چگونه افزودن تابآوری دیجیتال برای شرکتها حیاتی است؟ چگونه میتوان رهبران را از «امنیت سایبری صرف» به «تابآوری دیجیتال» سوق داد؟
چگونه با کمترین منابع، بیشترین تابآوری را داشته باشیم؟ چگونه با کمترین پول، بیشترین تابآوری را داشته باشیم؟
چگونه خود را به یک هدف کوچکتر تبدیل کنیم؟
اقدامات هدفمند کوچکتر در چارچوبی قرار میگیرند که برخی آن را «اصول اولیه» مینامند. اما رعایت بهداشت «اساسی» در واقع برای بسیاری بسیار دشوار است. سه نکته بهداشتی برتر شما برای عملی کردن این امر که واقعاً مؤثر باشد، چیست؟
ما در مورد سازمانهایی با کمبود منابع صحبت میکنیم، اما برخی از آنها بسیار کمتر از این مقدار منابع دارند، توصیه شما برای سازمانهایی که کمبود شدید منابع امنیتی دارند چیست؟
ارزیابی امنیت فروشنده - مهمترین چیزی که امروز در سال 2025 باید در نظر گرفته شود چیست؟ چگونه از طریق فروشنده خود هک نشویم؟
برای دسترسی به پادکست امنیت ابری گوگل و منابع ذکر شده به اینجا مراجعه کنید. اینجا کلیک کنید
در سال 2024، امنیت سایبری یک چالش بزرگ برای بخش مراقبت های بهداشتی با حملات متعدد با مشخصات بالا بود. به گفته ارول وایس، افسر ارشد امنیت در این سازمان، یک حمله که اطلاعات رکوردشکنی 100 میلیون آمریکایی را افشا کرد، یک "رویداد عطف" بود که نشان داد صنعت مراقبت های بهداشتی چقدر به هم مرتبط است. مرکز به اشتراک گذاری و تجزیه و تحلیل اطلاعات سلامت.
در مورد سه گرایش دیگر در این مقاله هیئت مشورتی بخوانید. اینجا کلیک کنید
به گفته کارشناسان، شکل مقررات هوش مصنوعی در دولت ترامپ در سال جاری نامشخص خواهد بود، در حالی که به گفته کارشناسان، شرکت های مراقبت های بهداشتی به تقویت دفاع سایبری برای مقاومت در برابر حملات فزاینده ادامه خواهند داد.
مجرمان سایبری همچنان مراقبت های بهداشتی را هدف قرار می دهند
کارشناسان می گویند که امنیت سایبری یک چالش بزرگ برای بخش مراقبت های بهداشتی در سال 2024 است و سازمان ها به آن توجه می کنند. اما بالا بردن سطح حفاظت سایبری این صنعت زمان می برد - و بعید است هکرها هدف قرار دادن شرکت های مراقبت های بهداشتی را متوقف کنند.
این صنعت سالی را آغاز می کند که شامل چندین حمله با مشخصات بالا می شود. در اوایل سال 2024، کل اکوسیستم مراقبت های بهداشتی برای مدیریت پیامدهای حمله سایبری علیه Change Healthcare، یک شرکت فناوری و پردازشگر ادعاهای متعلق به غول صنعتی UnitedHealth، تلاش کرد.
حمله - که دادههای a رکوردشکنی 100 میلیون آمریکایی - یک "رویداد عطف" بود که ماهیت بهم پیوسته این بخش را برجسته کرد ارول وایس، افسر ارشد امنیتی در مرکز به اشتراک گذاری و تجزیه و تحلیل اطلاعات سلامت یا Health-ISAC.
ویس گفت: «فکر میکنم در لحظه بیداری، تأمینکنندگان چگونه میتوانستند یک نقطه از شکست را بر ارائه مراقبتهای بهداشتی تأثیر بگذارند».
مرکز خون نیویورک (NYBC) اعلام کرد که مورد حمله باج افزاری قرار گرفته است که باعث اختلال در عملیات شده و آن را مجبور به برنامه ریزی مجدد برخی از عملیات ها کرده است.
حملات سایبری به مراکز اهدای خون باعث شده است مرکز به اشتراک گذاری و تجزیه و تحلیل اطلاعات سلامت (Health-ISAC) و انجمن بیمارستان های آمریکا (AHA) الف بولتن تهدید مشترک هشدار در مورد اختلالات احتمالی زنجیره تامین
Roei Sherman، CTO فیلد در این باره گفت: «حمله اخیر باج افزار به مرکز خون نیویورک (NYBC) به عنوان زنگ خطری برای سازمان ها در سراسر بخش ها، به ویژه آنهایی که در خدمات حیاتی مانند مراقبت های بهداشتی هستند، عمل می کند. ضرب و شتم. این حادثه به عنوان یکی از بزرگترین سازمانهای مستقل جمعآوری و توزیع خون در جهان، نه تنها ظرفیت عملیاتی آنها را تضعیف میکند، بلکه سلامت عمومی را بالقوه به خطر میاندازد.»
هدف ابتکار تقویت امنیت بیمارستان های عضو اتحادیه اروپا، ارائه دهندگان مراقبت های بهداشتی است
ارول وایس، افسر ارشد امنیتی سلامت-ISAC در ایالات متحده، گفت که برنامه اقدام کمیسیون اتحادیه اروپا در زمانی ارائه می شود که سازمان های مراقبت های بهداشتی هنوز برای به دست آوردن بودجه کافی برای دفاع از شبکه های خود تلاش می کنند.
این مشکل در اتحادیه اروپا، ایالات متحده و در سطح جهانی دیده می شود. سازمانهای مراقبتهای بهداشتی به منابع نیاز دارند - نه تنها به فناوری مورد نیاز برای محافظت از آن شبکهها، بلکه به متخصصان مجرب infosec برای اجرای این سیستمها نیز نیاز دارند. او گفت: "خوشحالم که کمیسیون ارزشی را که ISAC برای محافظت از سازمان ها و بهبود امنیت از طریق اشتراک گذاری اطلاعات و همکاری به ارمغان می آورد، تشخیص می دهد."
ویس گفت، کسانی که وظیفه حفاظت از زیرساخت های دیجیتالی خود را بر عهده دارند می دانند که با به اشتراک گذاری اطلاعات، نه تنها از خود محافظت می کنند، بلکه امنیت کل اکوسیستم دیجیتال را نیز تقویت می کنند.
او گفت که در سال 2023، Health-ISAC با ISAC بهداشت اروپا همکاری کرد تا «قدرت جهانی» عضویت Health-ISAC را از طریق قابل مشاهده بودن تهدیدها در بیش از 140 کشور با قدرت ISAC بهداشت اروپا از دیدگاههای محلی و محلی افزایش دهد.
وی گفت: ما باید متحد شویم و در برابر تهدیدات سایبری هوشیار باشیم. با همکاری Health-ISAC و European Health ISAC در اتحادیه اروپا، ما میتوانیم جامعه ایمنتری ایجاد کنیم که در آن سازمانهای مراقبتهای بهداشتی از دید بهتر تهدیدها و آسیبپذیریها بهره میبرند، به علاوه آنها از اشتراکگذاری بهترین شیوهها و سایر بینشهای کلیدی که در نهایت ایمنی بیمار را بهبود میبخشد، بهرهمند میشوند. "
کارشناسان توصیه هایی برای مدیریت موجودی در حال رشد، منابع برای ارائه دهندگان ارائه می دهند
فیل انگلرت، معاون امنیت تجهیزات پزشکی در Health Information گفت: راهنمای HSCC "امنیت سایبری صنعت بهداشت - مدیریت امنیت فناوری قدیمی" - یا HIC-MaLTS - بهترین شیوه ها را به سازمان ها ارائه می دهد که می توانند برای مدیریت خطرات سایبری فناوری های پزشکی قدیمی استفاده شوند. مرکز به اشتراک گذاری و تجزیه و تحلیل
HIC-MaLTS چالش های رایج امنیت سایبری مراقبت های بهداشتی را انجام می دهد. به عنوان مثال، «بسیاری از انواع مختلف دستگاههای پزشکی و مکانهای متنوعی که در آنها استفاده میشود، دارای پروفایلهای خطر منحصربهفرد هستند و شامل ویژگیهای تشخیصی، درمانی، پوشیدنی، کاشتنی و نرمافزاری بهعنوان یک ابزار پزشکی، از جمله ویژگیهای قابل استفاده هستند. در بیمارستانها، کلینیکها و سایر مراکز مراقبتهای بهداشتی غیر بالینی و خانگی.»
همچنین در این مقاله:
چهار مرحله چرخه زندگی تجهیزات پزشکی
موجودی های "نمای سیستم" همراه با کنترل های تقسیم بندی و دسترسی به شبکه
زبان مدل قرارداد HSCC برای امنیت سایبری Medtech
مقاله در Healthcare Infosecurity را اینجا بخوانید. اینجا کلیک کنید
مقاله کامل را در اطلاعات امنیت Buzz بخوانید. اینجا کلیک کنید
از سال 1996، قانون قابل حمل و پاسخگویی بیمه سلامت (HIPAA) سنگ بنای حفظ حریم خصوصی بیمار بوده است. این قانون استانداردهایی را برای نحوه مدیریت و به اشتراک گذاری داده های بیماران توسط سازمان های مراقبت های بهداشتی ایجاد کرد و چارچوبی برای اطمینان از محرمانگی ایجاد کرد.
اما چشم انداز مراقبت های بهداشتی به طور چشمگیری دگرگون شده است و خطرات آن چند برابر شده است. تهدیدات سایبری نوظهور و آسیب پذیری های پیچیده شکاف های حیاتی در حفاظت های HIPAA را آشکار کرده است. در پاسخ، قانونگذاران قوانین جدیدی را با هدف تقویت سازمان های مراقبت های بهداشتی در برابر موج فزاینده حملات سایبری پیش می برند.
سال گذشته، قانونگذاران دو لایحه - قانون امنیت سایبری مراقبتهای بهداشتی سال 2024 و قانون امنیت زیرساختهای سلامت و مسئولیتپذیری سال 2024 (HISAA) - با هدف مدرنسازی حفاظت از دادههای حساس سلامت ارائه کردند. در حالی که این اقدامات نشان دهنده یک گام مهم رو به جلو است، اما همچنان در روند قانون گذاری متوقف شده و هنوز به قانون تبدیل نشده است.
و، حتی در صورت تصویب، محدوده محدود و مکانیسمهای اجرایی مشخص شده در این لوایح ممکن است در مقابله با تهدیدات سایبری فزایندهای که سیستم مراقبتهای بهداشتی دیجیتالی بهطور فزایندهای ما را تهدید میکند، کوتاهی کند. بدون رویکرد جامعتر و تهاجمیتر، این ابتکارات بهعنوان ژستهای نمادین در مبارزهای که مستلزم اقدام فوری و قاطع است دیده میشود.
فیل انگلرت و میزبان ما، کریس بلاسک، ریاست یک گروه کاری CISA را در زمینه اشتراک گذاری صورتحساب مواد نرم افزاری (SBOM) بر عهده داشته اند. این گروه کاری فرآیندی را برای کمک به ISAC ها و سازمان های مشابه ایجاد کرده است تا معماری کنترل لازم برای مدیریت توزیع SBOM ها در بین اعضای خود را تعیین کنند.
پادکست Inevitability Curve EP14 را اینجا بشنوید. اینجا کلیک کنید
سازمانهای مراقبتهای بهداشتی با هر شکل و اندازهای از سال 2025 با قوانین پیشنهادی جدید، استانداردهای سختگیرانهتری از امنیت سایبری خواهند داشت، اما همه بودجهای برای آن ندارند.
از ابتدا، HIPAA همیشه بهترین و در عین حال ناکافی مقرراتی بوده است که امنیت سایبری را برای صنعت مراقبت های بهداشتی دیکته می کند.
میگوید: «سابقهای وجود دارد که تمرکز در مکان نامناسبی وجود دارد، زیرا HIPAA در اواسط دهه 1990 طراحی شد. ارول وایس، افسر ارشد امنیت اطلاعات (CISO) مرکز به اشتراک گذاری و تجزیه و تحلیل اطلاعات مراقبت های بهداشتی (Health-ISAC). «در آن زمان، این فشار بزرگ برای انتقال سوابق پزشکی و بهداشتی به رسانه الکترونیکی وجود داشت. و با ظهور مقررات HIPAA، همه چیز در مورد محافظت از حریم خصوصی بیماران بود اما لزوماً حفظ آن سوابق نیست.
تمرکز HIPAA بر حریم خصوصی، توانایی آن را برای مقابله با تهدیدات امنیت سایبری متنوع تر در دهه 2010، به ویژه باج افزارها، محدود کرد. در همین حال، سازمانها بهجای استفاده از آن بهعنوان پایهای برای ایجاد یک وضعیت امنیتی قوی، تمایل داشتند HIPAA را بیشتر بهعنوان مجموعهای از جعبهها برای بررسی رفتار کنند. "به پایان رسید هدایت بودجه به سمت انطباق و نه لزوماً امنیت. ویس می گوید که در پنج یا شش سال گذشته، در محیطی که به درستی ایمن نشده، به درستی متصل نشده، به درستی پشتیبان گیری نشده است، چه اتفاقی می افتد، زمانی که آنها توسط باج افزار مورد حمله قرار می گیرند.
Dispersive's Pingree تخمین میزند: «حتی اگر آنها از قبل تمام کنترلهای NIST را دنبال کنند، اجرای قوانین امنیتی جدید HIPAA ممکن است برای یک مطب پزشک کوچک 100,000 دلار هزینه داشته باشد، یا اگر شما یک پزشک بزرگ هستید میتواند میلیونها دلار باشد. گروه.”
به گفته Weiss، یکی از راههای احتمالی که سازمانهای مراقبتهای بهداشتی مستعد میتوانند تمام این قوانین جدید و هزینههای مرتبط با آنها را دنبال کنند، استفاده از یک افسر امنیت اطلاعات مجازی (vCISO) است. زیرا «فقط خرید فناوری نیست. همچنین در مورد جذب و حفظ تخصص امنیت سایبری است که برای اجرای آن نیاز دارید.»
او ادامه می دهد: «این سازمان ها نمی دانند از کجا شروع کنند. «بازار امنیت سایبری بسیار گیج کننده است. بازیکنان زیادی هستند. راه حل های زیادی وجود دارد. بنابراین اگر 100 دلار برای هزینه کردن در امنیت سایبری دارید، آن را کجا خرج می کنید؟ آنها به کمک نیاز دارند تا بتوانند همه اینها را بفهمند. و من فکر می کنم چیزی مانند یک CISO مجازی می تواند به اجرای یک استراتژی کمک کند، و سپس به صورت مجازی در اطراف باشد - برای بررسی، منبعی برای آن سازمان زمانی که آنها سؤالی دارند و به کمک نیاز دارند. به نظر می رسد یک مدل مناسب برای این بیمارستان های کوچک روستایی است که لزوما نمی توانند یک CISO تمام وقت را توجیه یا استخدام کنند.
کارشناسان: اختیارات جدید برای بسیاری از نهادها ممکن است دشوار و پرهزینه باشد
به گفته کارشناسان، بازنگری پیشنهادی قوانین امنیت سایبری فدرال برای صنعت مراقبتهای بهداشتی میتواند به معنای انجام کارهای سنگین و پرهزینه برای بسیاری از سازمانها باشد.
گفت: "هزینه های انجام این مقررات بسیار زیاد خواهد بود." ارول وایس، افسر ارشد امنیت مرکز به اشتراک گذاری و تجزیه و تحلیل اطلاعات سلامت. «پول از کجا می آید که این همه را بپردازد؟ این نمی تواند ناشی از صرفه جویی در آینده ناشی از مجازات های نقض اجتناب شده باشد. ارائه دهندگان مراقبت های بهداشتی با مشکلات مالی، به ویژه بیمارستان های کوچک روستایی، منابع لازم برای حمایت از این پیشنهادات جدید را ندارند.
ویس گفت، هرگونه الزامات نظارتی مانند این باید با کمک مالی همراه باشد تا ارائه دهندگان مراقبت های بهداشتی بتوانند فناوری مناسب را به دست آورند و مهمتر از آن، متخصصان باتجربه امنیت سایبری را استخدام و حفظ کنند تا به اندازه کافی از شبکه های خود محافظت کنند.
مقاله کامل را در بانک اطلاعات امنیت بخوانید. اینجا کلیک کنید
Google با Health-ISAC همکاری می کند تا برنامه های آموزشی نوآورانه، برنامه های اطلاعاتی امنیت سایبری و سایر منابع را برای سیستم های بهداشت روستایی ارائه دهد.
حملات سایبری به سازمانهای مراقبتهای بهداشتی، توانایی آنها را برای فعالیت مختل کرده و مراقبت از بیمار را به خطر میاندازد. سیستم های مراقبت های بهداشتی روستایی در ایالات متحده به 60 میلیون نفر خدمت می کنند و در قلب جوامع بی شماری قرار دارند. هنگامی که سیستم های اطلاعاتی مراقبت های بهداشتی حیاتی به دلیل حوادث سایبری در دسترس نباشد، ایمنی همه افراد در یک جامعه به خطر می افتد.
گوگل متعهد به کمک به سیستم های بهداشتی آسیب پذیر است که انعطاف پذیری خود را در برابر حملات سایبری تقویت کنند. ما با دولت و صنعت همکاری می کنیم تا خدمات، پشتیبانی و فناوری های خود را ارائه دهیم و سیستم ها را قادر می سازد تا بر مراقبت از بیمار تمرکز کنند.
یک ابتکار مناسب برای بهبود امنیت
طراحی شده برای بیمارستان های روستایی
سیستمهای بهداشت روستایی و بیمارستانها منعکس کننده منحصر به فرد بودن جوامعی هستند که به آنها خدمات میدهند، و پیشنهاد ما نیز همینطور است. این مجموعه رو به رشدی از فناوری Google با طراحی ایمن برای دسترسی و همکاری، خدمات مشاوره و پشتیبانی و منابع آموزشی امنیتی را با تخفیف یا بدون هزینه ارائه میکند. راه حل با نیازهای هر نهاد بهداشتی روستایی تطبیق داده شده است. مرکز بهداشتی درمانی باید در یک شهرستان یا منطقه ای قرار داشته باشد که توسط سازمان به عنوان روستا تعیین شده است مدیریت منابع و خدمات بهداشتی (HRSA).
همکاری موثر برای دفاع در برابر حملات سایبری و پاسخ به آن برای تامین امنیت مراقبت های بهداشتی حیاتی است. گوگل یک شریک سفیر به مرکز به اشتراک گذاری و تجزیه و تحلیل اطلاعات سلامت (Health-ISAC). ماموریت Health-ISAC تقویت روابط قابل اعتماد در صنعت مراقبت های بهداشتی جهانی برای کمک به پیشگیری، شناسایی و پاسخ به رویدادهای امنیت سایبری و امنیت فیزیکی است تا اعضا بتوانند بر بهبود سلامت و نجات جان افراد تمرکز کنند. Google با Health-ISAC همکاری میکند تا برنامههای آموزشی نوآورانه، برنامههای اطلاعاتی امنیت سایبری و سایر منابع را برای سیستمهای بهداشت روستایی ارائه دهد.
پیشنهادات برنامه
با اذعان به محدودیتهای مالی که بسیاری از سیستمهای مراقبت بهداشتی روستایی با آن مواجه هستند، اکثر این موارد بدون هزینه یا با تخفیفهای قابل توجه ارائه میشوند. علاوه بر این، ما خدمات پیاده سازی و پشتیبانی را به سازمان های واجد شرایط ارائه خواهیم کرد. این پیشنهادات در حال حاضر فقط در ایالات متحده موجود است.
ما با ارول وایس، مدیر ارشد امنیتی Health-ISAC به گفتگو نشستیم تا در مورد شغل 25 ساله وی در زمینه بانکداری، دولت و مراقبت های بهداشتی صحبت کنیم و بزرگترین تهدیدها و روندهای امنیت سایبری را که بر صنعت مراقبت های بهداشتی در سال 2025 و پس از آن تأثیر می گذارد، شناسایی کنیم.
چالش های منحصر به فرد در امنیت سایبری مراقبت های بهداشتی
ویس چالش های منحصر به فردی را که سازمان های مراقبت های بهداشتی با آن در مقایسه با خدمات مالی با آن مواجه هستند، تشریح کرد. سیستمهای مراقبتهای بهداشتی اغلب زیرساختهای پیچیده، از جمله سیستمهای مبتنی بر ابر مدرن، دستگاههای قدیمی (مانند دستگاههای MRI با سیستمعاملهای قدیمی) و اکوسیستمهای تجهیزات پزشکی متنوع را مدیریت میکنند. این پیچیدگی با سرمایهگذاری کم درازمدت در امنیت سایبری، با منابعی که از لحاظ تاریخی به حفظ حریم خصوصی و انطباق تخصیص داده شدهاند (مثلاً مقررات HIPAA) به جای اقدامات امنیتی قوی، ترکیب میشود.
او تاکید کرد که کمبود بودجه و فقدان افسران ارشد امنیت اطلاعات (CISOs) اختصاصی در مراقبتهای بهداشتی، حفاظت موثر از این محیطها را چالش برانگیز میکند. با این حال، حوادثی مانند حملات باج افزار باعث افزایش آگاهی و سرمایه گذاری در امنیت سایبری مراقبت های بهداشتی در دهه گذشته شده است.
