem Grund haben wir bereits mit vielen von ihnen Gespräche aufgenommen, um diesen Wandel einzuleiten. In diesem Zusammenhang sind die französischen und europäischen Rechtsvorschriften sehr wichtig.

Auf der anderen Seite ist es für die Krankenhäuser intern, wie ich schon sagte, vor allem das Mittel, das sie brauchen.

“Das französische Konjunkturprogramm hat vielen Krankenhäusern das Leben gerettet.

Eine aktualisierte Version des HDS-Zertifizierungsstandards ist in Arbeit, und der neue französische Fahrplan für die digitale Gesundheit 2023-2027 dürfte die Cybersicherheit zu den Prioritäten zählen: Welche Erwartungen haben Sie in Bezug auf diese regulatorischen Änderungen?

Man muss über Sicherheit “by design” nachdenken: Wenn man eine Lösung baut, muss man sich von Anfang an fragen, wie man sie sicher machen kann, oder zumindest, wie man sie leicht sichern kann. Wenn Sie im Operationssaal eine Kamera installieren und sie an die IT-Infrastruktur anschließen, woher wissen Sie dann, woher sie kommt und ob das System sicher ist? Sie müssen alles kontrollieren, was in das Krankenhaus kommt, und sicherstellen, dass die Ausrüstung “sicher” und/oder sicher ist.

Bei WALLIX haben wir zum Beispiel Sensibilisierungsveranstaltungen in den großen Schulen für die Führungskräfte von morgen, die zukünftigen technischen und administrativen Manager, entwickelt. Wenn sich jemand bei seiner E-Mail anmeldet und eine seltsame E-Mail sieht, sollte sein erster Instinkt sein, sie nicht zu öffnen, seine IT-Abteilung zu informieren und sie zu löschen. Wenn wir in Unternehmen einen Phishing-Test durchführen, stellen wir fest, dass die Personen, die auf Phishing reagieren, nicht immer diejenigen sind, an die wir denken. Es kann ein Manager oder eine Empfangsdame sein: Die Auswirkungen sind je nach Profil nicht die gleichen.

Unser Ziel ist es, diese Reflexe bei den neuen jungen Generationen zu entwickeln, indem wir über das Erlernen der Grundlagen hinausgehen. Die Idee ist, das Bewusstsein vom frühesten Alter an zu schärfen, von der Grundschule an, denn Kinder beginnen sehr früh, digitale Werkzeuge zu benutzen. Gute Cybersicherheitspraktiken müssen zu einem Reflex werden, so wie man Kindern beibringt, die Straße zu überqueren, indem man nach rechts und links schaut.

Sind Sie der Meinung, dass sich das allgemeine Bewusstsein für das Thema Cybersicherheit bereits entwickelt hat?

Darüber hinaus waren bisher alle der Meinung, dass PAM-Lösungen (Privileged Access Management) zwar nützlich sind, aber man war sich ihrer Notwendigkeit nicht wirklich bewusst. Das ist jetzt nicht mehr das Problem: Es ist jetzt offensichtlich, dass man diese Lösungen braucht, um Identitäten zu verwalten und zu wissen, was intern vor sich geht, aber auch, was die Dienstanbieter tun, denn ein Krankenhaus hat mehrere hundert Dienstanbieter, die sich jeden Tag anmelden. Es ist ein Bienenstock von Menschen, die ein- und ausgehen. Mit dieser Art von Lösungen können wir Kameras und Zugangskontrollen einrichten, seltsames Verhalten erkennen und Blockiermechanismen einrichten.

In diesem Sinne ist der Plan France Relance eine echte Hilfe: Er hat es den Krankenhäusern ermöglicht, Lösungen zu erwerben, die sie zuvor aufgrund fehlender finanzieller Mittel nicht kaufen konnten. Der einzige Nachteil ist, dass er eine Finanzierung zu einem “T”-Moment ermöglicht. In den kommenden Jahren ist mit einem wiederkehrenden Element zu rechnen.

Auf jeden Fall war der France-Relance-Plan für viele Gesundheitseinrichtungen die Rettung. Es ist schade, dass es so lange gedauert hat, aber jetzt, wo es da ist, ist es ein Schritt nach vorn.

Lösegeldzahlungen: “Ein massives EU-weites Nein” ist nötig

Was ist Ihre Meinung zu Lösegeldzahlungen?

Ich persönlich halte es für einen Irrweg, das von den Hackern geforderte Lösegeld zu zahlen. Sobald der Staat das Prinzip der Lösegeldzahlungen durch Versicherungsgesellschaften (dies könnte für diese Unternehmen von Interesse sein) validiert, ist dies aus der Sicht eines Cyberangreifers ein Geschenk des Himmels. Alle Hacker der Welt werden sich an Frankreich wenden!

Hier ist eine europäische Regelung unerlässlich. In Frankreich sind wir auf diesem Gebiet sehr fortschrittlich, aber auf der anderen Seite haben wir die amerikanischen Giganten (GAFAM), die bis jetzt gemacht haben, was sie wollten. Europa hat mehr als alle anderen ein Interesse daran, sich durchzusetzen und seine Regeln zu diktieren. Frankreich allein kann nichts tun: ein massives “Nein” ist auf der Ebene der gesamten Europäischen Union erforderlich.

Lesen Sie das Interview auf der Website von Health & Tech Intelligence (auf Französisch)

‍