Wenn es um das Gesundheitswesen geht, kann Cybersicherheit buchstäblich über Leben und Tod entscheiden. Um die Patientenversorgung zu koordinieren, die richtigen elektronischen Gesundheitsdaten an das zuständige medizinische Personal zu übermitteln oder sensible Daten zu schützen, müssen Krankenhäuser, Labore und andere Gesundheitsdienstleister online, verbunden und gesichert bleiben.
Deshalb ist das neue Programm des Nationalen Gesundheitsdienstes (NHS) Anforderung dass alle Einrichtungen Folgendes umsetzen Multi-Faktor-Authentifizierung (MFA) ist ein so wichtiger Meilenstein. Ich sage das nicht nur im Namen der RSA: Das ist etwas Persönliches. Ich komme aus dem Vereinigten Königreich und habe dort immer noch Familie. Durch die Einführung der MFA wird der NHS weiterhin die hochsensiblen Gesundheitsdaten seiner Patienten (einschließlich meiner Familie) schützen.
Eine MFA-Richtlinie umreißt die Regeln und Anforderungen für die Implementierung der Multi-Faktor-Authentifizierung in einer Organisation oder einem System. Ziel ist es, sicherzustellen, dass nur autorisierte Benutzer auf Systeme oder Daten zugreifen können, um das Risiko von unbefugtem Zugriff, Datenverletzungen und Cyberangriffen zu verringern. Eine gut definierte MFA-Richtlinie legt fest, welche Benutzer sich über mehrere Faktoren authentifizieren müssen, welche Authentifizierungsmethoden zu verwenden sind und unter welchen Umständen MFA erforderlich ist, z. B. beim Zugriff auf sensible Daten oder bei der Durchführung risikoreicher Aktionen. Die Richtlinie enthält in der Regel auch Richtlinien zur Einhaltung und Durchsetzung sowie regelmäßige Aktualisierungen zur Anpassung an neue Sicherheitsbedrohungen.
Diese Politik ist zwar eine Besonderheit des NHS, aber sie ist auch Teil eines umfassenderen globalen Trends. Die neue NHS-Anforderung folgt den Vorgaben in den USA, die die Cybersicherheit der Nation zu verbessern. Auch die Die NIS2 der Europäischen Union Richtlinie zielt darauf ab, ein "hohes gemeinsames Niveau der Cybersicherheit" zwischen allen Mitgliedstaaten zu schaffen. Vorfälle wie Log4j, der Krieg in Ukraine, und staatlich gesponserte Cyberangriffe haben die Cybersicherheit weltweit in den Mittelpunkt gerückt: Nie war es wichtiger für alle Organisationen, sich auf die Stärkung ihrer Abwehrkräfte zu konzentrieren. Das gilt insbesondere für das Gesundheitswesen. Deshalb bin ich sehr froh, dass der NHS die Cybersicherheit ernst nimmt.
Für ein so großes und komplexes System wie den NHS wird es jedoch viel Arbeit bedeuten, die Multi-Faktor-Authentifizierung so rechtzeitig zu implementieren, dass die Frist im Februar 2024 für den Nachweis von Implementierungsplänen bzw. die Frist im Juni 2024 für die vollständige Einhaltung der Vorschriften eingehalten werden kann. Schauen wir uns also an, warum MFA für die Cybersicherheit wichtig ist, überprüfen wir die Anforderungen der NHS-MFA-Richtlinie und diskutieren wir die Fähigkeiten, die NHS-Trusts, integrierte Pflegegremien, unabhängige Einrichtungen des Ministeriums für Gesundheit und Soziales und andere Gesundheitsdienstleister priorisieren sollten.
Die Multi-Faktor-Authentifizierung bietet eine zusätzliche Sicherheitsebene, die sicherstellt, dass ein Benutzer derjenige ist, der er vorgibt zu sein. Anstatt nur eine E-Mail-Adresse und ein Passwort zu verlangen, erfordert MFA, dass Benutzer einen zusätzlichen Faktor - wie z. B. die Eingabe eines Verifizierungscodes, die Reaktion auf eine Push-Benachrichtigung, die Verwendung eines Sicherheitsschlüssels oder die Bereitstellung biometrischer Informationen - für die Anmeldung angeben.
Das Hinzufügen einer zusätzlichen Sicherheitsebene kann enorme Auswirkungen haben. Die Angabe eines Passworts und einer E-Mail reicht nicht aus, um die meisten Datenschutzverletzungen zu verhindern: Die Verizon 2023 Data Breach Investigations Report stellte fest, dass bei 74% aller Sicherheitsverletzungen entweder "Fehler, Missbrauch von Privilegien, Verwendung gestohlener Zugangsdaten oder Social Engineering" vorliegen. Der Bericht stellte außerdem fest, dass gestohlene Zugangsdaten in den letzten fünf Jahren der beliebteste Einstiegspunkt für Sicherheitsverletzungen waren.
Und es ist nicht nur so, dass mehr Sicherheitsverletzungen mit kompromittierten Passwörtern beginnen, sondern auch, dass diese Sicherheitsverletzungen in der Regel größere Auswirkungen haben. Die IBM Bericht über die Kosten einer Datenpanne 2023 fand heraus, dass es im Durchschnitt 308 Tage dauerte, bis Sicherheitsverstöße, die mit gestohlenen oder kompromittierten Zugangsdaten begannen, entdeckt und eingedämmt wurden, was sie zu einem der häufigsten, langwierigsten und kostspieligsten ersten Angriffsvektoren macht.
Die Implementierung einer starken Multi-Faktor-Authentifizierungsrichtlinie (MFA) ist entscheidend für den proaktiven Schutz sensibler Daten. Da Cyber-Bedrohungen immer raffinierter werden, reicht es nicht mehr aus, sich nur auf Passwörter zur Authentifizierung zu verlassen. Eine umfassende MFA-Richtlinie verlangt von den Benutzern, dass sie ihre Identität anhand mehrerer Faktoren überprüfen, was die Wahrscheinlichkeit eines unbefugten Zugriffs drastisch verringert, selbst wenn die Anmeldedaten kompromittiert wurden. Durch die Durchsetzung von MFA an allen Zugangspunkten verbessern Unternehmen nicht nur ihre Sicherheitslage, sondern erfüllen auch die Best Practices und Compliance-Anforderungen, um einen robusten Schutz vor sich entwickelnden Cyber-Bedrohungen zu gewährleisten und die Auswirkungen potenzieller Verstöße zu minimieren.
Ich empfehle Hausärzten, Krankenhäusern und Laboren, die MFA-Richtlinie des NHS als eine Möglichkeit zu nutzen, der sehr realen Bedrohung durch Cyberangriffe zu begegnen, und sie nicht als eine weitere Maßnahme zum Abhaken zu betrachten, die sie erfüllen müssen. Denn die digitalen Systeme des NHS werden bereits angegriffen:
- Im Jahr 2023 stellte ein Cybersicherheitsunternehmen fest, dass "Millionen der medizinischen Geräte in den Krankenhäusern des NHS Trusts sind ... völlig offen für Ransomware-Angriffe durch Cyberkriminelle".
- Ebenfalls im Jahr 2023 machte sich das BlackCat/ALPHV-Ransomware-Syndikat Berichten zufolge mit 7 Terabytes an Patientendatenvom Barts Health NHS Trust, einer der größten Krankenhausgruppen des Vereinigten Königreichs
- Im gleichen Zeitraum hat die Universität Manchester verkündete, dass "NHS-Daten von mehr als einer Million Patienten kompromittiert worden waren".
- Im Jahr 2022 kündigte der NHS-IT-Anbieter Advanced an, dass es "drei bis vier Wochen dauern wird, bis er sich vollständig erholt hat", nachdem er von einem Virus getroffen wurde. Ransomware-Angriff, Dieser Angriff zwang das medizinische Personal, wochenlang Notizen "mit Stift und Papier" zu machen, was wiederum zu "sechs Monate für die Bearbeitung und Eingabe"Der manuelle Rückstau
- Die Nationales Zentrum für Cybersicherheit (NCSC) stellte fest, dass staatlich geförderte Akteure "auf dem Höhepunkt der Pandemie den NHS ins Visier nahmen".
Ich könnte weitermachen. Ob Ransomware-Angriffe, Angriffe zur Kompromittierung von Konten, Social Engineering oder schlichtes Phishing - Cyberkriminelle versuchen, an Benutzerkonten und Patientendaten zu gelangen oder den Betrieb so weit zu stören, dass Krankenhäuser zahlen müssen. Denn es geht wirklich um Menschenleben: 2020 legten Bedrohungsakteure die Systeme des Universitätsklinikums Düsseldorf in Deutschland lahm. Während des Angriffs versuchten die Ärzte, einen Patienten zur Behandlung in ein anderes Krankenhaus zu verlegen. Der Patient starb während der Verlegung, was die "der erste bekannte Fall, bei dem ein Leben verloren ging" als Ergebnis eines Ransomware-Angriffs.
RSA arbeitet seit Jahrzehnten mit dem Gesundheitssektor zusammen. In diesem Jahr haben wir wichtige neue Fähigkeiten Wir sind uns darüber im Klaren, dass die Sicherheit medizinischer Systeme voraussetzt, dass Unternehmen die Compliance-Anforderungen erfüllen und sich gegen Cyberangriffe wappnen.
Ich denke, dass die MFA-Richtlinie des NHS England ein erreichbares Ziel gut in den Vordergrund stellt: Die Einführung der Multi-Faktor-Authentifizierung ist ein wichtiger Bestandteil der Cybersicherheit, und die Richtlinie, dass MFA für alle Fernzugriffe von Benutzern auf alle Systeme" und für alle privilegierten Benutzerzugriffe auf extern gehostete Systeme" durchgesetzt werden muss, wird dazu beitragen, eine beträchtliche Anzahl von Benutzern und Anwendungsfällen mit hohem Risiko zu schützen.
Die Notwendigkeit einer umfassenderen Umsetzung der Makrofinanzhilfe
Meiner Meinung nach sollte das Mandat jedoch weiter gehen und sich auf alle Benutzer erstrecken. Der NHS definiert "privilegierte Benutzer" als "Systemadministratoren oder Benutzer mit sicherheitsrelevanten Funktionen". Ich gehe davon aus, dass sie mit der Absicherung von Administratoren in erster Linie verhindern wollen, dass ihre Konten kompromittiert werden und systemweite Sicherheitsänderungen vorgenommen werden.
Wenn das der Fall ist, dann ist das ein vernünftiger erster Schritt - solange es nicht der letzte Schritt ist. Wenn privilegierte Benutzer nicht mehr auf externe Systeme oder Remote-Benutzer zugreifen können, ist immer noch viel zu viel Vertrauen in das System eingeflossen. Cyberkriminelle sind sehr gut darin, Lücken in einem Sicherheitssystem zu finden und sie zu ihrem Vorteil auszunutzen - und MFA für alle Benutzer ohne sicherheitsrelevante Funktionen oder interne Benutzer auszuschalten, ist eine sehr große Lücke.
Das Risiko von internen Angriffen verstehen
Unternehmen neigen dazu, den Großteil ihrer Abwehrmaßnahmen auf höherwertige Konten zu konzentrieren und sich auf die Abwehr externer Angriffe vorzubereiten; dabei wird jedoch übersehen, dass viele Angriffe nach der Kompromittierung eines Kontos auf niedrigerer Ebene intern erfolgen. Nur sehr wenige Angriffe beginnen mit der Kompromittierung administrativer Anmeldedaten.
Stattdessen verwenden Angreifer "eine Vielzahl von Tools, um Ihre Umgebung zu durchdringen und dann umzuschwenken, einschließlich der Verwendung von Phishing und gestohlenen Anmeldeinformationen, um Zugang zu erhalten und Hintertüren hinzuzufügen, um diesen Zugang aufrechtzuerhalten und Schwachstellen auszunutzen, um sich zu bewegen
seitlich", so der Verizon 2023 Data Breach Investigations Report. Während Angreifer versuchen, sich schrittweise nach oben zu bewegen und ihre Privilegien nach und nach zu erweitern, beginnen sie mit der Kompromittierung der weniger sicheren Konten.
Nachteile der MFA-Politik
Außerdem ist MFA zwar wichtig, aber kein Allheilmittel. Organisationen müssen sich näher an Null Vertrauen und die Sicherheit zu einer entscheidenden Komponente jedes Geschäftsprozesses machen. Denken Sie nur an die Hackergruppe BlackCat / ALPHV, die in den Barts Health Trust eingedrungen ist: In diesem Herbst gelang es derselben Gruppe, die MFA zu umgehen, indem sie den IT-Helpdesk der Caesars Entertainment Group in Las Vegas mit Social Engineering ausstattete, was Berichten zufolge zu einem $15 Millionen Lösegeldzahlung.
Verstehen Sie mich nicht falsch: Es gibt viel Positives an der Richtlinie des NHS England zur Multi-Faktor-Authentifizierung. Zum Beispiel die Verwendung von Industriestandards: Wenn sich NHS-Büros für die Implementierung biometrischer Authentifizierung entscheiden, empfiehlt die Richtlinie die Überprüfung von NIST SP 800-63B s5.2.3 und NCSC "Biometrische Erkennungs- und Authentifizierungssysteme".. Dies sind äußerst hilfreiche Dokumente, anhand derer NHS-Mitarbeiter bewährte Verfahren in ihre MFA-Einführung einbauen können.
Die NHS England Leitfaden für MFA setzt ebenfalls auf Pragmatismus und Flexibilität und stellt fest, dass "alle technischen Ansätze für MFA derzeit zulässig sind" und dass Organisationen nicht versuchen sollten, eine "ideale" Lösung zu finden: "Stattdessen sollte man das Machbare implementieren und es im Laufe der Zeit verbessern". Der NHS sagt, dass Organisationen "einen Faktor - oder wahrscheinlicher mehrere Faktoren - auswählen sollten, der auf den Gegebenheiten ihrer Organisationen und Nutzer basiert".
Dieser Ansatz, das Perfekte nicht zum Feind des Guten werden zu lassen und die MFA im Laufe der Zeit zu verbessern, ist hervorragend. Es ist mehr als wahrscheinlich, dass NHS-Organisationen mehrere Benutzergruppen unterstützen müssen, die in verschiedenen Umgebungen arbeiten. Außerdem benötigen sie eine MFA-Richtlinie, die sich an neue Benutzergruppen und neue Umgebungen anpassen kann, wenn sich die Anforderungen der Organisation weiterentwickeln.
Um dies zu erreichen, ist es wichtig, dass der NHS Lösungen bevorzugt, die eine Reihe von MFA-Methoden unterstützen und die so konzipiert sind, dass sie sich auf lokale, Multi-Cloud- und hybride Umgebungen ausweiten lassen. NHS-Mitarbeiter können ID Plus ausprobieren 45 Tage lang, um diese Fähigkeiten in der Praxis zu erleben.
