Tervisetööstuse küberturvalisuse tavad ja videod

Kõiki tervishoiusüsteeme soovitatakse tungivalt võtta see seeria oma koolitusprogrammidesse; tööstusrühmad ja kutseühingud, julgustage oma liikmeid sama tegema; ning meditsiini-, farmaatsia-, maksjate-, tervishoiu-IT- ja teenusteettevõtted, kaaluge oma toe täiendusena selle sarja laiendamist oma klientidele ja klientidele.

Enamik väikeseid tavasid kasutab spetsiaalse sisemise e-posti infrastruktuuri loomise asemel sisseostetud kolmanda osapoole e-posti pakkujaid. Selle jaotise e-posti kaitsmise tavad on esitatud kolmes osas:

1. E-posti süsteemi konfiguratsioon: komponendid ja võimalused, mis peaksid teie meilisüsteemis sisalduma
2. Haridus: kuidas suurendada töötajate arusaamist ja teadlikkust selle kohta, kuidas kaitsta oma organisatsiooni e-postipõhiste küberrünnakute (nt andmepüügi ja lunavara) eest
3. Andmepüügisimulatsioonid: viisid, kuidas pakkuda töötajatele andmepüügi e-kirjade kohta koolitust ja nendest teadlikkust

Väikese organisatsiooni lõpp-punktid peavad kõik olema kaitstud. Aga mis on lõpp-punktid? Ja mida saab väike tervishoiuorganisatsioon teha oma lõpp-punktide kaitsmiseks?

David Willis, MD ja Kendra Siler, PhD Kennedy kosmosekeskuse rahvastiku terviseteabe analüüsi ja jagamise organisatsioonist, on siin, et arutada, mida peaksite tegema, et vähendada küberrünnakute võimalust teie lõpp-punktidesse tungida.

Selles jaotises käsitleme küberturvalisuse praktika valdkonda number 3 – juurdepääsu haldamine väikestele tervishoiuorganisatsioonidele.

See arutelu jaguneb kolmeks osaks:

1. Mis on juurdepääsuhaldus?
2. Miks see on tähtis?
3. Kuidas saab THHI ehk luksumine aidata parandada väikeste tervishoiuorganisatsioonide juurdepääsuhaldust?

National Institute of Standards and Technology ehk lühidalt NIST defineerib andmerikkumist kui "intsidenti, mille käigus kopeerib, edastab, vaatab, varastab või kasutab tundlikku, kaitstud või konfidentsiaalset teavet isik, kellel pole selleks volitusi".

Tundlikud, kaitstud või konfidentsiaalsed andmed hõlmavad kaitstud terviseteavet (PHI), krediitkaardinumbreid, klientide ja töötajate isikuandmeid ning teie organisatsiooni intellektuaalomandit ja ärisaladusi.

Mis infotehnoloogia või IT-seadmed teie organisatsioonis on? Kas sa tead, mitu sülearvutit? mobiilseadmed? Ja võrgulülitid on teil kõigis asukohtades? Millised neist töötavad Windowsi või Apple'i IOS-i või mõne Androidi operatsioonisüsteemiga? Kui see pole seina või laua külge kinnitatud, siis kes vastutab iga seadme eest?

Võrgud pakuvad ühenduvust, mis võimaldab tööjaamadel, meditsiiniseadmetel ja muudel rakendustel ja infrastruktuuril suhelda. Võrgud võivad olla juhtmega või traadita ühendustena. Olenemata vormist saab küberrünnaku käivitamiseks või levitamiseks kasutada sama suhtlust soodustavat mehhanismi. 

Nõuetekohane küberturvalisuse hügieen tagab võrkude turvalisuse ning selle, et kõik võrguga ühendatud seadmed pääsevad võrkudele turvaliselt ja turvaliselt juurde. Isegi kui võrguhaldust pakub kolmandast osapoolest tarnija, peaksid organisatsioonid mõistma õige võrguhalduse põhiaspekte ja tagama, et need sisalduksid nende teenuste lepingutes.

Turvaaukude haldamine on tarkvara haavatavuste tuvastamise, klassifitseerimise, tähtsuse järjekorda seadmise, parandamise ja leevendamise pidev praktika. Paljud infoturbe vastavuse, auditi ja riskijuhtimise raamistikud nõuavad organisatsioonidelt haavatavuse haldamise programmi haldamist.

Juhtumitele reageerimine on võime tuvastada teie võrgu kahtlane liiklus või küberrünnakud, see isoleerida ja parandada, et vältida andmete rikkumist, kahjustamist või kadumist. Tavaliselt nimetatakse intsidentidele reageerimist teabeturbe standardseks blokeerimiseks ja kõrvaldamiseks. Igas suuruses organisatsioonides esineb regulaarselt mitut tüüpi turvaintsidente. Tegelikult on enamik võrke väliste üksuste pideva rünnaku all.

Tervishoiusüsteemid kasutavad rutiinse patsientide ravi osana palju erinevaid seadmeid. Need ulatuvad pildistamissüsteemidest seadmeteni, mis ühenduvad otseselt patsiendiga diagnostilistel või ravieesmärkidel. Sellistel seadmetel võivad olla lihtsad teostused, nagu elulisi näitajaid jälgivad voodimonitorid, või need võivad olla keerulisemad, näiteks infusioonipumbad, mis pakuvad spetsiaalseid ravimeetodeid ja nõuavad pidevat ravimikogu värskendamist. Need keerulised ja omavahel ühendatud seadmed mõjutavad patsiendi ohutust, heaolu ja privaatsust ning kujutavad endast potentsiaalseid rünnakute vektoreid organisatsiooni digitaalses jalajäljes. Sellisena peaksid need seadmed sisaldama oma konstruktsioonis ja konfiguratsioonis turvakontrolli, et toetada nende turvalist kasutuselevõttu.

Küberturvalisuse tava nr 10: küberturvalisuse poliitika sisaldab parimaid tavasid, mis on spetsiifilised dokumendid, mis käsitlevad küberturvalisuse poliitikate ja protseduuride rakendamist teie tervishoiuorganisatsioonis.