Preskoči na glavni sadržaj

Praksa kibersigurnosti u zdravstvenoj industriji i videozapisi

Serija videoobuke "Kibernetička sigurnost za kliničare".

Serija videosadržaja “Cybersecurity for the Clinician” u ukupnom trajanju od 47 minuta između osam videozapisa objašnjava jednostavnim, netehničkim jezikom što kliničari i studenti medicinske profesije trebaju razumjeti o tome kako cyber napadi mogu utjecati na kliničke operacije i sigurnost pacijenata i kako učinite svoj dio pomoći u zaštiti zdravstvenih podataka, sustava i pacijenata od kibernetičkih prijetnji.

Serija je dobra za jedan CME/CEU kreditni sat. Korištenje ovih videozapisa za obuku također može zadovoljiti zahtjeve dokumentacije CMS Pravila o spremnosti za hitne slučajeve, Nacionalne udruge za zaštitu od požara i Zajedničkog povjerenstva za analizu ranjivosti objekata i analizu rizika i obuku.

O ovoj video seriji

Svi zdravstveni sustavi snažno se potiču da usvoje ovu seriju u svojim programima obuke; industrijske grupe i strukovna društva, potaknite svoje članove da učine isto; i medicinske, farmaceutske, platiteljske, zdravstvene IT i uslužne tvrtke, razmislite o proširenju ove serije na svoje kupce i klijente kao dodatak vašoj podršci.
Pogledajte cijelu video seriju
Inicijativa 405(d) Usklađivanje sigurnosnih praksi zdravstvene industrije, zajedno s publikacijom Prakse kibernetičke sigurnosti zdravstvene industrije: Upravljanje prijetnjama i zaštita pacijenata (HICP) na koju se odnose i ovi videozapisi, su u partnerstvu s Koordinacijskim vijećem sektora zdravstva i javnog zdravstva (HSCC).
Saznajte više o Inicijativi
HSCC Nova priopćenja i tisak

Tehnički svezak 1:
Prakse kibernetičke sigurnosti za male zdravstvene organizacije

Preuzmite Svezak 1 u PDF-u

#1 – Uvod i sustavi zaštite e-pošte

Većina malih ordinacija koristi vanjske pružatelje e-pošte trećih strana, umjesto uspostavljanja namjenske interne infrastrukture e-pošte. Prakse zaštite e-pošte u ovom odjeljku predstavljene su u tri dijela:

  1. Konfiguracija sustava e-pošte: komponente i mogućnosti koje bi trebale biti uključene u vaš sustav e-pošte
  2. Obrazovanje: kako povećati razumijevanje i svijest osoblja o načinima zaštite vaše organizacije od cyber napada temeljenih na e-pošti kao što su krađa identiteta i ransomware
  3. Simulacije krađe identiteta: načini da se osoblju omogući obuka o e-pošti za krađu identiteta i da se upozna s njima

#2 – Sustavi zaštite krajnjih točaka

Sve krajnje točke male organizacije moraju biti zaštićene. Ali što su krajnje točke? I što mala zdravstvena organizacija može učiniti da zaštiti svoje krajnje točke?

David Willis, MD i Kendra Siler, PhD iz Organizacije za analizu i razmjenu informacija o zdravlju stanovništva u Svemirskom centru Kennedy ovdje su kako bi razgovarali o tome što biste trebali učiniti kako biste smanjili šanse da kibernetički napad prodre u vaše krajnje točke.

#3 – Upravljanje pristupom

U ovom odjeljku raspravljat ćemo o području kibersigurnosti broj 3 – Upravljanje pristupom za male zdravstvene organizacije.

Ova rasprava bit će organizirana u tri cjeline:

  1. Što je upravljanje pristupom?
  2. Zašto je to važno?
  3. Kako HICP ili "štucanje" može pomoći poboljšanju upravljanja pristupom za male zdravstvene organizacije?

#4 – Zaštita podataka i sprječavanje gubitka

Nacionalni institut za standarde i tehnologiju, ili skraćeno NIST, definira povredu podataka kao "incident koji uključuje kopiranje, prijenos, pregled, krađu ili korištenje osjetljivih, zaštićenih ili povjerljivih informacija od strane osobe koja za to nije ovlaštena."

Osjetljivi, zaštićeni ili povjerljivi podaci uključuju zaštićene zdravstvene informacije (PHI), brojeve kreditnih kartica, osobne podatke o kupcima i zaposlenicima te intelektualno vlasništvo i poslovne tajne vaše organizacije.

#5 – Upravljanje imovinom

Koju informacijsku tehnologiju ili IT uređaje imate u svojoj organizaciji? Znate li koliko laptopa? mobilni uređaji? A mrežni preklopnici koje imate na svim svojim lokacijama? Koji pokreću Windows ili Appleov IOS ili jedan od nekoliko Androidovih operativnih sustava? Ako nije pričvršćen na zid ili stol, tko je odgovoran za svaki uređaj?

#6 – Upravljanje mrežom

Mreže pružaju povezivost koja omogućuje komunikaciju radnih stanica, medicinskih uređaja i drugih aplikacija i infrastrukture. Mreže mogu biti u obliku žičnih ili bežičnih veza. Bez obzira na oblik, isti mehanizam koji potiče komunikaciju može se koristiti za pokretanje ili širenje kibernetičkog napada. 

Odgovarajuća kibersigurnosna higijena osigurava da su mreže sigurne i da svi umreženi uređaji mogu pristupiti mrežama sigurno i zaštićeno. Čak i ako upravljanje mrežom pruža dobavljač treće strane, organizacije bi trebale razumjeti ključne aspekte pravilnog upravljanja mrežom i osigurati da su uključeni u ugovore za te usluge.

#7 – Upravljanje ranjivostima

Upravljanje ranjivostima kontinuirana je praksa identificiranja, klasificiranja, određivanja prioriteta, ispravljanja i ublažavanja ranjivosti softvera. Mnogi okviri usklađenosti informacijske sigurnosti, revizije i upravljanja rizikom zahtijevaju od organizacija da održavaju program upravljanja ranjivostima.

#8 – Odgovor na incident

Odgovor na incident je sposobnost prepoznavanja sumnjivog prometa ili kibernetičkih napada na vašoj mreži, njegove izolacije i sanacije kako bi se spriječila povreda podataka, oštećenje ili gubitak. Obično se odgovor na incident naziva standardnim "blokiranjem i rješavanjem" informacijske sigurnosti. Mnoge vrste sigurnosnih incidenata događaju se redovito u organizacijama svih veličina. Zapravo, većina mreža je pod stalnim napadima vanjskih entiteta.

#9 – Sigurnost medicinskih uređaja

Sustavi zdravstvene zaštite koriste mnogo različitih uređaja kao dio rutinskog liječenja pacijenata. Oni sežu od sustava za slikanje do uređaja koji se izravno povezuju s pacijentom u dijagnostičke ili terapeutske svrhe. Takvi uređaji mogu imati jednostavne implementacije, poput noćnih monitora koji prate vitalne znakove, ili mogu biti kompliciraniji, poput infuzijskih pumpi koje daju specijalizirane terapije i zahtijevaju kontinuirano ažuriranje knjižnice lijekova. Ovi složeni i međusobno povezani uređaji utječu na sigurnost, dobrobit i privatnost pacijenata i predstavljaju potencijalne vektore napada u digitalnom otisku organizacije. Kao takvi, ovi bi uređaji trebali uključivati ​​sigurnosne kontrole u svom dizajnu i konfiguraciji kako bi podržali njihovu implementaciju na siguran način.

#10 – Politike kibernetičke sigurnosti

Praksa kibernetičke sigurnosti #10: Politika kibernetičke sigurnosti uključuje najbolju praksu koja je specifična za provedbu politika i procedura kibernetičke sigurnosti u vašoj zdravstvenoj ustanovi.
Svaki rukovoditelj bolničkog C-Suitea mora podržati dobar program kibernetičke sigurnosti, koji uključuje obuku kliničkog osoblja o osnovama,” rekao je Mark Jarrett, predsjednik Koordinacijskog vijeća sektora zdravstva i javnog zdravstva (HSCC). Dr. Jarrett, koji je također bivši glavni službenik za kvalitetu i zamjenik glavnog medicinskog službenika za Northwell Health, dodao je “Savjetovao bih svakom bolničkom sustavu u zemlji da razmotri korištenje 'Cybersecurity for the Clinician' u svojim sustavima upravljanja učenjem.
Mark Jarrett, predsjednik Koordinacijskog vijeća zdravstvenog i javnog sektora (HSCC)
Za manje organizacije sasvim je normalno vjerovati da nećete biti meta ili žrtva bilo kakvog kibernetičkog napada. Uostalom, zašto bi cyber kriminalac mario za vaš lokalni posao? Istina je da je većina kibernetičkih napada "oportunistički"; to znači da kriminalci bacaju široku mrežu kada traže žrtve. Razmislite o morskim ribarima. Metodologije koje koriste uključuju ribanje mora, bacanje mreža i izvlačenje ulovljene ribe.