Drei Schlüssel zur IT im Gesundheitswesen: HIPAA, Zero Trust und sichere Dateiübertragungen

Die Messlatte für die Sicherheit in der IT des Gesundheitswesens ist so hoch, dass es großer Anstrengungen bedarf, um sie zu überspringen. Die Sicherung der Daten ist die größte Hürde. Wo befinden sich also Ihre sensibelsten Daten? In Dateien, natürlich. Und es sind diese Dateien, die herumfliegen wie Möwen am Angelsteg. Es gibt jedoch drei Schlüssel für die IT im Gesundheitswesen, die dazu beitragen können, Ihr Risiko zu verringern.

Im Falle des Gesundheitswesens können diese Dateien geschützte Gesundheitsinformationen (Protected Health Information, PHI) enthalten, die, wenn sie nicht vollständig geschützt sind, nicht nur durch böswillige Akteure beschädigt werden können, sondern Ihr Unternehmen auch teuren und peinlichen HIPAA-Strafen und Klagen aussetzen. Diese Daten MÜSSEN geschützt werden und SOLLTEN im Ruhezustand UND bei der Übertragung verschlüsselt werden.

Die schwindelerregenden Kosten von Datenschutzverletzungen im Gesundheitswesen

Verstöße im Gesundheitswesen sind mit 9,23 Millionen US-Dollar pro Vorfall die teuersten aller Branchen, so eine IBM / Ponemon-Analyse, über die in einem Beckers Hospital Review-Blog berichtet wurde. Unterdessen "enthüllte fast die Hälfte (44 Prozent) der im Bericht analysierten Verstöße persönliche Kundendaten, einschließlich Gesundheitsinformationen, Namen, E-Mails und Passwörter", so IBM.

Es dauert im Durchschnitt 287 Tage, um eine Datenschutzverletzung im Gesundheitswesen zu entdecken, zu identifizieren und einzudämmen. "Datenverletzungen, deren Identifizierung und Eindämmung länger als 200 Tage dauerte, kosteten im Durchschnitt 4,87 Millionen Dollar, verglichen mit 3,61 Millionen Dollar bei Verletzungen, die weniger als 200 Tage dauerten. Insgesamt dauerte es durchschnittlich 287 Tage, um eine Datenschutzverletzung zu erkennen und einzudämmen, sieben Tage länger als im vorherigen Bericht. Zum Vergleich: Wenn die Identifizierung und Eindämmung einer Datenschutzverletzung, die sich am 1. Januar ereignet hat, 287 Tage in Anspruch nehmen würde, wäre die Verletzung erst am 14. Oktober behoben. Die durchschnittliche Zeit für die Identifizierung und Eindämmung variierte stark, je nach Art der Datenschutzverletzung, Angriffsvektor, Faktoren wie dem Einsatz von KI und Automatisierung im Sicherheitsbereich und dem Stadium der Cloud-Modernisierung", so der IBM/Ponemon-Bericht.

HIPAA

Abgesehen von Datenschutzverletzungen ist der HIPAA natürlich das wichtigste Problem, mit dem sich IT- und Sicherheitsexperten im Gesundheitswesen heute auseinandersetzen müssen. Natürlich gibt es die gerade erwähnten Bußgelder, aber darüber hinaus wollen Gesundheitsorganisationen die Privatsphäre der Patienten schützen. Das ist das Richtige und gut fürs Geschäft.

Zu den wichtigsten Themen für die HIPAA-Compliance gehören:

• Authentifizierung, d.h. Überprüfung, ob die Benutzer die sind, die sie vorgeben zu sein.
• Zugriffskontrolle, d. h., dass kein Zugriff auf Daten ohne entsprechende Berechtigung möglich ist.
• Übertragungssicherheit, d. h. Datenübertragungen zwischen den Parteien müssen verschlüsselt sein, und zwar sowohl im Ruhezustand als auch bei der Übertragung.
• Integrität, d.h. PHI wird nicht ohne Erlaubnis oder Erkennung geändert.
• Audit-Kontrolle, die einen vollständigen Audit-Trail beinhaltet, der einen vollständigen Einblick in Dateiübertragungen bietet.

Diese Probleme können gelöst werden, indem sichergestellt wird, dass die Daten während der Übertragung verschlüsselt werden, dass Änderungen an Dateien erkannt werden und dass der Prüfpfad alles aufzeigt, was mit einer Datei während des Übertragungsvorgangs geschehen ist.

Keine Vertrauensstellung ohne Zero Trust (und Zugriff mit den geringsten Rechten)

Viele, aber nicht alle IT-Experten sind mit dem Konzept von Zero Trust vertraut. Der Begriff enthält eine gewisse Ironie, denn Zero Trust bedeutet, dass der beste Weg zum Schutz aller Daten und Vermögenswerte darin besteht, absolut nichts zu vertrauen - bis sich Bereiche des Netzwerks als vertrauenswürdig erwiesen haben. Die Idee ist, mit jedem Element Ihrer gesamten Umgebung Schritt für Schritt zu arbeiten, um jedes einzelne zu schützen und zu sichern.

Die Zero Trust Architecture wurde 2010 vom damaligen Forrester-Analysten John Kindervag erfunden. "Zero Trust ist ein Sicherheitskonzept, das sich auf die Überzeugung konzentriert, dass Unternehmen nicht automatisch etwas innerhalb oder außerhalb ihrer Grenzen vertrauen sollten und stattdessen alles und jedes überprüfen müssen, was versucht, sich mit ihren Systemen zu verbinden, bevor sie Zugriff gewähren", erklärte das CSO-Magazin.

Dateien werden bei diesen Bemühungen manchmal vergessen, sollten aber an erster Stelle stehen, wenn es um Zero Trust geht. Ihre Dateien benötigen ein hohes Maß an Schutz, und niemandem sollte der Zugriff auf sie ohne ausdrückliche Genehmigung und authentische Authentifizierung gestattet werden.

Microsoft, ein wichtiger Zero-Trust-Befürworter, definiert es auf diese Weise. "Anstatt davon auszugehen, dass alles hinter der Unternehmensfirewall sicher ist, geht das Zero-Trust-Modell von einem Verstoß aus und überprüft jede Anforderung, als ob sie aus einem offenen Netzwerk stammt. Unabhängig davon, woher die Anfrage stammt oder auf welche Ressource sie zugreift, lehrt uns Zero Trust, "niemals zu vertrauen, immer zu überprüfen". Jede Zugriffsanforderung wird vollständig authentifiziert, autorisiert und verschlüsselt, bevor der Zugriff gewährt wird. Mikrosegmentierung und die Prinzipien des Zugriffs mit den geringsten Rechten werden angewendet, um seitliche Bewegungen zu minimieren. Umfangreiche Intelligenz und Analysen werden genutzt, um Anomalien in Echtzeit zu erkennen und darauf zu reagieren", erklärte Microsoft.

Ein Schlüssel zu Zero Trust ist ein starkes Identitätsmanagement und -schutz, hauptsächlich durch Authentifizierung, die in der gesamten Umgebung angewendet werden sollte.

Dies steht im Zusammenhang mit dem Thema "Least Privilege Access", das Teil von Zero Trust ist. Das Konzept des am wenigsten privilegierten Zugriffs besteht darin, die Benutzerrechte auf das absolut Notwendige zu beschränken. Im Falle von Dateien sollten nur diejenigen, die eine Datei berühren, übertragen oder empfangen müssen, dies tun können..

Fragen zur Dateiübertragung, die Sie beantworten sollten

Erledigt Ihre Legacy-Dateiübertragungslösung die Arbeit? Hier sind einige Fragen aus unserem eBook 7 File Transfer Challenges of Healthcare IT Teams, um dem Problem auf den Grund zu gehen:

• Hat die schiere Menge an vertraulichen Patientenakten, die Ihre Systeme bearbeiten, signifikant zugenommen? Wie siet es mit der Komplexität der Dateien aus?
• Wird die Herausforderung durch die Verwendung umständlicher Skripte noch verschärft?
• Auch wenn es sich bei Ihren Aufgaben um "automatisierte" Batch-Jobs handelt, erweist sich das Scripting für die Erstellung und Ausführung von Dateiübertragungsaufträgen als zeitaufwendig und fehleranfällig? Wie wäre es mit der Erfüllung der Protokollierungsanforderungen für Patientengesundheitsinformationen (PHI)?
• Haben Sie Schwierigkeiten festzustellen, wann eine Datei übertragen wurde, wohin sie gegangen ist und ob sie überhaupt dort angekommen ist? Müssen Sie manchmal Stunden oder Tage damit verbringen, zu suchen?
• Ist die Planung von Dateiübertragungsaufträgen manchmal eine monumentale Herausforderung (z. B. die manuelle Neuplanung jedes Auftrags, wenn sich ein Kennwort ändert)?
• Umgehen Ihre Endbenutzer manchmal die IT und verwenden nicht autorisierte Dateiübertragungslösungen, die vertrauliche Schadendaten, Apothekenunterlagen und Patienteninformationen gefährden?
• Haben Sie angesichts dieser alltäglichen Herausforderungen das Gefühl, dass Sie bereits "aufholen", wenn es darum geht, die Maßnahmen umzusetzen, die von wegweisenden Gesetzen wie dem Affordable Care Act gefordert werden?

Die Vorteile der sicheren Dateiübertragung reichen weit über die Sicherheit hinaus

Von der Abrechnung im Gesundheitswesen über Anfragen zur Versicherungsberechtigung bis hin zu HCAHPS-Umfragen hängt das Geschäft des Gesundheitswesens von der zuverlässigen, sicheren und konformen Übertragung von geschützten Gesundheitsinformationen (Protected Health Information, PHI) ab. Die MOVEit-Suite von Secure File Transfer-Produkten gewährleistet die Verschlüsselung ruhend und in Bewegung, die Zustellung an den vorgesehenen Empfänger und detaillierte Überwachungsprotokolle. MOVEit bietet die Funktionen und die Bereitstellungsflexibilität, die erforderlich sind, um die HIPAA- und DSGVO-Compliance zu erfüllen.

Im MOVEit Cloud Healthcare Data Sheetheißt es: "Die sichere und effiziente Verlagerung von Dateien zwischen Gesundheitsorganisationen und ihren Geschäftspartnern beschleunigt die Bereitstellung von Pflege, beschleunigt die Bestimmung der Zahlungsberechtigung und rationalisiert andere Kerngeschäftsfunktionen."

MOVEit kann die folgenden Dateitypen sicher, sicher und sogar automatisch übertragen:

• Erinnerungen an Patiententermine
• Medizinische Berichte
• Big Data, z.B. medizinische Bilder
• Rechnungs- und Zahlungsdaten
• Berichte zur Einhaltung gesetzlicher Vorschriften
• Compliance-Berichte
• Einreichung von Ansprüchen

Erfahren Sie mehr über die Funktionsweise von MOVEit im Gesundheitswesen!

Drei Möglichkeiten, wie Managed File Transfer dem Gesundheitswesen hilft

Sichereres, einfacheres Onboarding von Service Providern

Das profitable Wachstum Ihres Gesundheitsnetzwerks erfordert das kostengünstige Onboarding neuer Gesundheitsdienstleister. Skalierbarer IT-Betrieb ist ein wesentlicher Bestandteil für den Erfolg. MOVEit bietet die ideale Business-Service-Plattform, um eine profitable Expansion und die beschleunigte Einführung wettbewerbsfähiger neuer Services wie Terminerinnerungen und Patientenabruf von Krankenakten zu unterstützen.

Automatisieren Sie die Abrechnung/Zahlungsabwicklung

Automatisieren Sie Ihren medizinischen Abrechnungsprozess und stellen Sie sicher, dass 837 Gesundheitsansprüche und 835 elektronische Überweisungshinweise (ERA) innerhalb der von SLAs geforderten Zeitrahmen und in Übereinstimmung mit HIPAA sicher zugestellt werden.

Automatisieren Sie die Verarbeitung von Patientenumfragen

Automatisieren Sie die Übertragung von Patientenentlassungsakten an Befragungsagenturen, um sicherzustellen, dass alle Patientenentlassungsinformationen sicher für eine angemessene Verarbeitung bereitgestellt werden und Patientenbefragungen regelmäßig durchgeführt werden.

Fallstudie in Punkt: VIVA Health

VIVA Health, das die Gesundheit von über 100.000 Menschen sichert, hatte Probleme mit der Übertragung von Dateien mit komplexen und problemanfälligen DOS-Skripten. Die Antwort? Automatisieren von Dateiübertragungen mit MOVEit, wie unsere Viva Health Case Study zeigt: "Die Planung von Jobs war ein Bären", sagt Ryan Kramer, Manager of Information Systems bei VIVA Health. "Wenn sich ein Passwort änderte, mussten wir jeden Auftrag manuell neu planen. Aufgaben brachen ziemlich regelmäßig zusammen, so dass sie sehr genau überwacht werden mussten. Die Konzentration auf etwas so Alltägliches war ablenkend und zeitaufwendig und hielt uns oft davon ab, an Aufgaben zu arbeiten, die letztendlich von höherem Wert waren."

Die Automatisierung mit MOVEit Automation zahlt sich für VIVA Health aus. "Wir schätzen, dass MOVEit uns das Äquivalent von zwei Vollzeitäquivalenten (FTEs) spart. Wir hatten einen Mitarbeiter, der in eine andere Abteilung wechselte. Mit MOVEit konnte ich 75% der Arbeit, die er geleistet hatte, automatisieren, so dass wir allein von ihm 75% eines Mannjahres eingespart haben. Außerdem sind unsere PCs nicht mehr an diese Aufgaben gebunden", sagt Automatisierungsingenieur Ragan McBride.

Die MOVEit Managed File Transfer-Lösung

Das sichere Verschieben von Dateien im Gesundheitswesen ist geschäftskritisch, da diese Dateien in der Regel persönliche vertrauliche Informationen enthalten und Unternehmen strenge Richtlinien für die Privatsphäre von Patienten einhalten.

Die sichere, effiziente Verlagerung von Dateien zwischen Gesundheitsorganisationen und ihren Geschäftspartnern beschleunigt die Bereitstellung von Pflege, beschleunigt die Bestimmung der Zahlungsberechtigung und rationalisiert andere Kerngeschäftsfunktionen.

MovEit Vorteile für das Gesundheitswesen

• Erhöhte Produktivität: Mitarbeiter können Dateien jeder Größe und Art problemlos mit internen und externen Benutzern teilen
• Einfache Compliance-Berichterstattung: für Vorschriften und Standards wie DSGVO, PCI, HIPAA, HITECH usw.
• Reduziertes Risiko von Datenverlust: erhöhte Transparenz, Kontrolle, Sicherheit und Überprüfbarkeit Ihrer Datenübertragungen

Erfahren Sie, wie MOVEit Managed File Transfer für das Gesundheitswesen funktioniert!

Gehen Sie zu HIMSS? Sehen Sie MOVEit in Aktion und nehmen Sie teil, um ein Onewheel zu gewinnen!

Die Konferenz der Healthcare Information and Management Systems Society (HIMSS) 2021 findet vom 9. bis 13. August in Las Vegas persönlich statt.

Besuchen Sie Progress Software am Stand #1621, wo wir ein Onewheel verlosen – und zeigen, was Managed File Transfer für Sie tun kann!

Nichts in diesem Dokument stellt eine Rechtsberatung dar. Der Leser sollte sich bezüglich seiner gesetzlichen und/oder Compliance-Verpflichtungen an einen Rechtsbeistand wenden. Progress gibt keine Zusicherungen oder Garantien hinsichtlich der Vollständigkeit oder Richtigkeit der hierin enthaltenen Informationen.