BLOG

Die astronomischen Kosten einer unzureichenden Absicherung digitaler Benutzererfahrungen im Gesundheitswesen

Lane Williams Miniaturbild
Lane Williams
Veröffentlicht am 10. Mai 2022

Auf die Frage, warum er es auf Banken abgesehen habe, antwortete Bankräuber Willie Sutton nur: „ Weil dort das Geld ist .“

Wenn der berüchtigte Willie Sutton, der dies in den 1930er Jahren sagte, heute noch am Leben wäre und eine moderne Sicht auf Hochzinskriminalität hätte, könnten wir ihn fragen: „Warum starten Sie Cyberangriffe auf Gesundheitsunternehmen?“

Der Grund dafür ist klar. Die durchschnittlichen Kosten einer Datenschutzverletzung belaufen sich branchenübergreifend auf 4,24 Millionen US-Dollar pro Vorfall. Im Gesundheitswesen steigen die Kosten pro Datenschutzverletzung auf 9,23 Millionen US-Dollar (im Jahr 2021 waren es noch 7,13 Millionen US-Dollar), was bedeutet, dass das Gesundheitswesen von allen Branchen, darunter der Finanz-, Pharma-, Technologie- und Energiebranche, die höchsten Kosten durch Datenschutzverletzungen verursacht. 

Warum ist eine Verletzung des Gesundheitsdatenschutzes kostspieliger? Unternehmen im Gesundheitswesen verfügen über drei für böswillige Akteure attraktive Informationen: personenbezogene Daten (PII), geschützte Gesundheitsdaten (PHI) und Finanzdaten. 

Laut dem IBM „ Cost of a Data Breach Report 2021 “ betragen die durchschnittlichen Kosten verlorener personenbezogener Kundendaten 180 US-Dollar pro Datensatz. Darin heißt es außerdem, dass kompromittierte Anmeldeinformationen mit 20 % aller Angriffe der beliebteste erste Angriffsvektor sind. Kombinieren Sie diese Zahlen mit den USA Ministerium für Gesundheit und Soziale Dienste (HHS)-Bericht, der zeigt, dass im Jahr 2021 unglaubliche 39.630.191 Konten aufgrund von „Hacking/IT-Vorfällen“ gehackt wurden. Wenn wir davon ausgehen, dass 20 % von über 39 Millionen Konten im Jahr 2021 aufgrund kompromittierter Anmeldeinformationen gehackt wurden und die Kosten bei 180 US-Dollar pro Konto liegen, belaufen sich die Kosten auf über 1,4 Milliarden US-Dollar.

Die Entwicklung von Straftaten bei Verstößen gegen den Datenschutz im Gesundheitswesen

Das obige Diagramm zeigt den Anstieg der vom HHS gemeldeten Datenschutzverletzungen von Februar 2021 bis März 2022. 

Wenn es zu einem Datenleck kommt, versuchen Kriminelle über das Darknet, die kompromittierten Anmeldeinformationen zu kaufen. Böse Akteure konsolidieren Datenlecks in größeren Sammlungen, sogenannten „Combolisten“, sodass Angreifer eine viel größere Liste kompromittierter Anmeldeinformationen kaufen können. „ Collection #I “ ist seit 2019 im Handel und enthält 773 Millionen einzigartige E-Mail-Adressen mit dazugehörigen Passwörtern.

Bei einem Credential-Stuffing-Angriff kaufen böswillige Akteure diese Sammlungen kompromittierter Anmeldeinformationen und versuchen dann wiederholt, die Anmeldeseite auf vielen verschiedenen Websites zu „stopfen“. Bei Erfolg übernimmt der Angreifer das Konto und nutzt es für betrügerische Zwecke. Die Erfolgsrate eines Credential-Stuffing-Angriffs liegt typischerweise bei 1 bis 2 Prozent. Wenn sie eine Million kompromittierte Anmeldeinformationen testen, können böswillige Akteure typischerweise auf 10.000 bis 20.000 Konten zugreifen. Ein Credential-Stuffing-Angriff ist erfolgreich, weil Leute dazu neigen, Passwörter für viele Konten wiederzuverwenden und wiederzuverwenden . Die im Darknet verfügbaren Passwörter sind daher für viele Apps allgegenwärtig.

Auch im Gesundheitswesen ist zu beobachten, dass bösartige Bots immer mehr Inhalte abgreifen. Konkret sammeln Bots Informationen zu Krankenversicherungsplänen, Leistungserklärungen und Ärztelisten innerhalb von Anbieternetzwerken. Informationen zu Krankenversicherungsplänen und EOB können von der Konkurrenz genutzt werden, um niedrigere Preise und Wettbewerbsinformationen anzubieten. Arztinformationen können für Phishing-Kampagnen verwendet werden, um Zahlungen und andere PHI von Patienten zu erpressen.

Angriffen zuvorkommen

Wie lässt sich das Risiko von Datendiebstählen und Credential-Stuffing-Angriffen am besten verringern? Darauf gibt es keine einheitliche Antwort. Ein guter Anfang wäre jedoch die Einführung einer Zero-Trust-Architektur und die Identifizierung böswilliger Akteure, die Ihre Webanwendungen missbrauchen.

Eine Zero-Trust-Architektur eliminiert die Idee eines vertrauenswürdigen Netzwerks innerhalb eines definierten Perimeter. Mit anderen Worten handelt es sich um ein Sicherheitsmodell, bei dem der Schwerpunkt auf der Überprüfung jedes Benutzers und jedes Geräts innerhalb und außerhalb der Grenzen einer Organisation liegt, bevor Zugriff gewährt wird. Der Zero-Trust-Ansatz konzentriert sich in erster Linie auf den Schutz von Daten und Diensten, kann jedoch auf sämtliche Unternehmenswerte ausgeweitet werden.

Bei unseren Bemühungen rund um Zero Trust stützt sich F5 stark auf die NIST Special Publication 800-207 Zero Trust Architecture , da diese branchenspezifische allgemeine Bereitstellungsmodelle und Anwendungsfälle bereitstellt, bei denen Zero Trust die allgemeine Informationstechnologie-Sicherheitslage eines Unternehmens verbessern kann. Das Architekturdokument beschreibt Zero Trust für Unternehmenssicherheitsarchitekten und erleichtert das Verständnis von Zero Trust für nicht klassifizierte zivile Systeme. Darüber hinaus bietet es einen Fahrplan für die Migration und Bereitstellung von Zero-Trust-Sicherheitskonzepten in einer Unternehmensumgebung.

 

Lösungen zur Bekämpfung der Cyberkriminalität im Gesundheitswesen

F5 Distributed Cloud Bot Defense und Distributed Cloud Account Protection schützen Websites vor Missbrauch durch böswillige Akteure. Alle Credential-Stuffing-Angriffe, die wir zuvor erwähnt haben? Sie stammen alle von bösartigen, automatisierten Bots. Herkömmliche Abwehrmaßnahmen wie CAPTCHA und Geofencing können von heutigen Cyberkriminellen problemlos umgangen werden. Es gibt sogar kostenpflichtige Dienste, die es böswilligen Akteuren ermöglichen, jede Art von CAPTCHA zu überwinden. Eine dieser Websites, 2captcha.com, bietet eine API, mit der böswillige Akteure Ihre Schutzmaßnahmen programmgesteuert umgehen können. 2Captcha löst normale Captchas, Text-Captchas, ClickCaptchas, Rotate Captchas, reCAPTCHA V2 & V3, reCAPTCHA Enterprise, FunCaptcha, TikTok Captcha und mehr.

Distributed Cloud Bot Defense schützt Anwendungserlebnisse, Webeigenschaften, mobile Apps und API-Endpunkttransaktionen vor ausgeklügelten Bot-Angriffen, indem es auf intelligente Weise eine große Anzahl von JavaScript- und HTTP-Netzwerkschichtsignalen sowie Telemetriedaten von jeder Client-Transaktion sammelt, ohne den Datenverkehr über einen Proxy-Server umzuleiten. Die Plattform identifiziert bösartiges Bot-Automatisierungsverhalten durch die Anwendung mehrerer Ebenen maschineller Lernintelligenz. Das System überwacht, kennzeichnet, erkennt und identifiziert umgerüstete Angriffe und wehrt automatisierte Angriffe in Echtzeit ab.

Angesichts der enormen Geldmengen, die im US-amerikanischen und weltweiten Gesundheitssektor fließen, machen böse Akteure auch vor der Automatisierung nicht halt. Wenn Sie die Automatisierung durch böswillige Akteure eindämmen können, werden diese zu manuellen Angriffen übergehen. Distributed Cloud Account Protection hilft Unternehmen dabei, die Absichten der Besucher zu erkennen. Distributed Cloud Account Protection wertet jede Online-Transaktion anhand einer Reihe von Telemetrie-, Umgebungs- und verhaltensbezogenen biometrischen Daten aus. Dies beginnt mit dem ersten Aufrufen einer geschützten Web- oder Mobilanwendung durch einen Besucher, geht über die Kontoerstellung oder Anmeldung hinaus und durch alle Aspekte der Benutzerreise. 

Distributed Cloud Account Protection kann sogar den Kontext zwischen verschiedenen Browsern und Geräten desselben Benutzers verbinden und Erkenntnisse aus seinem globalen Netzwerk von Organisationen nutzen, um die Absichten des Benutzers genau zu bestimmen. Der verteilte Cloud-Kontoschutz kann entweder als Closed-Loop-Modell genutzt werden, das von einer KI-Betrugs-Engine angetrieben wird, die einen High-Fidelity-Score zur Erfassung der Absichten der Besucher liefert, oder Unternehmen können Kontoschutzdaten in ihre eigene Risiko-Engine einspeisen und sie mit anderen Betrugsdatenpunkten kombinieren.

Die Kosten von Datenschutzverletzungen und Credential-Stuffing-Angriffen steigen im Gesundheitswesen stetig an. Warum? Geld – und zwar eine Menge. Unternehmen können dieses Risiko mindern, indem sie Zero-Trust-Architekturen einführen und Credential-Stuffing-Angriffe mithilfe von F5 Distributed Cloud Bot Defense und Account Protection stoppen.