Sicherheitsmanagement-Software dient dem Schutz vertraulicher medizinischer Daten – insbesondere patientenbezogener Gesundheitsdaten – vor einer Vielzahl von Datensicherheitsbedrohungen, mit denen sich Dienstleister im Bereich Gesundheitsfürsorge und Krankenversicherung heute konfrontiert sehen. Dazu gehören u. a. der Verlust von Daten und die Verbreitung von Malware und Spyware. Allerdings erweisen sich der Schutz von Daten und die Verwaltung der Endpunktsicherheit durch die Remediation von Schwachstellen als zunehmend komplexe Aufgabe, denn die Mitarbeiter im Gesundheitswesen sind längst nicht mehr auf nur eine Workstation beschränkt. Parallel zur steigenden Mobilität des Personals und zum wachsenden Bedarf an einer immer schnelleren Frei- und Weitergabe von Daten gestalten sich Laptops und PCs zunehmend persönlich, werden mit immer mehr Anwendungen ohne geschäftlichen Bezug beladen und verlieren dadurch immer mehr an Sicherheit.

Endpunkte, die nicht mit den jeweils neuesten Patches ausgestattet sind sowie nicht verwaltete mobile Medien und Anwendungen sind der perfekte Ansatzpunkt für eine Offenlegung von Daten, die dann schnell in die falschen Hände geraten können, ob nun vorsätzlich oder versehentlich. Hier nur ein Beispiel: In Großbritannien wurden vertrauliche medizinische Daten auf einem USB-Memory-Stick gespeichert – dieser wurde dann neu verpackt und einem Immobilienmakler als neues Produkt verkauft. Nicht verwaltete Anwendungen und Rechner ohne die neuesten Patches können ohne Weiteres die Verbreitung von Spyware und Key-Loggern ermöglichen und dadurch die Integrität und Vertraulichkeit von Patientendaten gefährden.
 

Eine Sicherheitsmanagement-Software zur Gewährleistung der Konformität mit den HIPAA-Anforderungen (Health Insurance Portability and Accountability Act)

 

Der Health Insurance Portability and Accountability Act wurde 1996 verabschiedet und fordert den Schutz medizinischer Daten durch die Einrichtung von Transaktionsstandards für den Austausch von Gesundheitsinformationen sowie von Sicherheits- und Vertraulichkeitsstandards für die Verwendung und Weitergabe patientenbezogener Gesundheitsdaten, die eine Identifizierung der Patienten ermöglichen.

Für die Konformität mit den HIPAA-Anforderungen müssen Unternehmen Policies einrichten und konsequent umsetzen, durch die sich die Integrität und Verfügbarkeit vertraulicher elektronischer Daten gewährleisten lassen.

Die Sicherheitsmanagement-Software von Lumension unterstützt Einrichtungen des Gesundheitswesens im Hinblick auf die Konformität mit den HIPAA-Sicherheitsstandards durch die Implementierung angemessener administrativer, physischer und technischer Sicherheitsvorkehrungen für die Remediation der Schwachstellen und die Nutzung von Anwendungen und mobilen Geräten.

 

Die Sicherheitsmanagement-Software von Lumension unterstützt öffentliche und private Einrichtungen des Gesundheitswesens beim Schutz patientenbezogener Daten.

 

Die Sicherheitsmanagement-Software von Lumension gewährleistet die Vertraulichkeit elektronisch geschützter Gesundheitsdaten (ePHI – Electronic Protected Health Information) durch die Bereitstellung aller erforderlichen Kontrollfunktionen zur Verwaltung des ein- und abgehenden Datenflusses an den Netzwerkendpunkten sowie durch schnelles Patching und fristgerechte Remediation von Schwachstellen, die IT-Komponenten und sensible Daten einem unrechtmäßigen Gebrauch aussetzen könnten.

Über umfassende Scanvorgänge, die für alle Geräte und Endpunkte im Netzwerk ausgeführt werden, erhalten öffentliche und private Einrichtungen des Gesundheitswesens rechtsgültige Informationen zu ihrer IT-Umgebung. Gleichzeitig wird dadurch eine präzise Beurteilung aller vorhandenen Softwareschwachstellen und Konfigurationsprobleme sowie die Priorisierung der identifizierten Bedrohungen im Hinblick auf deren Remediation ermöglicht.

Die Lösungen von Lumension basieren auf einem grundlegend proaktiven Konzept und statten öffentliche und private Einrichtungen des Gesundheitswesens mit einem herausragenden Schutz- und Verteidigungsmechanismus gegen Datenbedrohungen aus, da angemessene Policies zur Anwendungs- und Gerätekontrolle konsequent umgesetzt werden. Das bedeutet, dass in Netzwerken und auf Servern, Terminal-Services-Servern, Thin Clients, Laptops und Desktops ausschließlich autorisierte Anwendungen ausgeführt und nur autorisierte Geräte verwendet werden können. Darüber hinaus werden Schutz und Integrität vertraulicher elektronisch geschützter Gesundheitsdaten (ePHI) gewährleistet, denn nur autorisierte Benutzer sind in der Lage, Daten auf mobile Medien zu kopieren, wobei auch eine Verschlüsselung als obligatorisch vorgegeben werden kann. Parallel dazu werden per Audit sämtliche Aktionen im Detail festgehalten.

Optimaler Schutz und bestmögliche Verteidigung, das bedeutet auch reaktionsschnelle und automatisierte Patch- und Remediation-Vorgänge, wenn softwarebezogene Schwachstellen und Konfigurationsprobleme vorliegen, sodass die Konformität der Endpunkte gewährleistet werden kann. Durch die Definition und konsequente Anwendung obligatorischer Basisrichtlinien gelingt es den Unternehmen, Sicherheitslücken zu schließen, noch bevor sie missbraucht werden können.

Die von der Sicherheitsmanagement-Software bereitgestellten detaillierten und aussagekräftigen Auditdaten unterstützen die öffentlichen und privaten Einrichtungen des Gesundheitswesens bei der Erbringung des Nachweises ihrer Konformität mit geltenden Regelungen, z. B. HIPAA.

 

Die Sicherheitsmanagement-Software von Lumension unterstützt öffentliche und private Einrichtungen des Gesundheitswesens bei folgenden Aufgaben:

 

  • Sicherstellung der Konformität mit den HIPAA-Anforderungen in Bezug auf den Schutz der Integrität und Vertraulichkeit von ePHI-Daten
    • Eliminierung des Risikos einer unrechtmäßigen bzw. unsachgemäßen Offenlegung von ePHI-Daten
    • Nachweis der Konformität mit den HIPAA-Anforderungen durch die Bereitstellung eines detaillierten Audit-Trails zu allen Versuchen der Gerätenutzung und Anwendungsausführung, durch die Aufzeichnung aller auf mobile Geräte bzw. von mobilen Geräten übertragenen Daten und durch die präzise Kontrolle auf Dateiebene derjenigen Daten, die auf ein Gerät kopiert werden dürfen.
    • Patching und Remediation von Schwachstellen, noch bevor diese für den unrechtmäßigen Zugriff auf ePHI-Daten missbraucht werden können.
    • Kontrolle und Überwachung des ein- und abgehenden ePHI-Datenflusses über mobile Medien und Geräte
    • Identifizierung einrichtungsspezifischer Sicherheitslücken in Bezug auf den Schutz von ePHI-Daten durch umfassende Auditing-Funktionen
  • Verhinderung der Ausführung von Malware an den Endpunkten
    • Schutz vor Einbrüchen in die Netzwerksicherheit und damit vor der Offenlegung und dem Missbrauch von ePHI-Daten
    • Gewährleistung der Übermittlung, Integrität, Vertraulichkeit und Bewahrung von ePHI-Daten ohne Störung, Beschädigung oder Verlust
  • Verbesserung der IT-Systemleistung
    • Verhinderung einer Belastung der Netzwerkbandbreite durch unerwünschte Anwendungen und Geräte
    • Zulassung schnellerer Rechenressourcen im Netzwerk, auf Laptops und auf PCs
    • Bewahrung der ursprünglichen PC-Leistungen durch stabile Konfigurationen
  • Reduzierung der TCO für die Endpunktsicherheit
    • Minimierung der Reaktionszeiten im Fall von Sicherheits- oder HIPAA-Konformitätskrisen
    • Remediation von Schwachstellen in kürzester Zeit und unter Rückgriff auf ein Minimum an Ressourcen
  • Steigerung der Endbenutzerproduktivität
    • Blockierung unerwünschter, außergeschäftlicher Anwendungen
    • Lückenlose Anwendung angemessener Richtlinien zur Gewährleistung des erwarteten Endpunktbetriebs
  • Konsequente Umsetzung der Softwarelizenzkonformität in der gesamten Unternehmensstruktur