Im Gesundheitswesen setzen viele Organisationen Cloud-Dienste ein, um den Zugang zu medizinischen Daten zu verbessern. Ein führendes Universitätsklinikum konnte durch die Umstellung auf die Cloud Terabytes geschützter medizinischer Informationen (PHI) für seine mehr als 40.000 Mitarbeiter - von Ärzten bis hin zu Forschern - zugänglich machen. Eine solide Cloud-Grundlage ist zwar ein Schlüsselelement der digitalen Transformation, kann aber auch zu Datenschutzverletzungen führen, wenn Sie ohne angemessene Kontrollen migrieren.
Dieses Krankenhaus gehört regelmäßig zu den 10 besten Krankenhäusern in den Vereinigten Staaten. Im Jahr 2020 gab es mehr als 2,3 Millionen ambulante Patientenbesuche und mehr als 42.000 Entlassungen, was bedeutet, dass das Krankenhaus jeden Tag große Mengen an PHI generiert. Da es sich dabei um sensible Daten handelt, muss das Krankenhaus den Health Insurance Portability and Accountability Act (HIPAA) einhalten, eine Bundesvorschrift, die den Datenschutz und die Sicherheit von Gesundheitsdaten regelt. Laut dem stellvertretenden Direktor für IT-Unternehmensanwendungen des Krankenhauses "geht es darum, den Verlust von PHI-Daten zu verhindern".
Das Klinikum wandte sich an Lookout, um seine zunehmende Abhängigkeit von Cloud-Diensten zu sichern. Nach einer anfänglichen Mischung aus lokalen und Cloud-Lösungen wurde die Herausforderung, alle Daten bei der Umstellung auf eine vollständige Cloud-Nutzung vorschriftsmäßig zu schützen, noch größer.
Sicherung der Hybrid Cloud
Das IT-Team des Krankenhauses begann seine Cloud-Migration im Jahr 2013 mit der Bereitstellung von Box-Cloud-Storage zur Ergänzung des lokalen IT-Betriebs. Die erste App unterstützte den gemeinsamen Zugriff auf einen unternehmensweiten Master-Patientenindex.
Diese Mischung aus lokalen und öffentlichen Cloud-Diensten bot Flexibilität, Kosteneinsparungen, Skalierbarkeit und verbesserte Leistung. Wie bei jeder Änderung der Unternehmensinfrastruktur musste jedoch auch bei der Einführung eines hybriden Cloud-Modells geprüft werden, welche Sicherheitspraktiken bereits vorhanden sind und wie sie möglicherweise angepasst werden müssen. Das Hauptanliegen des Krankenhauses bestand darin, sicherzustellen, dass die PHI-Daten in einer Umgebung, in der sie problemlos zwischen privaten und öffentlichen Clouds ausgetauscht werden konnten, weiterhin den HIPAA-Vorschriften entsprachen.
Das IT-Team arbeitete zunächst mit Lookout zusammen, um die Box-Bereitstellung zu sichern. Lookout Secure Cloud Access wurde implementiert, um sicheren Zugriff, Transparenz und Datenschutz für Box zu gewährleisten. Mit den integrierten EDRM-Funktionen (Enterprise Digital Rights Management), der User and Entity Behavior Analysis (UEBA) und der flexiblen Integration in die vorhandene DLP-Lösung (Data Loss Prevention) konnte das Krankenhaus darauf vertrauen, dass PHI sicher ist und alle geltenden Vorschriften eingehalten werden.
2020 war das Klinikum aufgrund der Pandemie gezwungen, seine Cloud-Präsenz mit drei neuen Cloud-Diensten weiter auszubauen: Microsoft SharePoint für die webbasierte Zusammenarbeit, Microsoft OneDrive für das Filehosting und Microsoft Teams für die Geschäftskommunikation. Da der sichere Cloud-Zugang für Box bereits eingerichtet war, konnte das Krankenhaus seine bestehenden Compliance- und Datenschutzrichtlinien einfach auf SharePoint, OneDrive und Teams übertragen und so sicherstellen, dass alle Daten unabhängig von ihrem Speicherort im Rahmen bewährter und überprüfter Richtlinien geschützt und konform waren.
Mit Lookout erhalten Unternehmen sicheren Zugriff und können konsistente Richtlinien durchsetzen, selbst in einer hybriden Umgebung, die sowohl lokale als auch Cloud-Dienste nutzt.
Alte und neue Tools verbinden
Während diese zusätzlichen Cloud-Dienste die Produktivität steigerten, indem sie den Zugriff auf Daten überall ermöglichten, stellte die Einbindung der Cloud-Daten in die bestehende DLP-Lösung des Krankenhauses eine weitere neue Herausforderung dar. Da manche Daten nicht mehr innerhalb der Netzwerkgrenzen gespeichert wurden, konnte die DLP-Hardware des Krankenhauses diese nicht mehr schützen. Das Krankenhaus benötigte eine Cloud-DLP-Lösung, die mithilfe von APIs tief in seine Cloud-Anwendungen integriert ist und Cloud-Daten bei der Erstellung, dem Hochladen und der Zusammenarbeit scannen und klassifizieren kann.
Die vorhandene lokale DLP-Lösung war jedoch bereits seit Jahren im Einsatz. Es wurde viel Aufwand betrieben, um DLP-Regeln und -Richtlinien anzupassen und zu konfigurieren, die Genauigkeit und Effektivität zu testen und sie weiter zu verfeinern, um Störungen und Fehlmeldungen zu vermeiden. Aufgrund der jahrelangen Validierung war der Kunde zuversichtlich, dass die Lösung sensible Daten schützen würde.
Darüber hinaus verfügte das IT-Team über einen eingebetteten Workflow, um die täglich anfallenden DLP-Vorfälle schnell weiterzuleiten und zu beheben. Die Möglichkeit, Lookout Cloud DLP zu integrieren und gleichzeitig die vorhandenen DLP-Funktionen und -Workflows zu nutzen, war eine Voraussetzung, um Kosten für die Behebung von Störungen zu senken und die Effektivität zu erhöhen.
Durch die Ausweitung der bestehenden DLP des Krankenhauses auf Cloud-Anwendungen mit unserer Cloud-DLP kann das Krankenhaus seine sensiblen Daten von praktisch überall aus erkennen, überwachen und schützen - lokal oder in der Cloud. Außerdem können sie bestehende DLP-Richtlinien und -Workflows nutzen, um fein abgestimmte Regeln und Geschäftslogik auf Cloud-Kontrollpunkte wie Box, SharePoint, OneDrive, Teams und andere auszuweiten. Mit dieser kombinierten Fähigkeit kann das IT-Team fortschrittliche Datenschutzmaßnahmen wie Verschlüsselung, Schwärzung und Informationsmaskierung auf Daten überall anwenden.
Die Integration mit den bestehenden DLP-Tools des Krankenhauses war jedoch nur ein Anfang. Die umfangreichen DLP-Funktionen der Lookout Cloud Security Platform ermöglichten es dem Krankenhaus, den Änderungen der Compliance- und Datenschutzbestimmungen voraus zu sein. Lookout setzt diese Richtlinien für jede Art von Daten in Box, OneDrive und SharePoint durch.
"Wir verwenden Lookout mit Exact Data Matching (EDM), um Informationen wie Sozialversicherungsnummern, Namen und Krankenaktennummern in unserem Master-Patientenindex zu markieren", so der IT-Leiter des Krankenhauses. "Unsere Richtlinien sind so eingestellt, dass Daten verschlüsselt gespeichert werden, externe Mitarbeiter und öffentliche Links entfernt werden und eine PDF-Datei mit einer Markierung eingefügt wird, die die Benutzer über die proaktive Verschlüsselung von Daten informiert."
Schutz von Daten im gesamten Unternehmen
In einem Forschungs- und Lehrkrankenhaus benötigen die Mitarbeiter häufig Fernzugriff auf sensible Daten, wenn sie vor Ort tätig sind. Dies bedeutet oft, dass PHI-Daten auf eine lokale Festplatte oder ein USB-Laufwerk heruntergeladen werden müssen.
In einer Welt elektronischer Datenübertragungen und dezentraler Geräte gibt es Dutzende von Möglichkeiten, wie die Sicherheit beeinträchtigt werden kann und zu einer Nichteinhaltung des HIPAA führt. HIPAA verlangt die Verschlüsselung von PHI, wenn die Daten im Ruhezustand sind, d.h. auf einer Festplatte, einem USB-Laufwerk oder einer anderen lokalen Ressource gespeichert sind. Um diese Anforderung zu erfüllen, setzt das Krankenhaus Lookout EDRM für die Verschlüsselung von Dateien und die Durchsetzung von Zugriffsrichtlinien ein. Nach der Verschlüsselung können Regeln auf ein Dokument angewendet werden, um bestimmte Aktivitäten zu erlauben oder zu verbieten.
EDRM ist auf die Datenschutzbedürfnisse des Unternehmens ausgerichtet, da die Benutzer mit internen und externen Beteiligten zusammenarbeiten und PHI austauschen. Es ermöglicht die sichere Erstellung, Anzeige, Änderung und Weitergabe von PHI und schützt sie gleichzeitig vor unbefugtem Zugriff, Verwendung und Weitergabe.
"Wir hatten Mitarbeiter, die international an Orten wie Uganda und Vietnam arbeiteten und Zugang zu sensiblen Daten benötigten, die unsere Kontrollbereiche verlassen hatten", so der IT-Direktor. "Das ist entscheidend für HIPAA Safe Harbor. Mit der fortschrittlichen Verschlüsselung von Lookout können wir garantieren, dass alle Daten, die unsere Kontrolle verlassen haben, verschlüsselt bleiben
Neue Möglichkeiten entdecken
Dieses renommierte Universitätsklinikum kann sich bei jedem Schritt der Migration in die Cloud darauf verlassen, dass sensible Daten sicher und HIPAA-konform bleiben. Wenn neue Anwendungsfälle auftauchen, wird Lookout dem IT-Team des Krankenhauses zur Seite stehen, um die Sicherheitsherausforderungen zu meistern.
"Wir erhalten ständig Antworten auf die Fragen, was jetzt möglich ist und was demnächst an Fähigkeiten hinzukommen wird", so der IT-Direktor. "Lookout hilft uns bei der sicheren Skalierung einer erfolgreichen Implementierung, und es fühlt sich wie eine Partnerschaft an."