رفتن به محتوای اصلی

اقدامات و ویدئوهای امنیت سایبری صنعت سلامت

مجموعه آموزشی ویدئویی "امنیت سایبری برای پزشک".

مجموعه آموزشی ویدیویی «امنیت سایبری برای پزشک» که مجموعاً 47 دقیقه از میان هشت ویدیو به طول می‌انجامد، به زبانی ساده و غیر فنی توضیح می‌دهد که پزشکان و دانشجویان در حرفه پزشکی باید بدانند که چگونه حملات سایبری می‌تواند بر عملیات بالینی و ایمنی بیمار تأثیر بگذارد، و چگونه سهم خود را برای کمک به ایمن نگه داشتن داده های مراقبت های بهداشتی، سیستم ها و بیماران از تهدیدات سایبری انجام دهید.

این مجموعه برای یک ساعت اعتبار CME/CEU خوب است. استفاده از این ویدیوهای آموزشی همچنین ممکن است الزامات مستندات مربوط به قانون آمادگی اضطراری CMS، انجمن ملی حفاظت از آتش و کمیسیون مشترک تجزیه و تحلیل آسیب پذیری خطرات تأسیسات و تجزیه و تحلیل خطر و آموزش را برآورده کند.

درباره این مجموعه ویدیویی

همه سیستم های بهداشتی به شدت تشویق می شوند که این مجموعه را در برنامه های آموزشی خود بپذیرند. گروه های صنعتی و انجمن های حرفه ای، لطفاً اعضای خود را به انجام همین کار تشویق کنید. و شرکت‌های medtech، داروسازی، پرداخت‌کننده، فناوری اطلاعات سلامت و خدمات، لطفاً به عنوان مکملی برای پشتیبانی خود، این مجموعه را به مشتریان و مشتریان خود گسترش دهید.
مجموعه کامل ویدیو را مشاهده کنید
ابتکار 405(d) Aligning Health Care Industry Practices Practices، همراه با نشریه اقدامات امنیت سایبری صنعت بهداشت: مدیریت تهدیدات و محافظت از بیماران (HICP) که این ویدئوها نیز به آن مرتبط هستند، با همکاری شورای هماهنگی بخش مراقبت های بهداشتی و سلامت عمومی انجام می شود. (HSCC).
درباره ابتکار بیشتر بدانید
انتشارات و مطبوعات جدید HSCC

جلد فنی 1:
شیوه های امنیت سایبری برای سازمان های مراقبت های بهداشتی کوچک

دانلود جلد 1 PDF

شماره 1 - معرفی و سیستم های حفاظت از ایمیل

اکثر روش های کوچک به جای ایجاد زیرساخت اختصاصی ایمیل داخلی، از ارائه دهندگان ایمیل شخص ثالث برون سپاری شده استفاده می کنند. اقدامات حفاظت از ایمیل در این بخش در سه بخش ارائه شده است:

  1. پیکربندی سیستم ایمیل: اجزا و قابلیت هایی که باید در سیستم ایمیل شما گنجانده شود
  2. آموزش: نحوه افزایش درک و آگاهی کارکنان از راه‌های محافظت از سازمان در برابر حملات سایبری مبتنی بر ایمیل مانند فیشینگ و باج‌افزار
  3. شبیه سازی فیشینگ: راه هایی برای ارائه آموزش به کارکنان و آگاهی از ایمیل های فیشینگ

شماره 2 - سیستم های حفاظت نقطه پایان

همه نقاط پایانی یک سازمان کوچک باید محافظت شوند. اما نقاط پایانی چیست؟ و، یک سازمان مراقبت های بهداشتی کوچک برای محافظت از نقاط پایانی خود چه می تواند انجام دهد؟

دیوید ویلیس، MD و کندرا سیلر، دکترای سازمان تجزیه و تحلیل و به اشتراک گذاری اطلاعات سلامت جمعیت در مرکز فضایی کندی اینجا هستند تا در مورد آنچه که باید انجام دهید تا احتمال نفوذ یک حمله سایبری به نقاط پایانی خود را کاهش دهید، بحث کنند.

شماره 3 - مدیریت دسترسی

در این بخش، ما در مورد حوزه عملکرد امنیت سایبری شماره 3 - مدیریت دسترسی برای سازمان‌های مراقبت‌های بهداشتی کوچک بحث خواهیم کرد.

این بحث در سه بخش تنظیم خواهد شد:

  1. مدیریت دسترسی چیست؟
  2. چرا مهم است؟
  3. چگونه HICP یا "Hicup" می تواند به بهبود مدیریت دسترسی برای سازمان های مراقبت های بهداشتی کوچک کمک کند؟

شماره 4 - حفاظت از داده ها و پیشگیری از از دست دادن

مؤسسه ملی استاندارد و فناوری، یا به اختصار NIST، نقض داده را اینگونه تعریف می‌کند: «حادثه‌ای که شامل اطلاعات حساس، محافظت‌شده یا محرمانه است که توسط فردی غیرمجاز برای انجام این کار کپی، مخابره، مشاهده، سرقت یا استفاده می‌شود».

داده های حساس، محافظت شده یا محرمانه شامل اطلاعات حفاظت شده سلامت (PHI)، شماره کارت اعتباری، اطلاعات شخصی مشتری و کارمند، و مالکیت معنوی و اسرار تجاری سازمان شما است.

شماره 5 - مدیریت دارایی

چه فناوری اطلاعات یا دستگاه های IT در سازمان خود دارید؟ آیا می دانید لپ تاپ چند است؟ دستگاه های موبایل؟ و سوئیچ های شبکه ای که در همه مکان های خود دارید؟ کدام یک از سیستم عامل های ویندوز یا آی او اس اپل یا یکی از چندین سیستم عامل اندروید استفاده می کنند؟ اگر به دیوار یا میز وصل نباشد مسئول هر دستگاه کیست؟

شماره 6 - مدیریت شبکه

شبکه‌ها اتصالی را فراهم می‌کنند که به ایستگاه‌های کاری، دستگاه‌های پزشکی و سایر برنامه‌ها و زیرساخت‌ها اجازه برقراری ارتباط را می‌دهد. شبکه ها می توانند به شکل اتصالات سیمی یا بی سیم باشند. صرف نظر از شکل، همان مکانیسمی که ارتباطات را تقویت می کند می تواند برای راه اندازی یا انتشار یک حمله سایبری استفاده شود. 

بهداشت مناسب امنیت سایبری تضمین می کند که شبکه ها ایمن هستند و همه دستگاه های شبکه می توانند به طور ایمن و ایمن به شبکه ها دسترسی داشته باشند. حتی اگر مدیریت شبکه توسط یک فروشنده شخص ثالث ارائه شود، سازمان‌ها باید جنبه‌های کلیدی مدیریت صحیح شبکه را درک کنند و اطمینان حاصل کنند که آنها در قراردادهای این خدمات گنجانده شده‌اند.

شماره 7 - مدیریت آسیب پذیری

مدیریت آسیب‌پذیری روشی مستمر برای شناسایی، طبقه‌بندی، اولویت‌بندی، اصلاح و کاهش آسیب‌پذیری‌های نرم‌افزاری است. بسیاری از چارچوب‌های انطباق، حسابرسی و مدیریت ریسک، امنیت اطلاعات، سازمان‌ها را ملزم به حفظ یک برنامه مدیریت آسیب‌پذیری می‌کنند.

شماره 8 - واکنش به حادثه

پاسخ به رویداد توانایی شناسایی ترافیک یا حملات سایبری مشکوک در شبکه شما، جداسازی آن و اصلاح آن به منظور جلوگیری از نقض، آسیب یا از دست دادن داده است. به طور معمول، پاسخ حادثه به عنوان استاندارد "مسدود کردن و مقابله با" امنیت اطلاعات نامیده می شود. بسیاری از انواع حوادث امنیتی به طور منظم در سازمان ها در هر اندازه رخ می دهد. در واقع، بیشتر شبکه ها تحت حمله دائمی نهادهای خارجی هستند.

شماره 9 - امنیت تجهیزات پزشکی

سیستم های مراقبت های بهداشتی از دستگاه های مختلفی به عنوان بخشی از درمان معمول بیمار استفاده می کنند. اینها از سیستم های تصویربرداری گرفته تا دستگاه هایی که مستقیماً برای اهداف تشخیصی یا درمانی به بیمار متصل می شوند، هستند. چنین دستگاه‌هایی ممکن است پیاده‌سازی ساده‌ای داشته باشند، مانند مانیتورهای کنار تخت که علائم حیاتی را نظارت می‌کنند، یا ممکن است پیچیده‌تر باشند، مانند پمپ‌های تزریق که درمان‌های تخصصی را ارائه می‌کنند و به به‌روزرسانی مداوم کتابخانه دارو نیاز دارند. این دستگاه‌های پیچیده و به هم پیوسته بر ایمنی، رفاه و حریم خصوصی بیمار تأثیر می‌گذارند و بردارهای حمله احتمالی را در ردپای دیجیتالی سازمان‌ها نشان می‌دهند. به این ترتیب، این دستگاه ها باید شامل کنترل های امنیتی در طراحی و پیکربندی خود باشند تا از استقرار به شیوه ای ایمن پشتیبانی کنند.

شماره 10 - سیاست های امنیت سایبری

تمرین امنیت سایبری شماره 10: سیاست‌های امنیت سایبری شامل بهترین شیوه‌ها می‌شود که مستندی خاص برای اجرای سیاست‌ها و رویه‌های امنیت سایبری در سازمان مراقبت‌های بهداشتی شماست.
مارک جارت، رئیس شورای هماهنگی بخش مراقبت های بهداشتی و سلامت عمومی (HSCC) گفت: هر مدیر اجرایی بیمارستان C-Suite باید از یک برنامه امنیت سایبری خوب، که شامل آموزش کارکنان بالینی در مورد اصول اولیه است، حمایت کند. دکتر جارت، که همچنین مدیر ارشد کیفیت سابق و معاون مدیر ارشد پزشکی برای سلامت نورثول است، افزود: «به هر سیستم بیمارستانی در کشور توصیه می‌کنم که از «امنیت سایبری برای پزشکان» در سیستم‌های مدیریت یادگیری خود استفاده کند.
مارک جارت، رئیس شورای هماهنگی بخش سلامت و بهداشت عمومی (HSCC)
برای سازمان‌های کوچک‌تر، کاملاً طبیعی است که باور کنند هدف یا قربانی حملات سایبری نخواهید شد. به هر حال، چرا یک مجرم سایبری به تجارت محلی شما اهمیت می دهد؟ حقیقت این است که بیشتر حملات سایبری «فرصت‌طلبانه» هستند. این بدان معناست که جنایتکاران وقتی به دنبال قربانی هستند، شبکه گسترده ای را پرتاب می کنند. به ماهیگیران دریایی فکر کنید. روش‌هایی که آن‌ها استفاده می‌کنند شامل شستشوی دریاها، ریختن تورهایشان و کشیدن ماهی‌هایی است که صید می‌شوند.