Terveysalan kyberturvallisuuskäytännöt ja -videot

Kaikkia terveydenhuoltojärjestelmiä kannustetaan voimakkaasti ottamaan tämä sarja käyttöön koulutusohjelmissasi. toimialaryhmiä ja ammatillisia yhdistyksiä, rohkaise jäseniäsi tekemään samoin; ja lääketieteen teknologia-, lääke-, maksaja-, terveydenhuoltoalan IT- ja palveluyritykset, harkitse tämän sarjan laajentamista asiakkaillesi täydentääksesi tukeasi.

Useimmat pienet käytännöt hyödyntävät ulkoistettuja kolmannen osapuolen sähköpostipalveluntarjoajia sen sijaan, että perustettaisiin erillinen sisäinen sähköpostiinfrastruktuuri. Tämän osion sähköpostin suojauskäytännöt on esitetty kolmessa osassa:

1. Sähköpostijärjestelmän kokoonpano: sähköpostijärjestelmän komponentit ja ominaisuudet
2. Koulutus: kuinka lisätä henkilöstön ymmärrystä ja tietoisuutta tavoista suojata organisaatiotasi sähköpostiin perustuvilta kyberhyökkäyksiä, kuten tietojenkalastelulta ja kiristysohjelmilta, vastaan
3. Phishing-simulaatiot: tapoja tarjota henkilökunnalle koulutusta tietojenkalasteluviesteistä ja tiedottaa niistä

Pienen organisaation kaikki päätepisteet on suojattava. Mutta mitä ovat päätepisteet? Ja mitä pieni terveydenhuoltoorganisaatio voi tehdä suojellakseen päätepisteitään?

David Willis, MD ja Kendra Siler, PhD Kennedyn avaruuskeskuksen väestön terveystietojen analysointi- ja jakamisorganisaatiosta, ovat täällä keskustelemassa siitä, mitä sinun pitäisi tehdä vähentääksesi mahdollisuuksia, että kyberhyökkäys tunkeutuu päätepisteisiisi.

Tässä osiossa käsittelemme kyberturvallisuuskäytäntöaluetta 3 – pääsynhallintaa pienille terveydenhuoltoorganisaatioille.

Tämä keskustelu jaetaan kolmeen osaan:

1. Mitä on pääsynhallinta?
2. Miksi se on tärkeää?
3. Kuinka YKHI tai "hikka" voi auttaa parantamaan pienten terveydenhuoltoorganisaatioiden pääsynhallintaa?

National Institute of Standards and Technology tai lyhyesti NIST määrittelee tietoturvaloukkauksen "tapahtumaksi, jossa luvaton henkilö kopioi, lähettää, katselee, varastaa tai käyttää luottamuksellisia tietoja".

Arkaluontoisia, suojattuja tai luottamuksellisia tietoja ovat suojatut terveystiedot (PHI), luottokorttien numerot, asiakkaiden ja työntekijöiden henkilötiedot sekä organisaatiosi immateriaalioikeudet ja liikesalaisuudet.

Mitä tietotekniikkaa tai IT-laitteita organisaatiossasi on? Tiedätkö kuinka monta kannettavaa tietokonetta? mobiililaitteet? Ja verkkokytkimet sinulla on kaikissa sijainneissasi? Mitkä niistä käyttävät Windowsia tai Applen IOS:ää tai jotakin Androidin useista käyttöjärjestelmistä? Jos sitä ei ole kiinnitetty seinään tai pöytään, kuka on vastuussa kustakin laitteesta?

Verkot tarjoavat liitettävyyden, joka mahdollistaa työasemien, lääketieteellisten laitteiden ja muiden sovellusten ja infrastruktuurin viestinnän. Verkot voivat olla langallisia tai langattomia yhteyksiä. Muodosta riippumatta samaa viestintää edistävää mekanismia voidaan käyttää kyberhyökkäyksen käynnistämiseen tai levittämiseen. 

Asianmukainen kyberturvallisuushygienia varmistaa, että verkot ovat turvallisia ja että kaikki verkotetut laitteet pääsevät verkkoihin turvallisesti ja turvallisesti. Vaikka verkonhallinnan tarjoaisi kolmannen osapuolen toimittaja, organisaatioiden tulee ymmärtää oikean verkonhallinnan keskeiset näkökohdat ja varmistaa, että ne sisältyvät näitä palveluja koskeviin sopimuksiin.

Haavoittuvuuksien hallinta on jatkuva käytäntö ohjelmiston haavoittuvuuksien tunnistamiseksi, luokittelemiseksi, priorisoimiseksi, korjaamiseksi ja lieventämiseksi. Monet tietoturvan noudattamista, auditointia ja riskienhallintaa koskevat puitteet edellyttävät organisaatioilta haavoittuvuuksien hallintaohjelman ylläpitoa.

Tapahtumareagointi on kyky tunnistaa verkkosi epäilyttävä liikenne tai kyberhyökkäykset, eristää se ja korjata se tietojen rikkoutumisen, vahingoittumisen tai katoamisen estämiseksi. Tyypillisesti tapaturmavastaamista kutsutaan tietoturvan standardin estämiseksi ja torjumiseksi. Monen tyyppisiä tietoturvahäiriöitä tapahtuu säännöllisesti kaikenkokoisissa organisaatioissa. Itse asiassa useimmat verkot ovat jatkuvan ulkopuolisten tahojen hyökkäyksen kohteena.

Terveydenhuoltojärjestelmät käyttävät monia erilaisia ​​laitteita osana rutiinipotilaiden hoitoa. Nämä vaihtelevat kuvantamisjärjestelmistä laitteisiin, jotka kytkeytyvät suoraan potilaaseen diagnostisia tai terapeuttisia tarkoituksia varten. Tällaisilla laitteilla voi olla yksinkertaisia ​​toteutuksia, kuten vuodemonitorit, jotka valvovat elintoimintoja, tai ne voivat olla monimutkaisempia, kuten infuusiopumput, jotka tarjoavat erikoishoitoja ja vaativat jatkuvaa lääkekirjaston päivitystä. Nämä monimutkaiset ja toisiinsa yhdistetyt laitteet vaikuttavat potilaiden turvallisuuteen, hyvinvointiin ja yksityisyyteen, ja ne edustavat mahdollisia hyökkäysvektoreita organisaation digitaalisessa jalanjäljessä. Sellaisenaan näiden laitteiden suunnitteluun ja kokoonpanoon tulee sisältyä suojausvalvonta, jotta ne voidaan ottaa käyttöön turvallisesti.

Kyberturvallisuuskäytäntö nro 10: Kyberturvallisuuskäytännöt sisältävät parhaita käytäntöjä, jotka koskevat kyberturvallisuuskäytäntöjen ja -menettelyjen käyttöönottoa terveydenhuoltoorganisaatiossasi.