Přejít k hlavnímu obsahu

Praktiky a videa v oblasti kybernetické bezpečnosti ve zdravotnictví

Série videoškolení „Kybernetická bezpečnost pro lékaře“.

Série videoškolení „Kybernetická bezpečnost pro lékaře“ o celkové délce 47 minut mezi osmi videi vysvětluje jednoduchým, netechnickým jazykem, co lékaři a studenti lékařské profese potřebují pochopit o tom, jak mohou kybernetické útoky ovlivnit klinické operace a bezpečnost pacientů a jak přispějte svým dílem a pomozte udržet zdravotnická data, systémy a pacienty v bezpečí před kybernetickými hrozbami.

Série je dobrá na jednu kreditní hodinu CME/CEU. Použití těchto školicích videí může také splnit požadavky na dokumentaci podle pravidel CMS Emergency Připravenosti, Národní asociace požární ochrany a Společné komise pro analýzu zranitelnosti zařízení a analýzu rizik a školení.

O této sérii videí

Všem zdravotnickým systémům se důrazně doporučuje, aby tuto sérii přijaly do vašich školicích programů; průmyslové skupiny a profesní společnosti, povzbuďte své členy, aby udělali totéž; a lékařských, farmaceutických, plátců, zdravotních IT a společností služeb, zvažte prosím rozšíření této řady na vaše zákazníky a klienty jako doplněk vaší podpory.
Podívejte se na celou sérii videí
Iniciativa 405(d) Aligning Health Care Industry Security Practices, spolu s publikací Health Industry Cybersecurity Practices: Managing Threats and Protecting Pacienti (HICP), ke které se tato videa také vztahují, jsou ve spolupráci s Koordinační radou sektoru zdravotnictví a veřejného zdraví (HSCC).
Zjistěte více o iniciativě
Nové zprávy a tisk HSCC

Technický svazek 1:
Praktiky kybernetické bezpečnosti pro malé zdravotnické organizace

Stáhnout svazek 1 ve formátu PDF

#1 – Úvod a systémy ochrany e-mailu

Většina malých praxí využívá spíše outsourcované poskytovatele e-mailu třetích stran, než aby zřizovala vyhrazenou interní e-mailovou infrastrukturu. Postupy ochrany e-mailu v této části jsou uvedeny ve třech částech:

  1. Konfigurace e-mailového systému: součásti a schopnosti, které by měly být součástí vašeho e-mailového systému
  2. Vzdělávání: jak zvýšit porozumění a povědomí zaměstnanců o způsobech ochrany vaší organizace před e-mailovými kybernetickými útoky, jako je phishing a ransomware
  3. Simulace phishingu: způsoby, jak poskytnout zaměstnancům školení a povědomí o phishingových e-mailech

#2 – Endpoint Protection Systems

Všechny koncové body malé organizace musí být chráněny. Ale jaké jsou koncové body? A co může udělat malá zdravotnická organizace pro ochranu svých koncových bodů?

David Willis, MD a Kendra Siler, PhD z Organizace pro analýzu a sdílení zdravotních informací populace v Kennedyho vesmírném středisku jsou zde, aby diskutovali o tom, co byste měli dělat, abyste snížili pravděpodobnost, že kybernetický útok pronikne do vašich koncových bodů.

#3 – Správa přístupu

V této části budeme diskutovat o oblasti kybernetické bezpečnosti číslo 3 – Řízení přístupu pro malé zdravotnické organizace.

Tato diskuse bude rozdělena do tří sekcí:

  1. Co je správa přístupu?
  2. Proč je to důležité?
  3. Jak může HICP nebo „škytání“ pomoci zlepšit správu přístupu pro malé zdravotnické organizace?

#4 – Ochrana dat a prevence ztrát

Národní institut pro standardy a technologie, nebo zkráceně NIST, definuje porušení dat jako „incident, který zahrnuje zkopírování, přenos, prohlížení, odcizení nebo použití citlivých, chráněných nebo důvěrných informací osobou, která k tomu nemá oprávnění“.

Citlivá, chráněná nebo důvěrná data zahrnují chráněné zdravotní informace (PHI), čísla kreditních karet, osobní údaje zákazníků a zaměstnanců a duševní vlastnictví a obchodní tajemství vaší organizace.

#5 – Správa aktiv

Jaké informační technologie nebo IT zařízení máte ve své organizaci? Víte kolik je notebooků? mobilní zařízení? A síťové přepínače máte ve všech svých lokalitách? Které používají Windows nebo Apple IOS nebo jeden z několika operačních systémů Android? Pokud není připevněno ke zdi nebo stolu, kdo je zodpovědný za každé zařízení?

#6 – Správa sítě

Sítě poskytují konektivitu, která umožňuje pracovním stanicím, lékařským zařízením a dalším aplikacím a infrastruktuře komunikovat. Sítě mohou mít formu kabelového nebo bezdrátového připojení. Bez ohledu na formu lze ke spuštění nebo šíření kybernetického útoku použít stejný mechanismus, který podporuje komunikaci. 

Správná hygiena kybernetické bezpečnosti zajišťuje, že sítě jsou bezpečné a že všechna síťová zařízení mohou přistupovat k sítím bezpečně a bezpečně. I když správu sítě zajišťuje dodavatel třetí strany, organizace by měly chápat klíčové aspekty správné správy sítě a zajistit, aby byly zahrnuty do smluv na tyto služby.

#7 – Správa zranitelnosti

Správa zranitelnosti je nepřetržitý postup identifikace, klasifikace, stanovení priorit, nápravy a zmírnění zranitelností softwaru. Mnoho rámců pro dodržování bezpečnosti informací, audit a řízení rizik vyžaduje, aby organizace udržovaly program správy zranitelnosti.

#8 – Reakce na incident

Reakce na incidenty je schopnost identifikovat podezřelý provoz nebo kybernetické útoky ve vaší síti, izolovat je a napravit, aby se zabránilo narušení, poškození nebo ztrátě dat. Obvykle se reakce na incidenty označuje jako standardní „blokování a řešení“ informační bezpečnosti. V organizacích všech velikostí dochází pravidelně k mnoha typům bezpečnostních incidentů. Ve skutečnosti je většina sítí pod neustálým útokem vnějších subjektů.

#9 – Zabezpečení zdravotnického zařízení

Systémy zdravotní péče používají mnoho různých zařízení jako součást běžné léčby pacientů. Ty sahají od zobrazovacích systémů po zařízení, která se přímo připojují k pacientovi pro diagnostické nebo terapeutické účely. Taková zařízení mohou mít přímočaré implementace, jako jsou monitory u lůžka, které monitorují vitální funkce, nebo mohou být složitější, jako jsou infuzní pumpy, které dodávají specializované terapie a vyžadují neustálé aktualizace lékové knihovny. Tato komplexní a vzájemně propojená zařízení ovlivňují bezpečnost, pohodu a soukromí pacientů a představují potenciální vektory útoků v digitální stopě organizací. Jako taková by tato zařízení měla ve svém návrhu a konfiguraci zahrnovat bezpečnostní kontroly, které podporují bezpečné nasazení.

#10 – Zásady kybernetické bezpečnosti

Praxe kybernetické bezpečnosti č. 10: Zásady kybernetické bezpečnosti zahrnují osvědčené postupy, které jsou specifické pro implementaci zásad a postupů kybernetické bezpečnosti ve vaší zdravotnické organizaci.
Každý vedoucí pracovník nemocnice C-Suite musí podporovat dobrý program kybernetické bezpečnosti, který zahrnuje základní školení klinického personálu,“ řekl Mark Jarrett, předseda Rady pro koordinaci sektoru zdravotnictví a veřejného zdraví (HSCC). Dr. Jarrett, který je také bývalým vrchním ředitelem kvality a zástupcem hlavního lékaře pro Northwell Health, dodal: „Radím každému nemocničnímu systému v zemi, aby zvážil použití ‚kybernetické bezpečnosti pro lékaře‘ ve svých systémech řízení výuky.
Mark Jarrett, předseda Zdravotní a veřejné, Health Sector Coordinating Council (HSCC)
Pro menší organizace je zcela normální věřit, že nebudete cílem nebo obětí žádných kybernetických útoků. Koneckonců, proč by se počítačový zločinec staral o vaši místní firmu? Pravdou je, že většina kybernetických útoků je „oportunistických“; to znamená, že zločinci vrhají širokou síť, když hledají oběti. Vzpomeňte si na mořské rybáře. Metody, které používají, zahrnují proplachování moří, vrhání sítí a vtahování ulovených ryb.