Egészségügyi kiberbiztonsági gyakorlatok és videók

Minden egészségügyi rendszernek erősen ajánlott, hogy ezt a sorozatot alkalmazza képzési programjaiban; iparági csoportok és szakmai társaságok, kérjük, bátorítsák tagjait is erre; és a gyógyszeripari, gyógyszeripari, fizető-, egészségügyi informatikai és szolgáltató cégek, kérjük, fontolja meg ennek a sorozatnak a kiterjesztését ügyfeleire és ügyfeleire a támogatás kiegészítéseként.

A legtöbb kisebb gyakorlat a külső e-mail-szolgáltatókat veszi igénybe, ahelyett, hogy külön belső e-mail infrastruktúrát hozna létre. Ebben a részben az e-mail védelmi gyakorlatokat három részben mutatjuk be:

1. E-mail rendszer konfigurációja: azok az összetevők és képességek, amelyeket a levelezőrendszernek tartalmaznia kell
2. Oktatás: hogyan lehet növelni az alkalmazottak megértését és tudatosságát az e-mail alapú kibertámadások, például az adathalászat és a zsarolóprogramok elleni védekezési módokkal kapcsolatban
3. Adathalász-szimulációk: a személyzet képzésének és tudatosításának módjai az adathalász e-mailekkel kapcsolatban

Egy kis szervezet végpontjait védeni kell. De mik is azok a végpontok? És mit tehet egy kis egészségügyi szervezet a végpontjaik védelmében?

David Willis, MD és Kendra Siler, a Kennedy Űrközpont Népesség-egészségügyi Információkat Elemző és Megosztó Szervezetének PhD doktora megvitatják, mit kell tennie annak érdekében, hogy csökkentse annak az esélyét, hogy egy kibertámadás áthatoljon a végpontjain.

Ebben a részben a 3. számú kiberbiztonsági gyakorlati területről lesz szó – a kis egészségügyi szervezetek hozzáférés-kezeléséről.

Ez a vita három részre oszlik:

1. Mi az a hozzáférés-kezelés?
2. Miért fontos?
3. Hogyan segítheti a HICP vagy a „csuklás” a hozzáférés-kezelés javítását a kis egészségügyi szervezetek számára?

A National Institute of Standards and Technology (röviden a NIST) az adatvédelmi incidenst úgy definiálja, mint „olyan eseményt, amely során érzékeny, védett vagy bizalmas információkat másolnak, továbbítanak, megtekintenek, ellopnak vagy felhasználnak egy erre nem jogosult személy”.

Az érzékeny, védett vagy bizalmas adatok közé tartoznak a Protected Health információk (PHI), a hitelkártyaszámok, az ügyfelek és az alkalmazottak személyes adatai, valamint a szervezet szellemi tulajdona és üzleti titkai.

Milyen információs technológia, vagy informatikai eszközök vannak a szervezetében? Tudod hány laptop? mobil eszközök? És hálózati kapcsolók minden helyen vannak? Melyiken fut a Windows, az Apple IOS vagy az Android operációs rendszerei közül valamelyik? Ha nincs falhoz vagy asztalhoz rögzítve, ki a felelős az egyes eszközökért?

A hálózatok biztosítják azt a kapcsolatot, amely lehetővé teszi a munkaállomások, orvosi eszközök és egyéb alkalmazások és infrastruktúra kommunikációját. A hálózatok lehetnek vezetékes vagy vezeték nélküli kapcsolatok. A formától függetlenül ugyanaz a mechanizmus, amely elősegíti a kommunikációt, használható kibertámadás indítására vagy terjesztésére. 

A megfelelő kiberbiztonsági higiénia biztosítja, hogy a hálózatok biztonságosak legyenek, és minden hálózati eszköz biztonságosan hozzáférjen a hálózatokhoz. Még akkor is, ha a hálózatkezelést külső szállító biztosítja, a szervezeteknek meg kell érteniük a megfelelő hálózatkezelés kulcsfontosságú szempontjait, és biztosítaniuk kell, hogy ezek szerepeljenek az e szolgáltatásokra vonatkozó szerződésekben.

A sebezhetőség-kezelés a szoftversérülékenységek azonosításának, osztályozásának, rangsorolásának, orvoslásának és mérséklésének folyamatos gyakorlata. Számos információbiztonsági megfelelőségi, audit- és kockázatkezelési keretrendszer megköveteli a szervezetektől, hogy tartsanak fenn egy sebezhetőség-kezelő programot.

Az incidensreakció a gyanús forgalom vagy kibertámadások azonosítása a hálózaton, elkülönítése és orvoslása az adatszivárgás, -károsodás vagy adatvesztés megelőzése érdekében. Az incidensre adott válaszreakciót általában az információbiztonság szabványos „blokkolásának és kezelésének” nevezik. Számos típusú biztonsági incidens fordul elő rendszeresen bármilyen méretű szervezetben. Valójában a legtöbb hálózatot folyamatosan támadják külső entitások.

Az egészségügyi ellátórendszerek sokféle eszközt használnak a rutin betegkezelés részeként. Ezek a képalkotó rendszerektől az olyan eszközökig terjednek, amelyek diagnosztikai vagy terápiás célból közvetlenül kapcsolódnak a pácienshez. Az ilyen eszközöknek lehetnek egyszerű megvalósításai, például az életjeleket figyelő ágy melletti monitorok, vagy bonyolultabbak is lehetnek, például infúziós pumpák, amelyek speciális terápiákat biztosítanak, és folyamatos gyógyszertár frissítést igényelnek. Ezek az összetett és összekapcsolt eszközök befolyásolják a betegek biztonságát, jólétét és magánéletét, és potenciális támadási vektorokat jelentenek a szervezetek digitális lábnyomában. Mint ilyenek, ezeknek az eszközöknek biztonsági ellenőrzéseket kell tartalmazniuk a tervezésükben és konfigurációjukban, hogy támogassák a biztonságos telepítést.

10. számú kiberbiztonsági gyakorlat: A kiberbiztonsági szabályzatok olyan bevált gyakorlatokat tartalmaznak, amelyek kifejezetten a kiberbiztonsági irányelvek és eljárások végrehajtására vonatkoznak az egészségügyi szervezetben.