Die Region Jämtland Härjedalen liegt mitten in Schweden und grenzt im Westen an Norwegen. Mit rund 127.000 Einwohnern ist sie eine der kleinsten der 21 schwedischen Verwaltungsbezirke. In Bezug auf die Fläche jedoch ist sie die drittgrößte. Das bedeutet, die Region ist dünn besiedelt – geprägt von großen Wäldern, Bergen und schönen Seen. Fast die Hälfte der Bevölkerung lebt in der einzigen größeren Stadt Östersund.

Die Region ist für die medizinische und zahnmedizinische Versorgung der Bürger in Jämtland Härjedalen zuständig. Die wichtigste medizinische Einrichtung ist das Östersund Hospital, das einzige Krankenhaus in der Region. Rund 3.000 Mitarbeiter arbeiten im regionalen Gesundheitssektor. Das Cambio COSMIC-System für elektronische Patientenakten ist eines der wichtigsten digitalen Tools, um die gesundheitsbezogenen Informationen aller Bürger zu speichern.

Da das Gesundheitswesen eine rasante digitale Transformation durchläuft und elektronische Patientenakten das Informationsrückgrat in Krankenhäusern bilden, steigt die Menge an sensiblen Daten. Gleichzeitig wächst die Zahl der Nutzer, die auf sensible Daten zugreifen, und die Krankenhäuser verlassen sich zunehmend auf vernetzte Geräte, Systeme und Anwendungen, um eine effiziente Versorgung zu gewährleisten.

Mit zunehmender Komplexität steigt auch das Risiko von Cyberangriffen, die unverzichtbare Dienste unterbrechen oder zu Sicherheitsverstößen und Verletzungen der Privatsphäre führen können. Die Region Jämtland Härjedalen legt für die Führung und Aufbewahrung von Patientenakten mit sensiblen und personenbezogenen Daten zu den 127.000 Bürgern hohe Standards an. Das schwedische Gesetz zum Schutz von Patientendaten (Swedish Patient Data Act) schützt die Integrität der Bürger und gestattet ausschließlich medizinischen Fachkräften, die in einer aktiven Beziehung zu einem Patienten stehen, den Zugang zu dessen Akten.

Es ist jedoch nicht tragbar, alle Unterlagen unter Verschluss zu halten und einen Zugriff nur nach dem Need-to-know-Prinzip (Erforderlichkeitsprinzip) zu gewähren, da nicht vorhersehbar ist, auf welche Unterlagen medizinisches Fachpersonal im Notfall zugreifen muss. Folglich müssen die Informationen auch für diejenigen zugänglich sein, die diese möglicherweise benötigen. Die Kontrolle durch Zugriffsprüfungen muss jedoch streng geregelt sein.

In vielen Fällen erfolgt ein unerwünschter Zugriff auf Patientenakten unbeabsichtigt, versehentlich oder aufgrund einer unsachgemäßen Nutzung der IT-Systeme. In Anbetracht dieser Tatsache ist die Entwicklung präventiver Maßnahmen zur verlässlichen Einhaltung der gesetzlichen Vorgaben von entscheidender Bedeutung. Deshalb ist es erforderlich, Audit-Daten über die Nutzung von Systemen für elektronische Patientenakten zu sammeln sowie Trends bei potenziellen Zugriffsverletzungen zu erkennen. Nur so lassen sich künftige Sicherheitsverstöße verhindern, das Benutzerverhalten beeinflussen, und Best Practices für die korrekte und effiziente Nutzung von Patientendaten etablieren.

Lars Christerson ist der Verantwortliche für Informationssicherheit in der Region Jämtland Härjedalen. Er leitet ein fünfköpfiges Team für Datensicherheit und Datenschutz, das auch für juristische Angelegenheiten zuständig ist. Das Team nutzt die Lösung LogPoint SIEM, um sicherheitsrelevante Daten in der gesamten Infrastruktur zu sammeln, zu aggregieren und zu analysieren. Hierzu zählen auch Domain-Controller, Web-Server und weitere kritische Komponenten des regionalen Netzwerks.

LogPoint SIEM sammelt, kategorisiert und analysiert Logdaten, um potenzielle Cybersecurity-Vorfälle und sicherheitsrelevante Events zu identifizieren. Basierend auf vordefinierten Regeln liefert die Lösung Warnmeldungen in Echtzeit und stellt dem Security-Team in regelmäßigen Abständen Sicherheitsinformationen in Dashboards oder Reports zur Verfügung.

„Mit LogPoint SIEM können wir die Ist-Situation unserer Infrastruktur kontinuierlich überwachen und erhalten Alerts, falls etwas Ungewöhnliches passiert. Darüber hinaus bietet die Lösung die erforderlichen Tools, um einen Vorfall zu untersuchen und festzustellen, ob es sich um ein technisches Problem, einen Anwenderfehler oder eine tatsächliche Sicherheitsverletzung handelt“, erklärt Lars Christerson.

Die Lösung LogPoint SIEM sammelt auch Logdaten in Audit-Trails aus dem COSMIC-System für elektronische Patientenakten zur weiteren Verarbeitung und Berichterstattung an die verantwortlichen Stellen im Gesundheitswesen. Hierfür nutzt Jämtland Härjedalen das Modul LogPoint Applied Analytics, um die Audit-Daten über den Zugriff auf Patientenakten für eine breitere, nicht-technische Gruppe von lokalen Administratoren verfügbar zu machen. So können sie den Zugriff auf Patientenakten überwachen, gezielte Suchvorgänge durchführen, Vorfälle bewerten und die Informationen nutzen, um das Benutzerverhalten zu verbessern und Best Practices für die Verwendung von Krankenakten zu entwickeln. Die Best Practices für vordefinierte Regeln und Dashboards für den Zugriff auf Patientenakten wurden in Zusammenarbeit mit der Region Värmland entwickelt, die ebenfalls ein LogPoint-Anwender ist.

„Wir arbeiten mit einem Mix aus Cluster-Sampling, vordefinierten Regeln für die Nichteinhaltung von Vorgaben sowie Dashboards mit aggregierten Ergebnissen. So erhalten wir einen klaren Überblick über die Zugriffsmuster. Die Möglichkeit, in bestimmten Fällen einen Drill-down durchzuführen, unterstützt uns dabei, Verstöße und Anomalien umfassender zu bewerten und das Nutzerverhalten besser zu verstehen. So können wir unsere Vorgehensweise optimieren und zur Weiterentwicklung von Best Practices für Plattformen im Gesundheitswesen beitragen. LogPoint Applied Analytics hat uns dabei geholfen, uns von der ‚Überwachung‘ der Benutzer in Richtung Qualitätsverbesserung zu entwickeln“, erläutert Lars Christerson.

„Dank der Nutzung von automatisierten Regeln für die Logdaten-Filterung können wir die Zahl der Fehlalarme bei potenziellen Sicherheitsverletzungen deutlich reduzieren. Mithilfe der Einstufung des Schweregrads lassen sich die sicherheitsrelevanten Events filtern und Fälle identifizieren und priorisieren, bei denen ein echter Verstoß festgestellt wurde. Das spart wertvolle Zeit.“

Mit der Lösung LogPoint SIEM und dem Modul LogPoint Applied Analytics kann die Region Jämtland Härjedalen ihre IT-Infrastruktur überwachen, die Einhaltung des schwedischen Gesetzes zum Schutz der Patientendaten gewährleisten, und den Bürgern einen schnellen und einfachen Zugang zu Informationen darüber bieten, wer auf ihre Akten zugegriffen hat. LogPoint ermöglicht eine schnelle Erkennung und Reaktion auf sicherheitsrelevante Vorfälle und trägt dazu bei, das Recht der Bürger auf Privatsphäre zu schützen.

„Da die Sicherheitsinformationen zuvor über mehrere Systeme hinweg verteilt waren und wir die Logdaten manuell durchsuchen mussten, war die Datenanalyse eine zeitaufwändige und mühsame Arbeit. Zudem geschah dies meist als Reaktion auf ein Problem und nicht proaktiv. Dies hat sich geändert, da LogPoint SIEM die Logdaten automatisch filtert, in Echtzeit analysiert, und uns auf Probleme aufmerksam macht, die unsere Aufmerksamkeit erfordern“, so Lars Christerson.

Der Sicherheitsverantwortliche ergänzt: „Dank der Nutzung von LogPoint Applied Analytics zur Automatisierung von Reports für bestimmte Zielgruppen können wir auf spezifische Bedürfnisse eingehen. Ein großartiges Beispiel hierfür sind Patienten, die eine Übersicht über die Zugriffe auf ihre Daten anfordern. Diese Informationen stehen den Bürgern heute über das öffentliche, digitale Self-Service-Portal 1177.se zur Verfügung, sodass sie mit ihrem Standard-Bank-ID-Log-in online auf ihre Informationen zugreifen können.“

Der Einsatz von LogPoint hat die Transparenz erhöht und den Zeitaufwand für die Protokollierung in der Region Jämtland Härjedalen verringert. Zudem ist geplant, weitere Logdaten-Quellen einzubinden, um einen noch detaillierteren Überblick über das Sicherheitsniveau im Netzwerk zu erhalten.

Lars Christerson gibt einen Ausblick: „Aktuell untersuchen wir das Potenzial des LogPoint UEBA-Moduls und des maschinellen Lernens. So könnten wir unsere Security-Toolbox um Verhaltensanalysen erweitern und die Sicherheit weiter erhöhen. Wir sind überzeugt davon, dass die Funktionen der LogPoint-Lösung für die Datenerfassung und die Analyse ein enormes Potenzial bieten, das zur Verbesserung der Patientensicherheit oder der Qualitätstests genutzt werden könnte. Das ist eine sehr spannende Perspektive.“