Πρακτικές και βίντεο στον κλάδο της υγείας στον κυβερνοχώρο

Όλα τα συστήματα υγείας ενθαρρύνονται να υιοθετήσουν αυτή τη σειρά στα εκπαιδευτικά σας προγράμματα. βιομηχανικές ομάδες και επαγγελματικές ενώσεις, ενθαρρύνετε τα μέλη σας να κάνουν το ίδιο. και εταιρείες medtech, φαρμακευτικών προϊόντων, πληρωτών, πληροφορικής υγείας και υπηρεσιών, εξετάστε το ενδεχόμενο επέκτασης αυτής της σειράς στους πελάτες και τους πελάτες σας ως συμπλήρωμα στην υποστήριξή σας.

Οι περισσότερες μικρές πρακτικές αξιοποιούν τρίτους παρόχους ηλεκτρονικού ταχυδρομείου που έχουν ανατεθεί σε τρίτους, αντί να δημιουργούν μια αποκλειστική εσωτερική υποδομή ηλεκτρονικού ταχυδρομείου. Οι πρακτικές προστασίας e-mail σε αυτήν την ενότητα παρουσιάζονται σε τρία μέρη:

1. Διαμόρφωση συστήματος ηλεκτρονικού ταχυδρομείου: τα στοιχεία και οι δυνατότητες που πρέπει να περιλαμβάνονται στο σύστημα ηλεκτρονικού ταχυδρομείου σας
2. Εκπαίδευση: πώς να αυξήσετε την κατανόηση και την ευαισθητοποίηση του προσωπικού σχετικά με τους τρόπους προστασίας του οργανισμού σας από κυβερνοεπιθέσεις που βασίζονται σε ηλεκτρονικό ταχυδρομείο, όπως το ηλεκτρονικό ψάρεμα και το ransomware
3. Προσομοιώσεις phishing: τρόποι παροχής εκπαίδευσης στο προσωπικό και ενημέρωσης σχετικά με τα ηλεκτρονικά μηνύματα ηλεκτρονικού ψαρέματος

Τα τελικά σημεία ενός μικρού οργανισμού πρέπει να προστατεύονται όλα. Τι είναι όμως τα τελικά σημεία; Και, τι μπορεί να κάνει ένας μικρός οργανισμός υγειονομικής περίθαλψης για να προστατεύσει τα τελικά σημεία του;

Ο David Willis, MD και η Kendra Siler, PhD με τον Οργανισμό Ανάλυσης και Κοινής Χρήσης Πληροφοριών Υγείας του πληθυσμού στο Διαστημικό Κέντρο Kennedy είναι εδώ για να συζητήσουν τι πρέπει να κάνετε για να μειώσετε τις πιθανότητες διείσδυσης μιας κυβερνοεπίθεσης στα τελικά σημεία σας.

Σε αυτήν την ενότητα, θα συζητήσουμε την Πρακτική Αριθμός 3 της Πρακτικής Κυβερνοασφάλειας – Διαχείριση πρόσβασης για μικρούς οργανισμούς υγειονομικής περίθαλψης.

Αυτή η συζήτηση θα οργανωθεί σε τρεις ενότητες:

1. Τι είναι η διαχείριση πρόσβασης;
2. Γιατί είναι σημαντικό?
3. Πώς μπορεί ο ΕνΔΤΚ ή το «λόξυγκα» να συμβάλει στη βελτίωση της διαχείρισης πρόσβασης για μικρούς οργανισμούς υγειονομικής περίθαλψης;

Το Εθνικό Ινστιτούτο Προτύπων και Τεχνολογίας, ή NIST για συντομία, ορίζει μια παραβίαση δεδομένων ως «ένα περιστατικό που περιλαμβάνει ευαίσθητες, προστατευμένες ή εμπιστευτικές πληροφορίες που αντιγράφονται, μεταδίδονται, προβάλλονται, κλαπούν ή χρησιμοποιούνται από άτομο που δεν έχει εξουσιοδότηση να το κάνει».

Τα ευαίσθητα, προστατευμένα ή εμπιστευτικά δεδομένα περιλαμβάνουν Προστατευμένες πληροφορίες υγείας (PHI), αριθμούς πιστωτικών καρτών, προσωπικά στοιχεία πελατών και εργαζομένων, καθώς και την πνευματική ιδιοκτησία και τα εμπορικά μυστικά του οργανισμού σας.

Τι τεχνολογία πληροφοριών ή συσκευές πληροφορικής έχετε στον οργανισμό σας; Ξέρετε πόσοι φορητοί υπολογιστές; φορητές συσκευές; Και διακόπτες δικτύου που έχετε σε όλες τις τοποθεσίες σας; Ποιες εκτελούν Windows ή IOS της Apple ή ένα από τα πολλά λειτουργικά συστήματα του Android; Εάν δεν είναι στερεωμένο σε τοίχο ή γραφείο, ποιος είναι υπεύθυνος για κάθε συσκευή;

Τα δίκτυα παρέχουν τη συνδεσιμότητα που επιτρέπει στους σταθμούς εργασίας, τις ιατρικές συσκευές και άλλες εφαρμογές και υποδομές να επικοινωνούν. Τα δίκτυα μπορούν να λάβουν τη μορφή ενσύρματων ή ασύρματων συνδέσεων. Ανεξάρτητα από τη μορφή, ο ίδιος μηχανισμός που προωθεί την επικοινωνία μπορεί να χρησιμοποιηθεί για την έναρξη ή τη διάδοση μιας κυβερνοεπίθεσης. 

Η σωστή υγιεινή στον κυβερνοχώρο διασφαλίζει ότι τα δίκτυα είναι ασφαλή και ότι όλες οι δικτυωμένες συσκευές μπορούν να έχουν πρόσβαση στα δίκτυα με ασφάλεια και ασφάλεια. Ακόμα κι αν η διαχείριση δικτύου παρέχεται από τρίτο προμηθευτή, οι οργανισμοί θα πρέπει να κατανοούν βασικές πτυχές της σωστής διαχείρισης δικτύου και να διασφαλίζουν ότι περιλαμβάνονται στις συμβάσεις για αυτές τις υπηρεσίες.

Η διαχείριση ευπάθειας είναι μια συνεχής πρακτική εντοπισμού, ταξινόμησης, ιεράρχησης, αποκατάστασης και μετριασμού των τρωτών σημείων του λογισμικού. Πολλά πλαίσια συμμόρφωσης με την ασφάλεια πληροφοριών, ελέγχου και διαχείρισης κινδύνου απαιτούν από τους οργανισμούς να διατηρούν ένα πρόγραμμα διαχείρισης ευπάθειας.

Η απόκριση περιστατικού είναι η δυνατότητα εντοπισμού ύποπτης κίνησης ή κυβερνοεπιθέσεων στο δίκτυό σας, απομόνωσής του και αποκατάστασής του προκειμένου να αποφευχθεί η παραβίαση δεδομένων, η ζημιά ή η απώλεια. Συνήθως, η απόκριση σε περιστατικό αναφέρεται ως το τυπικό «μπλοκάρισμα και αντιμετώπιση» της ασφάλειας πληροφοριών. Πολλά είδη συμβάντων ασφαλείας συμβαίνουν σε τακτική βάση σε οργανισμούς όλων των μεγεθών. Στην πραγματικότητα, τα περισσότερα δίκτυα δέχονται συνεχείς επιθέσεις από εξωτερικές οντότητες.

Τα συστήματα υγειονομικής περίθαλψης χρησιμοποιούν πολλές διαφορετικές συσκευές ως μέρος της συνήθους θεραπείας ασθενών. Αυτά κυμαίνονται από συστήματα απεικόνισης έως συσκευές που συνδέονται απευθείας με τον ασθενή για διαγνωστικούς ή θεραπευτικούς σκοπούς. Τέτοιες συσκευές μπορεί να έχουν απλές εφαρμογές, όπως οθόνες δίπλα στο κρεβάτι που παρακολουθούν ζωτικά σημεία ή μπορεί να είναι πιο περίπλοκες, όπως αντλίες έγχυσης που παρέχουν εξειδικευμένες θεραπείες και απαιτούν συνεχείς ενημερώσεις στη βιβλιοθήκη φαρμάκων. Αυτές οι πολύπλοκες και διασυνδεδεμένες συσκευές επηρεάζουν την ασφάλεια, την ευημερία και το απόρρητο των ασθενών και αντιπροσωπεύουν πιθανούς φορείς επίθεσης στο ψηφιακό αποτύπωμα ενός οργανισμού. Ως εκ τούτου, αυτές οι συσκευές θα πρέπει να περιλαμβάνουν ελέγχους ασφαλείας στο σχεδιασμό και τη διαμόρφωσή τους για υποστήριξη που αναπτύσσεται με ασφαλή τρόπο.

Πρακτική Ασφάλειας στον κυβερνοχώρο #10: Οι Πολιτικές Κυβερνοασφάλειας περιλαμβάνουν βέλτιστες πρακτικές που αποτελούν έγγραφα ειδικά για την εφαρμογή των πολιτικών και διαδικασιών κυβερνοασφάλειας στον οργανισμό υγειονομικής περίθαλψης σας.