Gå til hovedindhold

Sundhedsindustriens cybersikkerhedspraksis og videoer

Videotræningsserie "Cybersikkerhed for klinikeren".

Videotræningsserien "Cybersikkerhed for klinikeren" på i alt 47 minutter blandt otte videoer forklarer på et let, ikke-teknisk sprog, hvad klinikere og studerende i den medicinske profession skal forstå om, hvordan cyberangreb kan påvirke klinisk drift og patientsikkerhed, og hvordan man gør din del for at hjælpe med at holde sundhedsdata, systemer og patienter sikre mod cybertrusler.

Serien er god til en CME/CEU kredittime. Brug af disse træningsvideoer kan også opfylde dokumentationskravene i CMS Emergency Preparedness Rule, National Fire Protection Association og The Joint Commission for facility Hazard Vulnerability Analysis and Risk Analysis and Training.

Om denne videoserie

Alle sundhedssystemer opfordres kraftigt til at adoptere denne serie i dine træningsprogrammer; industrigrupper og professionelle foreninger, bedes du opfordre dine medlemmer til at gøre det samme; og medtech-, medicinal-, betaler-, sundheds-it- og servicevirksomheder, bedes du overveje at udvide denne serie til dine kunder og klienter som et supplement til din support.
Se hele videoserien
405(d) Aligning Health Care Industry Security Practices-initiativet, sammen med Health Industry Cybersecurity Practices: Managing Threats and Protecting Patients (HICP), som disse videoer også er relateret til, er i samarbejde med Healthcare and Public Health Sector Coordinating Council (HSCC).
Læs mere om initiativet
HSCC nye udgivelser og presse

Teknisk bind 1:
Cybersikkerhedspraksis for små sundhedsorganisationer

Download bind 1 PDF

#1 – Introduktion og e-mailbeskyttelsessystemer

De fleste små praksisser udnytter outsourcede tredjeparts e-mail-udbydere i stedet for at etablere en dedikeret intern e-mail-infrastruktur. Praksis for e-mailbeskyttelse i dette afsnit præsenteres i tre dele:

  1. E-mail-systemkonfiguration: de komponenter og funktioner, der skal inkluderes i dit e-mail-system
  2. Uddannelse: Sådan øger du medarbejdernes forståelse og bevidsthed om måder at beskytte din organisation mod e-mail-baserede cyberangreb såsom phishing og ransomware
  3. Phishing-simuleringer: måder at give personalet træning i og bevidsthed om phishing-e-mails

#2 – Endpoint Protection Systems

En lille organisations endepunkter skal alle beskyttes. Men hvad er endepunkter? Og hvad kan en lille sundhedsorganisation gøre for at beskytte deres endepunkter?

David Willis, MD og Kendra Siler, PhD med Befolkningssundhedsinformationsanalyse og -delingsorganisationen ved Kennedy Space Center er her for at diskutere, hvad du bør gøre for at reducere chancerne for, at et cyberangreb trænger ind i dine endepunkter.

#3 – Adgangsstyring

I dette afsnit vil vi diskutere Cybersikkerhedspraksis område nummer 3 – Adgangsstyring for små sundhedsorganisationer.

Denne diskussion vil blive organiseret i tre sektioner:

  1. Hvad er adgangsstyring?
  2. Hvorfor er det vigtigt?
  3. Hvordan kan HICP eller "hikke" hjælpe med at forbedre adgangsstyringen for små sundhedsorganisationer?

#4 – Databeskyttelse og tabsforebyggelse

National Institute of Standards and Technology, eller NIST for kort, definerer et databrud som "en hændelse, der involverer følsomme, beskyttede eller fortrolige oplysninger, der bliver kopieret, transmitteret, set, stjålet eller brugt af en person, der ikke er autoriseret til at gøre det."

Følsomme, beskyttede eller fortrolige data omfatter beskyttede helbredsoplysninger (PHI), kreditkortnumre, kunde- og medarbejders personlige oplysninger og din organisations intellektuelle ejendomsret og forretningshemmeligheder.

#5 – Asset Management

Hvilken informationsteknologi eller IT-enheder har du i din organisation? Ved du hvor mange bærbare computere? mobile enheder? Og netværksswitches har du alle dine lokationer? Hvilke kører Windows eller Apples IOS eller et af Androids flere styresystemer? Hvis den ikke er fastgjort til en væg eller et skrivebord, hvem er så ansvarlig for hver enhed?

#6 – Netværksstyring

Netværk giver den forbindelse, der gør det muligt for arbejdsstationer, medicinsk udstyr og andre applikationer og infrastruktur at kommunikere. Netværk kan have form af kablede eller trådløse forbindelser. Uanset formen kan den samme mekanisme, der fremmer kommunikation, bruges til at iværksætte eller udbrede et cyberangreb. 

Korrekt cybersikkerhedshygiejne sikrer, at netværk er sikre, og at alle netværksenheder kan få adgang til netværk sikkert og sikkert. Selvom netværksstyring leveres af en tredjepartsleverandør, bør organisationer forstå nøgleaspekter af korrekt netværksstyring og sikre, at de er inkluderet i kontrakter for disse tjenester.

#7 – Sårbarhedshåndtering

Sårbarhedsstyring er en kontinuerlig praksis med at identificere, klassificere, prioritere, afhjælpe og afhjælpe softwaresårbarheder. Mange rammer for overholdelse af informationssikkerhed, revision og risikostyring kræver, at organisationer vedligeholder et sårbarhedsstyringsprogram.

#8 – Hændelsesrespons

Hændelsesrespons er evnen til at identificere mistænkelig trafik eller cyberangreb på dit netværk, isolere det og afhjælpe det for at forhindre databrud, beskadigelse eller tab. Typisk omtales hændelsesrespons som standard "blokering og tackling" af informationssikkerhed. Mange typer sikkerhedshændelser forekommer regelmæssigt på tværs af organisationer af alle størrelser. Faktisk er de fleste netværk under konstant angreb fra eksterne enheder.

#9 – Sikkerhed for medicinsk udstyr

Sundhedssystemer bruger mange forskellige enheder som en del af rutinemæssig patientbehandling. Disse spænder fra billeddannelsessystemer til enheder, der forbindes direkte til patienten til diagnostiske eller terapeutiske formål. Sådanne enheder kan have enkle implementeringer, såsom sengebordsmonitorer, der overvåger vitale tegn, eller de kan være mere komplicerede, såsom infusionspumper, der leverer specialiserede terapier og kræver løbende opdateringer af lægemiddelbiblioteket. Disse komplekse og indbyrdes forbundne enheder påvirker patientsikkerhed, velvære og privatliv, og de repræsenterer potentielle angrebsvektorer i en organisations digitale fodaftryk. Som sådan bør disse enheder inkludere sikkerhedskontroller i deres design og konfiguration for at understøtte implementeringen på en sikker måde.

#10 – Cybersikkerhedspolitikker

Cybersikkerhedspraksis #10: Cybersikkerhedspolitikker inkluderer bedste praksis, som er dokumentspecifikke for implementeringen af ​​cybersikkerhedspolitikker og -procedurer i din sundhedsorganisation.
Alle C-Suite-hospitalsledere skal støtte et godt cybersikkerhedsprogram, som inkluderer træning af klinisk personale i det grundlæggende,” sagde Mark Jarrett, formand for Healthcare and Public Health Sector Coordinating Council (HSCC). Dr. Jarrett, som også er den tidligere Chief Quality Officer og Vice Chief Medical Officer for Northwell Health, tilføjede "Jeg vil råde alle hospitalssystemer i landet til at overveje at bruge 'Cybersikkerhed for klinikeren' i deres læringsstyringssystemer.
Mark Jarrett, formand for Healthcare and Public, Health Sector Coordinating Council (HSCC)
For mindre organisationer er det helt normalt at tro, at du ikke vil blive målrettet eller offer for cyberangreb. Når alt kommer til alt, hvorfor skulle en cyberkriminel bekymre sig om din lokale virksomhed? Sandheden i sagen er, at de fleste cyberangreb er "opportunistiske"; det betyder, at de kriminelle kaster et bredt net, når de leder efter ofre. Tænk på søfarende fiskere. De metoder, de bruger, involverer at gennemsøge havene, kaste deres net og trække de fisk, der fanges.