ممارسات ومقاطع فيديو حول الأمن السيبراني في قطاع الصحة

نشجع جميع أنظمة الرعاية الصحية بشدة على اعتماد هذه السلسلة في برامج التدريب الخاصة بك؛ مجموعات الصناعة والجمعيات المهنية، يرجى تشجيع أعضائك على القيام بنفس الشيء؛ وشركات التكنولوجيا الطبية والصيدلانية والدافعين وتكنولوجيا المعلومات الصحية والخدمات، يرجى النظر في توسيع هذه السلسلة لعملائك وعملائك كمكمل لدعمك.

تستفيد أغلب الممارسات الصغيرة من مقدمي خدمات البريد الإلكتروني الخارجيين، بدلاً من إنشاء بنية أساسية مخصصة للبريد الإلكتروني الداخلي. يتم تقديم ممارسات حماية البريد الإلكتروني في هذا القسم في ثلاثة أجزاء:

1. تكوين نظام البريد الإلكتروني: المكونات والقدرات التي ينبغي تضمينها في نظام البريد الإلكتروني الخاص بك
2. التعليم: كيفية زيادة فهم الموظفين ووعيهم بطرق حماية مؤسستك من الهجمات الإلكترونية القائمة على البريد الإلكتروني مثل التصيد الاحتيالي وبرامج الفدية
3. محاكاة التصيد الاحتيالي: طرق لتزويد الموظفين بالتدريب والتوعية بشأن رسائل التصيد الاحتيالي عبر البريد الإلكتروني

يجب حماية جميع نقاط النهاية في المؤسسات الصغيرة. ولكن ما هي نقاط النهاية؟ وما الذي يمكن أن تفعله مؤسسة الرعاية الصحية الصغيرة لحماية نقاط النهاية الخاصة بها؟

يتواجد هنا الدكتور ديفيد ويليس والدكتورة كندرا سيلر من منظمة تحليل ومشاركة معلومات الصحة السكانية في مركز كينيدي للفضاء لمناقشة ما يجب عليك فعله لتقليل فرص اختراق هجوم إلكتروني لنقاط النهاية الخاصة بك.

في هذا القسم، سنناقش مجال ممارسة الأمن السيبراني رقم 3 - إدارة الوصول لمنظمات الرعاية الصحية الصغيرة.

سيتم تنظيم هذه المناقشة في ثلاثة أقسام:

1. ما هي إدارة الوصول؟
2. لماذا هو مهم؟
3. كيف يمكن لـ HICP أو "hiccup" أن يساعد في تحسين إدارة الوصول لمنظمات الرعاية الصحية الصغيرة؟

يعرّف المعهد الوطني للمعايير والتكنولوجيا، أو NIST باختصار، خرق البيانات بأنه "حادث يتضمن نسخ معلومات حساسة أو محمية أو سرية أو إرسالها أو عرضها أو سرقتها أو استخدامها من قبل فرد غير مصرح له للقيام بذلك".

تتضمن البيانات الحساسة أو المحمية أو السرية معلومات صحية محمية (PHI)، وأرقام بطاقات الائتمان، ومعلومات شخصية عن العملاء والموظفين، والملكية الفكرية والأسرار التجارية لمنظمتك.

ما هي تكنولوجيا المعلومات أو أجهزة تكنولوجيا المعلومات الموجودة في مؤسستك؟ هل تعلم عدد أجهزة الكمبيوتر المحمولة؟ والأجهزة المحمولة؟ ومفاتيح الشبكة الموجودة في جميع مواقعك؟ وأيها تعمل بنظام التشغيل Windows أو IOS من Apple أو أحد أنظمة التشغيل العديدة التي تعمل بنظام Android؟ إذا لم يكن الجهاز متصلاً بالحائط أو المكتب، فمن المسؤول عن كل جهاز؟

توفر الشبكات الاتصال الذي يسمح لمحطات العمل والأجهزة الطبية والتطبيقات والبنية الأساسية الأخرى بالتواصل. ويمكن أن تتخذ الشبكات شكل اتصالات سلكية أو لاسلكية. وبغض النظر عن الشكل، يمكن استخدام نفس الآلية التي تعزز الاتصال لإطلاق أو نشر هجوم إلكتروني. 

تضمن النظافة الأمنية السيبرانية المناسبة أن الشبكات آمنة وأن جميع الأجهزة المتصلة بالشبكة يمكنها الوصول إلى الشبكات بأمان. حتى إذا تم توفير إدارة الشبكة من قبل جهة خارجية، فيجب على المؤسسات أن تفهم الجوانب الرئيسية لإدارة الشبكة المناسبة وأن تتأكد من تضمينها في العقود الخاصة بهذه الخدمات.

إدارة الثغرات الأمنية هي ممارسة مستمرة لتحديد وتصنيف وتحديد أولويات وإصلاح الثغرات الأمنية في البرامج والتخفيف من حدتها. تتطلب العديد من أطر الامتثال لأمن المعلومات والتدقيق وإدارة المخاطر من المؤسسات الحفاظ على برنامج لإدارة الثغرات الأمنية.

الاستجابة للحوادث هي القدرة على تحديد حركة المرور المشبوهة أو الهجمات الإلكترونية على شبكتك وعزلها ومعالجتها من أجل منع خرق البيانات أو إتلافها أو فقدها. وعادةً ما يشار إلى الاستجابة للحوادث على أنها "الحظر والمعالجة" القياسيين لأمن المعلومات. تحدث العديد من أنواع حوادث الأمن بشكل منتظم عبر المؤسسات من جميع الأحجام. في الواقع، تتعرض معظم الشبكات لهجوم مستمر من جهات خارجية.

تستخدم أنظمة الرعاية الصحية العديد من الأجهزة المختلفة كجزء من العلاج الروتيني للمرضى. وتتراوح هذه الأجهزة من أنظمة التصوير إلى الأجهزة التي تتصل مباشرة بالمريض لأغراض التشخيص أو العلاج. وقد تكون لهذه الأجهزة تطبيقات مباشرة، مثل أجهزة مراقبة السرير التي تراقب العلامات الحيوية، أو قد تكون أكثر تعقيدًا، مثل مضخات التسريب التي تقدم علاجات متخصصة وتتطلب تحديثات مستمرة لمكتبة الأدوية. تؤثر هذه الأجهزة المعقدة والمترابطة على سلامة المريض ورفاهته وخصوصيته، وتمثل ناقلات هجوم محتملة في البصمة الرقمية للمنظمات. وعلى هذا النحو، يجب أن تتضمن هذه الأجهزة ضوابط أمنية في تصميمها وتكوينها لدعم نشرها بطريقة آمنة.

ممارسة الأمن السيبراني رقم 10: تتضمن سياسات الأمن السيبراني أفضل الممارسات التي تعد وثيقة محددة لتنفيذ سياسات وإجراءات الأمن السيبراني في مؤسستك للرعاية الصحية.