APIs im Gesundheitswesen sicherer machen

Geschrieben von Filip Verloy, Technical Evangelist EMEA, Noname Security

Die Nachfrage nach Gesundheitsdiensten beschleunigt sich weiterhin rasant, was in den letzten zwei Jahren durch die Pandemie und die Folgewirkung verzögerter Operationen und Behandlungen noch verstärkt wurde, was allesamt den NHS herausfordert. Innovationen in der Gesundheitstechnologie und die Digitalisierung weltweiter Gesundheitsdienste werden als Mittel zur Bewältigung vieler dieser Herausforderungen angesehen. Folglich investiert die britische Regierung in den Ausbau von Fähigkeiten in Bereichen wie KI, maschinelles Lernen und im weiteren Sinne rund um die datengesteuerte Gesundheitsversorgung, um sie zugänglicher, erschwinglicher und nachhaltiger zu machen.

Angesichts der steigenden Erwartungen der Patienten an die Qualität und Sicherheit solcher Dienstleistungen und der immer komplexer werdenden Vorschriften, die eine strengere Überwachung erfordern, ist dies jedoch keine leichte Aufgabe.

Schutz sensibler Daten

Während die Digitalisierung von Diensten und der Austausch von Daten über Gesundheitssysteme hinweg der Weg in die Zukunft ist, sind personenbezogene Daten (PII) unglaublich sensibel, und wenn es um die Offenlegung von Gesundheitsakten geht, müssen diese Daten angemessen behandelt werden. Heute verfügen NHS Trusts über eine Vielzahl von medizinischen Systemen, die Informationen innerhalb von Krankenhäusern austauschen und sich mit externen Gesundheitsdienstleistern verbinden. Kombinieren Sie dies mit der Nachfrage nach persönlichen Geräten für Gesundheit und Wohlbefinden, bei denen die Bürger die Möglichkeit haben, Daten zu ihrem eigenen persönlichen Gesundheitsprofil hinzuzufügen, und Sie können sehen, wie das Wachstum von Gesundheitsdaten explodiert.

Die Zunahme von Gesundheits-Trackern, die Fitness, Schlafmuster, Herzfrequenz, Atmung sowie andere Vitalzeichen des Gesundheitszustands überwachen, hat jedoch zu einer fragmentierten Sicht auf Verbraucherdaten geführt. Darüber hinaus können erfasste Daten auf vielfältige Weise verwendet werden: privat; zu klinischen Datenbanken beizutragen; oder für die Recherche. Dies führt nicht nur zu zusätzlicher Komplexität bei der Datenaggregation, sondern auch bei der Art und Weise, wie auf Daten zugegriffen, gespeichert und gesichert wird.

Interoperabilität ist der Schlüssel und zum Schlagwort geworden, da die Branche die Versorgung von Patienten über eine große und wachsende Untergruppe von Akteuren koordiniert. Hier sind Anwendungsprogrammierschnittstellen (APIs) zu einer kritischen Komponente geworden, die es Systemen ermöglicht, miteinander zu kommunizieren und die Lücke bei der Nutzung von Informationen zu schließen. Die Philosophie ist, dass alle Systeme integriert sind, konform zusammenarbeiten und alle sensiblen Daten im Falle eines Verstoßes sicher sind.

Zu den Herausforderungen gehören benutzerdefinierte APIs und isolierte Technologien

Leider ist dies aufgrund einer Vielzahl technologischer Lücken nicht immer der Fall. Ebenso fehlt es branchenweit an Datenstandards und mehreren isolierten Technologien. Dies bedeutet, dass benutzerdefinierte APIs erstellt werden müssen, um die Anforderungen des Dienstes zu erfüllen, den es für jedes System bereitstellt, was zeitaufwändig ist, da die API-Verwaltung mühsam ist, wenn Systeme aktualisiert und ersetzt werden.

Infolgedessen nimmt die Anzahl und Komplexität von APIs weiter zu. Das Analystenhaus Gartner prognostiziert, dass APIs im Jahr 2022 zum häufigsten Angriffsvektor werden werden. Laut dem 2022 API Security Trends Report von 451 Research hatten 41 % der von den Umfrageteilnehmern vertretenen Organisationen in den letzten 12 Monaten einen API-Sicherheitsvorfall; 63 % von ihnen gaben an, dass es sich bei dem Vorfall um eine Datenschutzverletzung oder einen Datenverlust handelte.

Die gute Nachricht ist, dass es heute mehrere globale offene Gesundheitsstandards gibt; Health Level Seven (HL7®), Fast Healthcare Interoperability Resources (FHIR®) und Digital Imaging and Communications in Medicine (DICOM®). FHIR ist ein API-fokussierter Standard, der darstellt, wie Gesundheitsinformationen zwischen verschiedenen Systemen ausgetauscht werden können, unabhängig davon, wie sie in diesen Systemen gespeichert sind. HL7 ist eine Reihe internationaler Standards für die Übertragung klinischer und administrativer Daten zwischen Softwareanwendungen, die von verschiedenen Gesundheitsdienstleistern verwendet werden. DICOM ist der Standard für die Kommunikation und Verwaltung medizinischer Bildgebungsinformationen und zugehöriger Daten. Alle diese Standards tragen dazu bei, den Datenschutz und die Sicherheit innerhalb strenger Gesundheits- und Compliance-Grenzen zu gewährleisten.

Aktualisierungen von FHIR tragen dazu bei, die Interoperabilität mit Legacy-Systemen zu erleichtern

Die neueste Version von FHIR baut auf früheren Datenformatstandards von HL7 auf, ist jedoch einfacher zu implementieren, da sie eine moderne webbasierte Suite von API-Technologie verwendet. Eines seiner Ziele ist die Erleichterung der Interoperabilität zwischen älteren Gesundheitssystemen, um den Austausch von Gesundheitsinformationen über eine Vielzahl von Geräten zu erleichtern. Dadurch können Anwendungsentwickler von Drittanbietern medizinische Anwendungen bereitstellen, die einfach in bestehende Systeme integriert werden können.

Dies adressiert eine weitere wichtige Herausforderung in der gesamten Branche, bei der viele Unternehmen immer noch ältere Technologien verwenden, die nicht API-fähig sind. Es ist zwingend erforderlich, dass sich die Branche von nur lokal installierten Vor-Ort-Umgebungen zu einem Cloud-basierten Modell bewegt, bei dem die Gesundheitstechnologiebranche APIs ermöglichen kann. Öffentliche Cloud-Anbieter wie Google Cloud und Microsoft Azure ermöglichen es Gesundheitsorganisationen erfolgreich, Gesundheitslösungen schnell in der Cloud zu erstellen, die alte Arbeitsweise zu transformieren und einen einfachen und standardisierten Datenaustausch zwischen Anwendungen und Lösungen im Gesundheitswesen zu ermöglichen. Dies hat es ermöglicht, dass Daten, die in Legacy-Systemen gespeichert sind, von medizinischem Fachpersonal genutzt werden können. Es ermöglicht hochgradig skalierbare Entwicklungsumgebungen der Enterprise-Klasse für den sicheren Aufbau klinischer und analytischer Lösungen in der Cloud.

Allerdings wird der Übergang von On-Premises in die Cloud niemals den gesamten Gesundheitssektor betreffen. Es gibt viele strenge regulatorische Anforderungen, die bedeuten, dass PII-Daten auf bestimmten Systemen aufbewahrt werden müssen oder dass einige Altsysteme aus Kostengründen einfach nicht rentabel sind, um von lokalen Systemen zu migrieren.

API-Sicherheit ist zu einer Priorität geworden

Dies bedeutet, dass sich die API-Sicherheit zu einer Schlüsselpriorität für den Schutz lebenswichtiger Gesundheitssysteme entwickelt hat. Allerdings ist es auch ein Bereich, in dem es vielen Unternehmen an Know-how mangelt. API-Sicherheitstests im Gesundheitswesen sind eine Herausforderung, da Unternehmen bekanntlich in einem engen Raum und in einem stark regulierten Umfeld arbeiten müssen.

Das bedeutet, dass alles mit strengen Kontrollen gründlich getestet werden muss. Es müssen Fragen dazu gestellt werden, welche Daten offengelegt werden und was der Gesundheitsdienstleister mit den Daten vorhat. Natürlich hat der Anbieter mit der gleichen Art von technischen Herausforderungen zu kämpfen, mit denen jedes Unternehmen konfrontiert ist, aber die Auswirkungen sind aufgrund der Sensibilität der Daten, der damit verbundenen Bußgelder, aber vor allem der Auswirkungen, die dies auf die Gesundheit einer Person haben kann, viel schwerwiegender.

Das Verständnis des Anwendungsfalls für die API informiert das Testen

Da die Anforderungen an Gesundheitsdaten steigen, müssen Anbieter API-Sicherheit und Datenschutz priorisieren, um zu verhindern, dass Bedrohungsakteure APIs leicht manipulieren. Hier ist die Erkennung unerlässlich, und das Auffinden bestimmter Datentypen in API-Anforderungen und -Antworten ist entscheidend, um zu verstehen, welche Art von Daten übertragen werden, wie dies geschieht und ob der Prozess authentifiziert und sicher ist. Anbieter müssen auch verstehen, ob die entsprechenden API-Tests durchgeführt werden, da der Anwendungsfall für die API die Tests beeinflusst.

Organisationen im Gesundheitswesen müssen genaue API-Bestände führen und sicherstellen, dass eine Authentifizierung vorhanden ist. Inventare sollten weit über eine Anzahl von APIs hinausgehen und Sicherheitsmerkmale von APIs enthalten, insbesondere welche APIs sensible Daten zurückgeben. Sicherheitsteams sollten auch Tests in Systemen mit geschützten Gesundheitsinformationen (PHI) durchführen. Um effektiv zu sein, sollten solche Tests die Zusammenarbeit zwischen AppSec- und DevOps-Teams beinhalten und Testfunktionen so reibungslos wie möglich in Entwicklertools integrieren. Ebenso sollten Unternehmen das Patchen von Systemen schnell priorisieren, um eine Ausnutzung zu vermeiden.

Neue Fortschritte in der Gesundheitstechnologie werden mehr Datenpunkte antreiben

Die britische Regierung hat sich verpflichtet, bis 2030 48 neue Krankenhäuser zu bauen und den Wandel und neue Fortschritte in der Gesundheitstechnologie voranzutreiben. Interoperabilität, bei der alle Daten von einem Ort aus in Echtzeit zugänglich sind, ist von zentraler Bedeutung, um diese Transformationsziele zu erreichen und mehr Fakten pro Patient und Entscheidung zu liefern. Um dies in einen Kontext zu stellen: 1980 hatte eine medizinische Fachkraft etwa 10 Fakten pro Patient und Entscheidung, im Jahr 2020 stieg diese Zahl auf etwa 1.000 Fakten pro Patient und Entscheidung. APIs werden entscheidend sein, um die Interoperabilität bereitzustellen, die diese datengesteuerte Entscheidungsfindung vorantreiben wird, aber noch wichtiger ist, dass die API-Sicherheit der Schlüssel zum Schutz von Patientendaten sein wird.

Über den Autor des Beitrags

Mark Baker, Redakteur für britische Tech-News

Mark Baker ist der Herausgeber von UK Tech News und ein erfahrener Programmierer, Netzwerktechniker und IT-Support-Experte.

Mark verfügt über mehr als zehn Jahre Erfahrung in der Unterstützung von Unternehmen und Organisationen bei der Lösung von IT-Herausforderungen.

Um Mark zu kontaktieren, senden Sie bitte eine E-Mail an [email protected]