Seiber-Gydnwch i'r Gweddill ohonom: Gwneud iddo Ddigwydd ar Gyllideb Byd Go Iawn
Podlediad Diogelwch Cwmwl EP240 – Google
Mae'r cyflwynwyr Anton Chuvakin a Timothy Peacock yn siarad ag arbenigwyr yn y diwydiant am rai o feysydd mwyaf diddorol diogelwch cwmwl.
Gwestai: Errol Weiss – pynciau: Diogelwch a Hylendid y Cwmwl | Arferion Diogelwch y Cwmwl
Sut mae ychwanegu gwydnwch digidol yn hanfodol i fentrau? Sut i wneud i'r arweinwyr symud o "seiberddiogelwch yn unig" i "gwydnwch digidol"?
Sut i fod mor wydn â phosibl o ystyried yr adnoddau? Sut i fod mor wydn â phosibl gyda'r swm lleiaf o arian?
Sut i wneud eich hun yn darged llai?
Mae mesurau targed llai yn ffitio i mewn i'r hyn y mae rhai yn ei alw'n "hanfodion". Ond mae hylendid "sylfaenol" mewn gwirionedd yn anodd iawn i lawer. Beth yw eich 3 awgrym hylendid gorau ar gyfer ei wneud yn digwydd sy'n gweithio mewn gwirionedd?
Rydym yn sôn am sefydliadau sydd heb ddigon o adnoddau, ond mae rhai ohonynt yn llawer llai adnoddau, beth yw eich cyngor i'r rhai sydd â phrinder eithafol o adnoddau diogelwch?
Asesu diogelwch gwerthwyr – beth sydd bwysicaf i'w ystyried heddiw yn 2025? Sut i osgoi cael eich hacio gan eich gwerthwr?
Mynediad i Bodlediad Diogelwch Google Cloud a'r adnoddau a grybwyllir yma. Cliciwch Yma
Yn 2024, roedd seiberddiogelwch yn her fawr i'r sector gofal iechyd, gydag ymosodiadau proffil uchel lluosog. Roedd un ymosodiad, a ddatgelodd ddata o 100 miliwn o Americanwyr a dorrodd record, yn “ddigwyddiad carreg filltir” a dynnodd sylw at ba mor gydgysylltiedig yw’r diwydiant gofal iechyd, yn ôl Errol Weiss, prif swyddog diogelwch yn y ganolfan. Canolfan Rhannu a Dadansoddi Gwybodaeth Iechyd.
Darllenwch am y tri thuedd arall yn yr erthygl hon gan y Bwrdd Cynghori. Cliciwch Yma
Bydd siâp rheoleiddio AI yn ansicr o dan weinyddiaeth Trump eleni, tra bydd cwmnïau gofal iechyd yn parhau i gryfhau amddiffynfeydd seiber i wrthsefyll ymosodiadau cynyddol, meddai arbenigwyr.
Mae seiberdroseddwyr yn parhau i dargedu gofal iechyd
Profodd seiberddiogelwch yn her fawr i'r sector gofal iechyd yn 2024, ac mae sefydliadau'n cymryd sylw, meddai arbenigwyr. Ond bydd yn cymryd amser i ddod ag amddiffyniadau seiber y diwydiant i fyny at snisin - ac mae hacwyr yn annhebygol o roi'r gorau i dargedu cwmnïau gofal iechyd.
Mae'r diwydiant yn dod oddi ar flwyddyn a oedd yn cynnwys nifer o ymosodiadau proffil uchel. Yn gynnar yn 2024, cafodd yr ecosystem gofal iechyd gyfan drafferth i reoli'r canlyniadau o'r ymosodiad seibr yn erbyn Change Healthcare, cwmni technoleg a phrosesydd hawliadau sy'n eiddo i un o fawrion y diwydiant, UnitedHealth.
Yr ymosodiad - a ddatgelodd ddata o a 100 miliwn o Americanwyr sydd wedi torri record - yn “ddigwyddiad carreg filltir” a amlygodd natur ryng-gysylltiedig y sector, meddai Errol Weiss, prif swyddog diogelwch yn y Canolfan Rhannu a Dadansoddi Gwybodaeth Iechyd, neu Iechyd-ISAC.
“Rwy’n credu mai’r eiliad deffro oedd sut y gallai cyflenwyr gael effaith un pwynt methiant ar ddarparu gofal iechyd,” meddai Weiss.
Darllenwch yr erthygl lawn yn Healthcare Dive. Cliciwch Yma
Dywedodd Canolfan Waed Efrog Newydd (NYBC) ei fod wedi dioddef ymosodiad ransomware a darfu ar weithrediadau a'i orfodi i aildrefnu rhai llawdriniaethau.
Mae ymosodiadau seiber ar ganolfannau rhoi gwaed wedi ysgogi'r Canolfan Rhannu a Dadansoddi Gwybodaeth Iechyd (Health-ISAC) a Chymdeithas Ysbytai America (AHA) i gyhoeddi a bwletin bygythiad ar y cyd rhybudd o darfu posibl ar y gadwyn gyflenwi.
“Mae’r ymosodiad ransomware diweddar ar Ganolfan Gwaed Efrog Newydd (NYBC) yn alwad deffro i sefydliadau ar draws sectorau, yn enwedig y rhai mewn gwasanaethau hanfodol fel gofal iechyd,” meddai Roei Sherman, CTO Field yn Mitiga. “Fel un o sefydliadau casglu a dosbarthu gwaed annibynnol mwyaf y byd, mae’r digwyddiad hwn nid yn unig yn tanseilio eu gallu gweithredol ond o bosibl yn peryglu iechyd y cyhoedd.”
Darllenwch yr erthygl lawn yn CPO Magazine. Cliciwch Yma
Nod y Fenter yw Hybu Diogelwch Ysbytai, Darparwyr Gofal Iechyd sy'n Aelodau o'r UE
Errol Weiss, prif swyddog diogelwch y Iechyd-ISAC yn yr Unol Daleithiau, dywedodd bod cynllun gweithredu comisiwn yr UE yn dod ar adeg pan fo sefydliadau gofal iechyd yn dal i gael trafferth cael digon o arian i amddiffyn eu rhwydweithiau'n iawn.
“Mae’r broblem i’w gweld yn yr UE, yr Unol Daleithiau ac yn fyd-eang. Mae angen adnoddau ar sefydliadau gofal iechyd - nid yn unig y dechnoleg sydd ei hangen i amddiffyn y rhwydweithiau hynny ond hefyd y gweithwyr proffesiynol infosec profiadol i redeg y systemau hynny,” meddai. “Rwy’n falch bod y comisiwn yn cydnabod y gwerth y mae ISACs yn ei roi i ddiogelu sefydliadau a gwella diogelwch trwy rannu gwybodaeth a chydweithio,” meddai.
Mae'r rhai sy'n gyfrifol am amddiffyn eu seilweithiau digidol yn deall, trwy rannu gwybodaeth, eu bod nid yn unig yn amddiffyn eu hunain ond hefyd yn cryfhau diogelwch yr ecosystem ddigidol gyfan, meddai Weiss.
Yn 2023, bu’r Health-ISAC mewn partneriaeth ag ISAC Iechyd Ewrop i drosoli “cryfder byd-eang” aelodaeth Health-ISAC trwy amlygrwydd bygythiadau mewn dros 140 o wledydd gyda chryfder safbwyntiau cymunedol a lleol ISAC Iechyd Ewrop, meddai.
“Mae angen i ni uno ac aros yn wyliadwrus yn erbyn seiberfygythiadau,” meddai. “Gydag Health-ISAC ac ISAC Iechyd Ewropeaidd yn gweithredu gyda’n gilydd yn yr UE, gallwn greu cymuned fwy diogel lle mae sefydliadau gofal iechyd yn elwa o well gwelededd o fygythiadau a gwendidau, yn ogystal â chael budd o rannu arferion gorau a mewnwelediadau allweddol eraill sydd yn y pen draw yn gwella diogelwch cleifion. .”
Darllenwch yr erthygl lawn yn Data Torri Heddiw. Cliciwch Yma
Arbenigwyr yn Cynnig Cyngor ar gyfer Rheoli Rhestrau Tyfu, Adnoddau i Ddarparwyr
Mae canllawiau “Seiberddiogelwch y Diwydiant Iechyd – Rheoli Diogelwch Technoleg Etifeddiaeth” yr HSCC – neu HIC-MaLTS – yn cynnig arferion gorau i sefydliadau y gellir eu defnyddio i reoli risgiau seiber technolegau meddygol etifeddol, meddai Phil Englert, is-lywydd diogelwch dyfeisiau meddygol yn y Ganolfan Gwybodaeth Iechyd Canolfan Rhannu a Dadansoddi.
Mae HIC-MaLTS yn ymgymryd â heriau seiberddiogelwch gofal iechyd cyffredin. Er enghraifft, “mae gan lawer o wahanol fathau o ddyfeisiau meddygol a’r lleoliadau amrywiol y cânt eu defnyddio ynddynt broffiliau risg unigryw ac maent yn cynnwys nodweddion diagnostig, therapiwtig, gwisgadwy, mewnblanadwy a dyfeisiau meddalwedd-fel-meddygol, ymhlith eraill, y gellir eu defnyddio mewn ysbytai, clinigau, a lleoliadau anghlinigol a gofal iechyd cartref eraill,” meddai.
Hefyd yn yr erthygl hon:
pedwar cyfnod cylch bywyd dyfeisiau meddygol
rhestrau eiddo “golwg system” wedi'u cyfuno â rheolaethau segmentu a mynediad rhwydwaith
Iaith Gontract Enghreifftiol HSCC ar gyfer Medtech Cybersecurity
Darllenwch yr erthygl yn Healthcare Infosecurity yma. Cliciwch Yma
Darllenwch yr erthygl lawn yn Gwybodaeth Diogelwch Buzz. Cliciwch Yma
Ers 1996, mae Deddf Cludadwyedd ac Atebolrwydd Yswiriant Iechyd (HIPAA) wedi bod yn gonglfaen preifatrwydd cleifion. Sefydlodd y ddeddf safonau ar gyfer sut mae sefydliadau gofal iechyd yn trin ac yn rhannu data cleifion, gan greu fframwaith ar gyfer sicrhau cyfrinachedd.
Ond mae'r dirwedd gofal iechyd wedi trawsnewid yn ddramatig, a chyda hynny, mae'r risgiau wedi lluosi. Mae bygythiadau seiber sy'n dod i'r amlwg a gwendidau cymhleth wedi datgelu bylchau critigol yn amddiffyniadau HIPAA. Mewn ymateb, mae deddfwyr yn cyflwyno deddfwriaeth newydd gyda'r nod o atgyfnerthu sefydliadau gofal iechyd yn erbyn y llanw cynyddol o ymosodiadau seiber.
Y llynedd, cyflwynodd deddfwyr ddau fil - Deddf Seiberddiogelwch Gofal Iechyd 2024 a Deddf Diogelwch ac Atebolrwydd Seilwaith Iechyd 2024 (HISAA) - gyda'r nod o foderneiddio amddiffyniadau ar gyfer data iechyd sensitif. Er bod y mesurau hyn yn gam pwysig ymlaen, maent yn dal i gael eu hatal yn y broses ddeddfwriaethol ac nid ydynt wedi dod yn gyfraith eto.
A, hyd yn oed os cânt eu deddfu, efallai na fydd y cwmpas cyfyngedig a'r mecanweithiau gorfodi a amlinellir yn y biliau hyn yn mynd i'r afael â'r bygythiadau seiber cynyddol sy'n plagio ein system gofal iechyd gynyddol ddigidol. Heb ddull mwy cynhwysfawr ac ymosodol, mae'r mentrau hyn mewn perygl o gael eu gweld fel ystumiau symbolaidd mewn brwydr sy'n galw am weithredu brys a phendant.
Darllenwch ymhellach i gael dealltwriaeth lawn o'r ddau fil, gan gynnwys
Mae Phil Englert a’n gwesteiwr Chris Blask wedi bod yn cyd-gadeirio gweithgor CISA ar rannu bil deunyddiau meddalwedd (SBOM). Mae'r gweithgor wedi datblygu proses i helpu ISACs a sefydliadau tebyg i bennu'r saernïaeth reoli sy'n angenrheidiol i reoli dosbarthiad SBOMs ymhlith eu haelodau.
Gwrandewch ar bodlediad Inevitability Curve EP14 yma. Cliciwch Yma
Bydd sefydliadau gofal iechyd o bob lliw a llun yn cael eu cadw i safon llymach o seiberddiogelwch gan ddechrau yn 2025 gyda rheolau arfaethedig newydd, ond nid oes gan bob un ohonynt y gyllideb ar ei gyfer.
Ers y dechrau, HIPAA fu'r rheoleiddio gorau, ond annigonol, erioed sy'n pennu seiberddiogelwch ar gyfer y diwydiant gofal iechyd.
“[Mae] hanes bod y ffocws yn y lle anghywir oherwydd y ffordd y cafodd HIPAA ei osod yng nghanol y 1990au,” dywed Errol Weiss, prif swyddog diogelwch gwybodaeth (CISO) y Ganolfan Rhannu a Dadansoddi Gwybodaeth Gofal Iechyd (Health-ISAC). “Ar y pryd, roedd yna ymdrech fawr i drosglwyddo cofnodion meddygol ac iechyd i’r cyfrwng electronig. A chyda dyfodiad rheoliadau HIPAA, roedd y cyfan yn ymwneud â diogelu preifatrwydd cleifion ond nid o reidrwydd sicrhau'r cofnodion hynny."
Cyfyngodd ffocws HIPAA ar breifatrwydd ei allu i fynd i'r afael â bygythiadau seiberddiogelwch mwy amrywiol yn y 2010au, yn enwedig nwyddau pridwerth. Yn y cyfamser, yn hytrach na'i ddefnyddio fel llinell sylfaen ar gyfer datblygu ystum diogelwch cadarn, roedd sefydliadau'n tueddu i drin HIPAA yn fwy fel set o flychau i'w gwirio. “Fe ddaeth i ben gyrru cyllidebau tuag at gydymffurfio ac nid diogelwch o reidrwydd. Ac yn y pum neu chwe blynedd diwethaf, rydym wedi gweld yr hyn sy'n digwydd mewn amgylchedd sydd heb ei ddiogelu'n iawn, heb ei glymu'n iawn, heb ei ategu'n briodol, pan fyddant yn cael eu taro gan lestri pridwerth,” meddai Weiss.
“Hyd yn oed os ydyn nhw eisoes yn dilyn holl reolaethau NIST,” mae Dispersive's Pingree yn amcangyfrif, gallai gweithredu rheolau diogelwch newydd HIPAA “gostio cyn lleied â $100,000 am swyddfa meddyg bach, neu fe allai fod yn filiynau lawer os ydych chi'n feddyg mawr. grŵp.”
Un ffordd bosibl y gallai sefydliadau gofal iechyd dan bwysau lywio'r holl reolau newydd hyn a'u costau cysylltiedig yw gyda phrif swyddog diogelwch gwybodaeth rhithwir (vCISO) ar gontract allanol, yn ôl Weiss. Oherwydd “nid mater o brynu’r dechnoleg yn unig yw hyn. Mae hefyd yn ymwneud â recriwtio a chadw'r arbenigedd seiberddiogelwch y mae angen ichi ei redeg,” meddai.
“Nid yw’r sefydliadau hyn yn gwybod ble i ddechrau,” mae’n parhau. “Mae’r farchnad seiberddiogelwch yn ddryslyd iawn. Mae yna lawer o chwaraewyr. Mae yna lawer o atebion. Felly os oes gennych $100 i'w wario ar seiberddiogelwch, ble ydych chi'n gwario hynny? Mae angen help arnynt i allu darganfod hynny i gyd. Ac rwy'n credu y gall rhywbeth fel CISO rhithwir helpu i roi strategaeth ar waith, ac yna bod o gwmpas ar sail rithwir—i gofrestru, i fod yn adnodd i'r sefydliad hwnnw pan fydd ganddynt gwestiynau ac mae angen rhywfaint o help arnynt. Mae’n ymddangos fel model gweddus ar gyfer yr ysbytai bach gwledig hyn na allent o reidrwydd gyfiawnhau na llogi CISO llawn amser.”
Darllenwch yr erthygl lawn yn Dark Reading. Cliciwch Yma
Arbenigwyr: Gallai Mandadau Newydd Fod yn Anodd, Yn Gost i Lawer o Endidau
Gallai ailwampio arfaethedig o reoliadau seiberddiogelwch ffederal ar gyfer y diwydiant gofal iechyd olygu codi pethau trwm anodd a drud i lawer o sefydliadau, meddai arbenigwyr.
“Bydd y costau i gyflawni’r darpariaethau hyn yn enfawr,” meddai Errol Weiss, prif swyddog diogelwch y Ganolfan Rhannu a Dadansoddi Gwybodaeth Iechyd. “O ble mae’r arian yn dod i dalu am hyn i gyd? Ni all fod o arbedion yn y dyfodol yn sgil osgoi cosbau torri amodau. Nid oes gan ddarparwyr gofal iechyd sydd dan bwysau ariannol, yn enwedig ysbytai gwledig bach, yr adnoddau i gefnogi'r cynigion newydd hyn,” meddai.
Bydd angen i unrhyw ofynion rheoleiddiol fel hyn ddod gyda chymorth ariannol fel y gall darparwyr gofal iechyd gaffael y dechnoleg gywir ac, yn bwysicach fyth, recriwtio a chadw gweithwyr proffesiynol seiberddiogelwch profiadol i amddiffyn eu rhwydweithiau yn ddigonol, meddai Weiss.
Darllenwch yr erthygl lawn yn Bank InfoSecurity. Cliciwch Yma
Mae Google yn partneru ag Health-ISAC i ddarparu rhaglenni hyfforddi arloesol, rhaglenni cudd-wybodaeth seiberddiogelwch, ac adnoddau eraill ar gyfer systemau iechyd gwledig.
Mae ymosodiadau seibr ar sefydliadau gofal iechyd yn amharu ar eu gallu i weithredu ac yn peryglu gofal cleifion. Mae systemau gofal iechyd gwledig yn yr UD yn gwasanaethu 60 miliwn o bobl ac maent wrth wraidd cymunedau di-rif. Mae diogelwch pawb mewn cymuned dan fygythiad pan nad yw systemau gwybodaeth gofal iechyd critigol ar gael oherwydd digwyddiadau seiber.
Mae Google wedi ymrwymo i helpu systemau iechyd bregus i gryfhau eu gwytnwch i ymosodiadau seiber. Rydym yn partneru â’r llywodraeth a diwydiant i gynnig ein gwasanaethau, ein cefnogaeth a’n technolegau, gan alluogi systemau i ganolbwyntio ar ofal cleifion.
Menter wedi'i theilwra i wella diogelwch
Wedi'i gynllunio ar gyfer ysbytai gwledig
Mae systemau iechyd gwledig ac ysbytai yn adlewyrchu unigrywiaeth y cymunedau y maent yn eu gwasanaethu, ac felly hefyd ein harlwy. Mae'n darparu set gynyddol o dechnoleg Google diogel trwy gynllun ar gyfer mynediad a chydweithio, gwasanaethau ymgynghori a chymorth, ac adnoddau hyfforddi diogelwch am bris gostyngol neu ddim. Mae'r ateb wedi'i addasu i anghenion pob endid iechyd gwledig. Dylai'r cyfleuster iechyd gael ei leoli mewn sir neu ranbarth a ddynodwyd yn wledig gan y Gweinyddiaeth Adnoddau a Gwasanaethau Iechyd (HRSA).
Mae cydweithredu effeithiol i amddiffyn yn erbyn ymosodiadau seiber ac ymateb iddynt yn hanfodol i sicrhau gofal iechyd. Mae Google yn partner llysgennad i'r Ganolfan Rhannu a Dadansoddi Gwybodaeth Iechyd (Health-ISAC). Cenhadaeth Health-ISAC yw grymuso perthnasoedd dibynadwy yn y diwydiant gofal iechyd byd-eang i helpu i atal, canfod, ac ymateb i ddigwyddiadau seiberddiogelwch a diogelwch corfforol fel y gall aelodau ganolbwyntio ar wella iechyd ac achub bywydau. Mae Google yn partneru ag Health-ISAC i ddarparu rhaglenni hyfforddi arloesol, rhaglenni cudd-wybodaeth seiberddiogelwch, ac adnoddau eraill ar gyfer systemau iechyd gwledig.
Cynigion rhaglen
Bydd y rhan fwyaf o'r rhain yn cael eu cynnig am ddim neu gyda gostyngiadau sylweddol, gan gydnabod y cyfyngiadau ariannol a wynebir gan lawer o systemau gofal iechyd gwledig. Yn ogystal, byddwn yn darparu gwasanaethau gweithredu a chymorth i sefydliadau cymwys. Dim ond yn yr Unol Daleithiau y mae'r offrymau hyn ar gael ar hyn o bryd.
Eisteddom i lawr gyda Phrif Swyddog Diogelwch Iechyd-ISAC Errol Weiss i drafod ei yrfa 25 mlynedd yn rhychwantu bancio, y llywodraeth, a gofal iechyd a nodi'r bygythiadau a'r tueddiadau seiberddiogelwch mwyaf sy'n effeithio ar y diwydiant gofal iechyd yn 2025 a thu hwnt.
Disgrifiodd Weiss yr heriau unigryw a wynebir gan sefydliadau gofal iechyd o gymharu â gwasanaethau ariannol. Mae systemau gofal iechyd yn aml yn rheoli seilweithiau cymhleth, gan gynnwys systemau modern yn y cwmwl, dyfeisiau etifeddiaeth (fel peiriannau MRI â systemau gweithredu hen ffasiwn), ac ecosystemau dyfeisiau meddygol amrywiol. Gwaethygir y cymhlethdod hwn gan danfuddsoddiad hirsefydlog mewn seiberddiogelwch, gydag adnoddau wedi'u dyrannu'n hanesyddol tuag at breifatrwydd a chydymffurfiaeth (ee, rheoliadau HIPAA) yn hytrach na mesurau diogelwch cadarn.
Pwysleisiodd fod tanariannu a diffyg Prif Swyddogion Diogelwch Gwybodaeth (CISO) ym maes gofal iechyd yn ei gwneud yn heriol amddiffyn yr amgylcheddau hyn yn effeithiol. Fodd bynnag, mae digwyddiadau fel ymosodiadau ransomware wedi ysgogi mwy o ymwybyddiaeth a buddsoddiad mewn seiberddiogelwch gofal iechyd dros y degawd diwethaf.
