Pharma und Cyberkriminalität

Cyberangriffe sind in der Pharmaindustrie keine Seltenheit. Laut dem 2020 Cost of a Data Breach Report von IBM und dem Ponemon Institute waren Pharma- und Biotech-Unternehmen von mehr Cyberangriffen betroffen als jede andere Branche, wobei 53 Prozent davon auf böswillige Aktivitäten zurückzuführen sind. Die Studie ergab, dass die durchschnittlichen Kosten eines Datenlecks in der pharmazeutischen Industrie bei 5,06 Millionen Dollar liegen, noch vor dem Gesundheitswesen, dem Energiesektor und dem Finanzsektor.

COVID-19 und die Dringlichkeit, Tests, Impfstoffe und Therapien zu entwickeln, haben die Branche noch stärker in das Fadenkreuz von Cyberkriminellen und staatlich geförderten Hackergruppen gerückt. Im Juli 2020 half das britische National Cyber Security Centre (NCSN) bei der Aufdeckung russischer Angriffe auf die Entwicklung von Coronavirus-Impfstoffen, während die US-Behörde für Cybersicherheit und Infrastruktursicherheit (CISA) im Oktober eine Warnung an alle Pharmaunternehmen und Forschungseinrichtungen herausgab, in der sie auf die Notwendigkeit hinwies, die IT-Sicherheit in der Branche zu verbessern. Im Dezember wurden mindestens sechs Pharmaunternehmen in den USA, dem Vereinigten Königreich und Südkorea, die an COVID-19-Behandlungen arbeiten, von nordkoreanischen Hackern angegriffen, wie das Wall Street Journal berichtet. Die Zunahme der Angriffe unterstreicht die Tatsache, dass Pharmaunternehmen äußerst lukratives geistiges Eigentum entwickeln und große Mengen an Patienten- und Gesundheitsdaten verarbeiten, was sie alle zu einem bevorzugten Ziel für Kriminelle macht, die Informationen kompromittieren, stehlen und ausnutzen wollen. Die größten Herausforderungen für all diese großen Organisationen werden durch mehrere Standorte und unterschiedlich komplexe Beziehungen innerhalb von Bereichen wie Krankenhäusern, Gesundheitsdienstleistern, Lieferanten, Händlern sowie Regierungen verschärft, die alle Online-Zugriff auf verschiedene Systeme und Daten benötigen, die durch Vorschriften kontrolliert werden.

Der Healthcare Data Risk Report 2021 des Cybersicherheitsunternehmens Varonis untersuchte den Zustand der Datensicherheit in Organisationen des Gesundheitswesens, darunter Krankenhäuser, Biotech- und Pharmaunternehmen. Dabei wurde eine Stichprobe der Datenrisikobewertungen für 58 Unternehmen - und insgesamt drei Milliarden Dateien - analysiert, um festzustellen, wie gefährdet die Daten sind. Dabei wurde festgestellt, dass fast 20 Prozent aller Dateien für jeden Mitarbeiter einsehbar sind und dass ein durchschnittliches Gesundheitsunternehmen 31.000 sensible Dateien hat, die für jeden zugänglich sind - darunter auch solche mit HIPAA-geschützten Informationen, Finanzdaten und geschützten Forschungsergebnissen. Das sind eine Menge Daten, die es in zwei Formen gibt. Strukturierte Daten sind die Art von Informationen, die in vielen herkömmlichen, aus Spalten und Zeilen bestehenden Datenbanken gespeichert werden können, z. B. in einer Kunden- oder Studiendatenbank, die Namen, Adressen und Telefonnummern enthält.

Unstrukturierte Daten sind alles andere, von E-Mail-Protokollen oder Chat-Protokollen bis hin zu Berichten und Präsentationen, Bildbibliotheken oder Videos. Tatsächlich sind etwa 80 Prozent der Daten unstrukturiert und viele davon sind sensible Informationen. Angesichts der Vorliebe der Industrie für Tabellenkalkulationen, die durch die Track-and-Trace-Probleme im Vereinigten Königreich unterstrichen wird, stellt dies ein besonderes Datensicherheitsproblem dar, da sie oft hochsensible Daten enthalten, aber nur unzureichend geschützt sind.

Zeit, sich auf die Daten zu konzentrieren

In jedem Unternehmen extrahieren die Mitarbeiter routinemäßig Informationen aus Datenbanken und Anwendungen für Berichte, Präsentationen und Adhoc-Datenanalysen. In der pharmazeutischen Welt, wo Forschung und Datenanalyse weit verbreitet sind, wird dies um ein Vielfaches vergrößert. Die extrahierten Daten werden an verschiedenen Orten gespeichert, von gemeinsamen Dateien bis hin zu lokalen Festplatten und Wechseldatenträgern, und die meisten Unternehmen werden zugeben, dass sie nicht wissen, wo sich all ihre Informationen befinden - ob sie nun sensibel sind oder nicht. Dies stellt eine große Herausforderung für den traditionellen Ansatz dar, nur die sensibelsten Daten streng zu schützen. Das mobile Arbeiten stellt eine zusätzliche Schwachstelle dar. Mitarbeiter, die von zu Hause aus arbeiten, sind zu attraktiven Zielen geworden, da die meisten Heimnetzwerke weniger gut geschützt sind als Unternehmensnetzwerke. Ist der Hacker erst einmal drin, hat er eine große Chance, auf den Firmenlaptop zuzugreifen, lokal gespeicherte Dokumente zu finden und dann in das Firmennetz einzudringen.

Traditionell haben wir versucht, alle Daten mit mehreren Sicherheitsebenen zu schützen, um den Zugriff zu verhindern, aber die unaufhörliche Flut von Schlagzeilen über erfolgreiche Cyberangriffe und Sicherheitsverletzungen beweist, dass dies nicht funktioniert. Und wie der Varonis-Bericht zeigt, ist jede beliebige Datei wahrscheinlich auch für Mitarbeiter zugänglich, die keinen Grund haben, diese Informationen zu sehen. Wenn wir also weder die Cyber-Kriminellen fernhalten noch den Menschen in unserer Umgebung vertrauen können, müssen wir die herkömmlichen Schutzmethoden überdenken und einen datenzentrierten Ansatz verfolgen, bei dem die Sicherheit in die Daten selbst eingebaut wird.

Eine vollständige Festplattenverschlüsselung schützt strukturierte und unstrukturierte Daten auf einer Festplatte/einem USB-Stick. Das ist zwar gut, wenn man seinen Laptop verliert, aber es nützt nichts, wenn die Daten vor unbefugtem Zugriff oder Diebstahl von einem laufenden System geschützt werden sollen. Die Daten müssen daher nicht nur im Speicher, sondern auch bei der Übertragung und bei der Nutzung vor Ort oder in der Cloud geschützt werden.

Dies ist jedoch keine leichte Aufgabe. In dem von IBM und Ponemon erstellten Bericht für das Jahr 2020 gaben 67 Prozent der Befragten an, dass die größte Herausforderung bei der Planung und Ausführung einer Datenverschlüsselungsstrategie darin besteht, herauszufinden, wo sich sensible Daten im Unternehmen befinden. Datenklassifizierungstechnologien werden häufig eingesetzt, um "wichtige" oder "sensible" Daten zu identifizieren, aber der Bericht ergab, dass 31 Prozent der Befragten die Klassifizierung der zu verschlüsselnden Daten als schwierig bezeichneten. Wo legen Sie also die "Wichtigkeitsgrenze" fest? Selbst scheinbar triviale Informationen können für Cyber-Kriminelle nützlich sein, die es verstehen, kleine Daten zu einem größeren Bild zusammenzufügen, zum Beispiel für einen Spear-Phishing-Angriff.

Ein universeller Ansatz

Warum ist es dann die akzeptierte Norm, nur die "wichtigsten", also "sensiblen" Daten zu verschlüsseln? Das Problem ist, dass die Verschlüsselung traditionell als komplex und kostspielig galt und die Leistung und Produktivität beeinträchtigte. Mit der fortgeschrittenen Technologie und den hohen Verarbeitungsgeschwindigkeiten kann nun eine nahtlose Datenverschlüsselung zum Schutz aller Daten - strukturierter und unstrukturierter - eingesetzt werden. Auf diese Weise wird die Klassifizierung für Datensicherheitszwecke irrelevant und gestohlene Informationen bleiben geschützt und für Cyber-Kriminelle nutzlos.

Ein universeller Ansatz zur Datenverschlüsselung vereinfacht die Datensicherheit. Die Regeln zur Verhinderung von Datenverlusten (Data Loss Prevention, DLP) können vereinfacht und auf spezifischere Datenverlustszenarien ausgerichtet werden; manuelle Datenklassifizierungsentscheidungen wirken sich nicht mehr auf die Sicherheit aus; und es spielt keine Rolle mehr, wo die Daten gespeichert werden - sie werden immer verschlüsselt sein.

Während die pharmazeutische Industrie mit COVID-19 erstaunliche Fortschritte machte, stiegen die bestätigten Datenmissbrauchsfälle im gleichen Zeitraum um unglaubliche 58 Prozent. Und so wie die Welt auf eine Pandemie völlig unzureichend vorbereitet war, so waren auch die Gesundheitsunternehmen auf diese Angriffe nicht vorbereitet. Indem wir uns aktiv dafür entscheiden, alle Daten zu verschlüsseln - unabhängig davon, ob sie gespeichert, übertragen oder verwendet werden -, schaffen wir endlich Sicherheit für das Einzige, was einen Wert hat: die Daten selbst.