Cyberangriffe, größere Computerausfälle, Feuer, Überschwemmungen, Personalmangel...
In einem Krankenhaus oder einer Gesundheitsorganisation, jede Betriebsunterbrechung hat direkte Auswirkungen auf die Sicherheit von Patienten und Nutzern.
Genau dazu dienen die PCA (Business Continuity Plan) und das PRA (Disaster Recovery Plan): Ermöglicht es der Struktur weiterhin pflegen und begleiten, Auch in schweren Krisensituationen.
1. BCP / PRA: Was genau ist damit gemeint?
Der BCP: Im Sturm das Ruder in der Hand halten
Eine Business Continuity Plan (BCP) ist ein Strategiepapier die beschreibt, wie eine Einrichtung ihre Kernaufgaben während einer schweren Krise (Cyberangriff, Stromausfall, Überschwemmung, Pandemie usw.) aufrechterhält.
Es geht darum, die lebenswichtige Aktivitäten (Notaufnahme, Unterkunft, Apotheke, Patientenakte, Gehaltsabrechnung usw.) und planen die Notfallressourcen (Räumlichkeiten, IS, Papierverfahren, personelle Verstärkung...).
Im Gesundheitswesen ist der PCA ist nicht auf Computer beschränkt, und kann in den weißen Plan integriert werden, um Personal, Gebäude, Lieferanten, Logistik usw. abzudecken.
Die PRA: Nach dem Schock neu starten
Die Disaster Recovery Plan (DRP) ergänzt den PCA: Er beschreibt wie man etwas wieder in Gang bringt, das gestoppt wurde, Die meisten Menschen sind in der Lage, ihr Leben zu ändern, insbesondere ihre Informationssysteme.
Die CNIL erinnert daran: Die Wiederaufnahme der Tätigkeit umfasst alle Maßnahmen, die erforderlich sind, um ein nach einem Vorfall stillgelegtes System wieder in Gang zu bringen.
Konkret heißt es in der PRA zum Beispiel:
- in welcher Reihenfolge die Anwendungen (Patientenakte, Bildgebung, HR usw.) neu gestartet werden sollen,
- aus welchen Backups,
- mit welchen Zielzeiten (RTO, RPO),
Im öffentlichen Sektor wie auch im Gesundheitswesen empfehlen die nationalen Leitfäden übrigens, Folgendes zu bedenken BCP + PRA zusammen, Die meisten von ihnen sind in der Lage, die PCRA (Plan de Continuité et de Reprise d'Activité).
2. Warum ist es für Krankenhäuser und Gesundheitsverbände von entscheidender Bedeutung?
Kontinuität der Versorgung und Schutz gefährdeter Personen
Ein gut durchdachter BCP/PRA dient vor allem dazu die Kontinuität der Pflege und Betreuung zu gewährleisten, selbst inmitten einer Krise. Für ein Krankenhaus oder einen Gesundheitsverband bedeutet dies, die Unterbrechungen der Versorgung so gering wie möglich zu halten: die Schließung ganzer Abteilungen vermeiden, die Überwachung gebrechlicher Patienten aufrechterhalten, die Verteilung der Behandlungen gewährleisten, den Empfang und die Sicherheit der Bewohner aufrechterhalten.
Sehr konkrete Bedrohungen, insbesondere aus dem Cyberspace
Ein Cyberangriff kann heute ein ganzes Krankenhaus IS lahmlegen und sensible Gesundheitsdaten offenlegen.
Ohne BCP/PRA sind die Teams ohne klare Anweisungen, Entscheidungen werden unter Zeitdruck getroffen und das Risiko von medizinischen Fehlern, Informationsverlust oder organisatorischem Chaos explodiert.
Mit einem im Vorfeld erarbeiteten BCP/PRA haben die Teams stattdessen einen spielbereites Szenario : Wer macht was, mit welchen Werkzeugen, in welcher Reihenfolge. Das Feedback zeigt, dass :
-
die Patienten profitieren von einer besseren Kontinuität der Versorgung,
-
die Daten durch bewährte Datensicherungen und Wiederherstellungsverfahren besser geschützt sind,
-
das Personal weiß, was zu tun ist, was Stress und Fehler in einer Krise reduziert.
Eine klare Erwartung der Behörden
Die Behörden (ANS, ANSSI, ARS) fordern nunmehr Formalisierte BCP und ARP, Die meisten von uns haben sich in den letzten Jahren mit dem Thema Cybersicherheit befasst, insbesondere durch die Funktion «Strategie für Geschäftskontinuität und Wiederherstellung» in Programmen zur Cybersicherheit wie CaRE.
Im Klartext: für eine Gesundheitseinrichtung, keine robusten PCA/PRAs zu haben, ist keine Option mehr - Dies ist eine Voraussetzung für den Schutz von Patienten, Teams und Daten.
3. Wie wird ein BCP / PRA in einem Pflegeheim umgesetzt?
Schritt 1 - Governance und Sponsoring setzen
Ein BCP/PRA darf nicht “ein Dokument der IT-Abteilung” sein. Er muss von der Direktion getragen und mit den Berufen ko-konstruiert.
Konkret identifiziert man einen Sponsor (Generaldirektion oder Vereinsleitung), wird ein PCA/PRA-Ausschuss in dem CIO, Pflegedirektion, medizinische Direktion, Qualität/Risikomanagement, Logistik, HR, CISO usw. zusammenkommen, und man ernennt einen Projektleiter klar.
Dieser Rahmen ermöglicht es, über Prioritäten, Budgets und technische Entscheidungen zu entscheiden, ohne dabei blockiert zu werden.
Schritt 2 - Ermittlung der lebenswichtigen Aktivitäten (Folgenabschätzung)
Ziel ist es, zwei einfache Fragen zu beantworten:
Welche Aktivitäten dürfen nie aufhören? (Notaufnahme, Operationssaal, geschützte Einheit, Bereitschaftsdienst, medizinische Hotline usw.).
Mit welchem Mindestservicelevel und wie viel akzeptabler Ausfallzeit?
Dazu führt man eine Wirkungsanalyse (BIA) : Kartierung der Kernprozesse, Ermittlung der Abhängigkeiten (Anwendungen, Räumlichkeiten, Dienstleister, Schlüsselpersonal) und Festlegung der Wiederherstellungsziele (RTO/RPO). Daraus ergibt sich der Kompass für den BCP/RA.
Schritt 3 - Arbeit an Krisenszenarien
Das PCA/PRA-Kit der NSA empfiehlt, mindestens Folgendes abzudecken vier große Szenarien :
Nichtverfügbarkeit von Humanressourcen (massive Fehlzeiten, Streik, Pandemie), Gebäuden (Feuer, Überschwemmung, technischer Schaden), Lieferanten (Medikamente, Verpflegung, Telefonie ...) und natürlich des Informationssystem(Cyberattacke, größerer Stromausfall).
Für jedes Szenario werden die konkreten Auswirkungen auf lebenswichtige Aktivitäten beschrieben: was wird unmöglich, was muss unbedingt aufrechterhalten werden, und auf welchem Niveau. Dies ermöglicht es, von den allgemeinen Aussagen wegzukommen und in die Realität einzusteigen.
Schritt 4 - Aufbau des BCP: Wie kann der Betrieb weitergehen?
Der PCA beantwortet eine einfache Frage: “Wie arbeitet man weiter, wenn alles schief läuft?”
Man sucht nach Lösungen für die Kontinuität realistisch, Es gibt eine Reihe von Maßnahmen, die manchmal unvollkommen, aber durchführbar sind: Umzug bestimmter Abteilungen an einen anderen Standort, papierbasierte Verfahren für die Verschreibung und Rückverfolgbarkeit, wenn das KIS nicht verfügbar ist, Pläne zur Verstärkung oder Umverteilung von Personal, Sicherheitsvorräte (Medikamente, Verbrauchsmaterial, Ausrüstung), Notfallkommunikationsmittel (Notfalltelefonie, Talkies, sichere externe Nachrichtenübermittlung...).
Diese Entscheidungen werden in einem lesbarer Plan, Die Broschüre enthält kurze Reflexionsbögen für jede Abteilung, aktuelle Kontaktlisten und Notrufnummern und einen Krisenlenkungsschema (Krisenstab, Rolle jedes Einzelnen, Häufigkeit der Punkte, Schlüsselentscheidungen).
Schritt 5 - Aufbau der PRA: Wie startet man sauber neu?
Der PRA-Teil befasst sich mit der Wiederaufnahme von Informationssystemen : welche Anwendungen zuerst neu gestartet werden, in welchem Zeitraum, aus welchen Sicherungskopien und mit welchen Vorsichtsmaßnahmen zur Vermeidung von neu infizieren das IS nach einem Cyberangriff.
Man definiert eine Strategie für tatsächlich getestete Sicherung, Es ist wichtig, dass Sie die Wiederherstellung der Daten mit Hilfe von detaillierten Wiederherstellungsverfahren und einer engen Koordination zwischen CIO, CISO, Dienstleistern, HDS-Hosts usw. durchführen. Die Idee dahinter ist, das “Wir dachten, es funktioniert” in dem Moment zu vermeiden, in dem alles zum Stillstand gekommen ist.
Schritt 6 - Testen, schulen, verbessern
Ein BCP/PRA, der in einem Aktenordner schlummert, schützt niemanden. Cybersicherheitsbehörden empfehlen Folgendes regelmäßig testen Pläne, insbesondere durch Übungen zum Krisenmanagement im Cyber-Szenario.
In der Praxis geschieht dies durch “Table-Top”-Übungen (an einem Tisch, zu einem fiktiven Szenario), technische Tests zur Umstellung/Wiederherstellung und dann systematische Rückmeldungen zu folgenden Punkten verbessern die Einrichtung. Eine mindestens jährliche Aktualisierung des BCP/PRA ermöglicht es, mit der Realität vor Ort Schritt zu halten.
4. Phishias Expertise: Ein PCA/PRA, der in der Cyberrealität des Gesundheitssektors verankert ist
Bei Phishia, Wir begleiten Krankenhäuser, GHTs und Gesundheitsverbände täglich bei der Umsetzung von betriebliche Cybersicherheit und die Widerstandsfähigkeit gegen Angriffe (Ransomware, Kompromittierung von Konten, gezieltes Phishing usw.).
Unsere Stärke : Ihre BCP/PRA ganz konkret mit Ihren realen digitalen Risiken verknüpfen, Sie sollten nicht nur ein weiteres theoretisches Dokument produzieren.
Was wir für Sie tun
Flash-Diagnose PCA/PRA & Cyber
Überprüfung Ihrer Pläne, Verfahren, Backups und Krisenorganisation, Ermittlung von Abweichungen von den ANS/ANSSI-Empfehlungen und dem CaRE-Programm, schnelle Kartierung kritischer Aktivitäten und ihrer digitalen Abhängigkeiten.Ko-Konstruktion des PCA/PRA mit Ihren Teams
Workshops mit Pflegepersonal, Direktionen und Unterstützungsfunktionen, Ausarbeitung realistischer Szenarien (Cyberangriff, der das KIS blockiert, Verlust eines Standorts, Ausfall eines Schlüssellieferanten ...), Erstellung von einfache Reflexkarten, Die meisten von ihnen sind in Stresssituationen einsetzbar.Integration in Ihre bestehende Cybersicherheit
Ausrichtung des Notfallwiederherstellungsplans an Ihren Strategien für Datensicherung, Netzwerksegmentierung, Desktop-Härtung und Überwachung, Integration der Pläne in Ihr Cyber-Krisenmanagement (SOC, CISO, Incident Response Provider).Tests & langfristiger Aufwuchs
Organisation von Krisenübungen (Table-Top, simulierte Cyberangriffe), Begleitung bei der regelmäßigen Aktualisierung der Pläne, Sensibilisierung der Teams durch simulierte Phishing-Kampagnen und pädagogische Module.
Das Ziel: An dem Tag, an dem die Krise eintritt, entdecken Ihre Teams die Verfahren nicht - sie wenden sie an.
5. Wie wäre es mit Ihrem BCP / PRA?
Ob Sie bei Null anfangen oder sich einen veralteten PCA/PRA aktualisieren, Es ist ein guter Zeitpunkt, um :
- prüfen, ob Ihre Pläne aktuelle Risiken (Cyber, Knappheit, Gesundheitskrisen) abdecken,
- sie zurückgeben konkret und verwertbar durch Ihre Teams,
- und sie mit den Anforderungen der französischen Behörden in Einklang bringen.
Sie möchten einen Blick von außen auf Ihren BCP/PRA werfen oder einen auf Ihr Krankenhaus oder Ihre Gesundheitsorganisation zugeschnittenen Ansatz aufbauen?
Wir können dies in einem unverbindlichen Austausch besprechen, um Ihre Herausforderungen zu verstehen und Ihnen eine maßgeschneiderte Begleitung anzubieten.
