Loncat ke daftar isi utama

Praktik dan Video Keamanan Siber Industri Kesehatan

Seri Pelatihan Video “Keamanan Siber untuk Dokter”

Seri pelatihan video "Keamanan Siber untuk Dokter" yang berdurasi total 47 menit dalam delapan video menjelaskan dengan bahasa yang mudah dipahami dan non-teknis tentang apa yang perlu dipahami oleh dokter dan mahasiswa kedokteran tentang bagaimana serangan siber dapat memengaruhi operasi klinis dan keselamatan pasien, serta bagaimana Anda dapat berperan serta dalam membantu menjaga keamanan data, sistem, dan pasien layanan kesehatan dari ancaman siber.

Seri ini berlaku untuk satu jam kredit CME/CEU. Penggunaan video pelatihan ini juga dapat memenuhi persyaratan dokumentasi Peraturan Kesiapsiagaan Darurat CMS, Asosiasi Perlindungan Kebakaran Nasional, dan Komisi Gabungan untuk Analisis Kerentanan Bahaya dan Analisis Risiko serta Pelatihan fasilitas.

Tentang Seri Video Ini

Semua sistem kesehatan sangat dianjurkan untuk mengadopsi seri ini dalam program pelatihan Anda; kelompok industri dan perkumpulan profesional, harap dorong anggota Anda untuk melakukan hal yang sama; dan perusahaan teknologi medis, farmasi, pembayar, TI kesehatan, dan layanan, harap pertimbangkan untuk memperluas seri ini ke pelanggan dan klien Anda sebagai pelengkap dukungan Anda.
Lihat Seri Video Lengkapnya
Inisiatif 405(d) Aligning Health Care Industry Security Practices, bersama dengan publikasi Health Industry Cybersecurity Practices: Managing Threats and Protecting Patients (HICP) yang terkait dengan video ini, bermitra dengan Healthcare and Public Health Sector Coordinating Council (HSCC).
Pelajari lebih lanjut tentang Inisiatif ini
Rilis Baru dan Pers HSCC

Volume Teknis 1:
Praktik Keamanan Siber untuk Organisasi Layanan Kesehatan Kecil

Unduh Volume 1 PDF

#1 – Pengenalan dan Sistem Perlindungan Email

Sebagian besar praktik kecil memanfaatkan penyedia email pihak ketiga yang dialihdayakan, alih-alih membangun infrastruktur email internal yang khusus. Praktik perlindungan email dalam bagian ini disajikan dalam tiga bagian:

  1. Konfigurasi sistem email: komponen dan kemampuan yang harus disertakan dalam sistem email Anda
  2. Pendidikan: cara meningkatkan pemahaman dan kesadaran staf tentang cara melindungi organisasi Anda dari serangan siber berbasis email seperti phishing dan ransomware
  3. Simulasi phishing: cara memberikan pelatihan dan kesadaran kepada staf tentang email phishing

#2 – Sistem Perlindungan Titik Akhir

Semua titik akhir organisasi kecil harus dilindungi. Namun, apa itu titik akhir? Dan, apa yang dapat dilakukan organisasi perawatan kesehatan kecil untuk melindungi titik akhir mereka?

David Willis, MD dan Kendra Siler, PhD dari Population Health Information Analysis and Sharing Organization di Kennedy Space Center hadir untuk membahas apa yang harus Anda lakukan untuk mengurangi kemungkinan serangan siber menembus titik akhir Anda.

#3 – Manajemen Akses

Pada bagian ini, kami akan membahas Area Praktik Keamanan Siber Nomor 3 – Manajemen Akses untuk organisasi perawatan kesehatan kecil.

Diskusi ini akan dibagi menjadi tiga bagian:

  1. Apa itu manajemen akses?
  2. Mengapa penting?
  3. Bagaimana HICP atau “hiccup” dapat membantu meningkatkan manajemen akses untuk organisasi layanan kesehatan kecil?

#4 – Perlindungan Data dan Pencegahan Kehilangan

National Institute of Standards and Technology, atau disingkat NIST, mendefinisikan pelanggaran data sebagai “insiden yang melibatkan informasi sensitif, terlindungi, atau rahasia yang disalin, dikirimkan, dilihat, dicuri, atau digunakan oleh individu yang tidak berwenang untuk melakukannya.”

Data yang sensitif, dilindungi, atau rahasia mencakup informasi Kesehatan yang Dilindungi (PHI), nomor kartu kredit, informasi pribadi pelanggan dan karyawan, serta kekayaan intelektual dan rahasia dagang organisasi Anda.

#5 – Manajemen Aset

Teknologi informasi atau perangkat TI apa yang Anda miliki di organisasi Anda? Tahukah Anda berapa banyak laptop? perangkat seluler? Dan sakelar jaringan yang Anda miliki di semua lokasi Anda? Mana yang menjalankan Windows atau iOS Apple atau salah satu dari beberapa sistem operasi Android? Jika tidak terpasang di dinding atau meja, siapa yang bertanggung jawab atas setiap perangkat?

#6 – Manajemen Jaringan

Jaringan menyediakan konektivitas yang memungkinkan stasiun kerja, perangkat medis, dan aplikasi serta infrastruktur lain untuk berkomunikasi. Jaringan dapat berbentuk koneksi kabel atau nirkabel. Apa pun bentuknya, mekanisme yang sama yang mendorong komunikasi dapat digunakan untuk meluncurkan atau menyebarkan serangan siber. 

Kebersihan keamanan siber yang tepat memastikan bahwa jaringan aman dan semua perangkat yang terhubung dapat mengakses jaringan dengan aman dan terlindungi. Meskipun manajemen jaringan disediakan oleh vendor pihak ketiga, organisasi harus memahami aspek-aspek utama manajemen jaringan yang tepat dan memastikan bahwa aspek-aspek tersebut disertakan dalam kontrak untuk layanan ini.

#7 – Manajemen Kerentanan

Manajemen kerentanan adalah praktik berkelanjutan untuk mengidentifikasi, mengklasifikasikan, memprioritaskan, memperbaiki, dan mengurangi kerentanan perangkat lunak. Banyak kerangka kerja kepatuhan, audit, dan manajemen risiko keamanan informasi mengharuskan organisasi untuk mempertahankan program manajemen kerentanan.

#8 – Respon Insiden

Respons insiden adalah kemampuan untuk mengidentifikasi lalu lintas mencurigakan atau serangan siber pada jaringan Anda, mengisolasinya, dan memulihkannya untuk mencegah pelanggaran, kerusakan, atau kehilangan data. Biasanya, respons insiden disebut sebagai "pemblokiran dan penanganan" standar keamanan informasi. Banyak jenis insiden keamanan terjadi secara berkala di seluruh organisasi dengan berbagai ukuran. Faktanya, sebagian besar jaringan terus-menerus diserang oleh entitas luar.

#9 – Keamanan Perangkat Medis

Sistem perawatan kesehatan menggunakan banyak perangkat berbeda sebagai bagian dari perawatan rutin pasien. Perangkat ini berkisar dari sistem pencitraan hingga perangkat yang terhubung langsung ke pasien untuk tujuan diagnostik atau terapi. Perangkat tersebut mungkin memiliki implementasi yang mudah, seperti monitor samping tempat tidur yang memantau tanda-tanda vital, atau mungkin lebih rumit, seperti pompa infus yang memberikan terapi khusus dan memerlukan pembaruan pustaka obat secara terus-menerus. Perangkat yang kompleks dan saling terhubung ini memengaruhi keselamatan, kesejahteraan, dan privasi pasien, dan merupakan vektor serangan potensial dalam jejak digital organisasi. Dengan demikian, perangkat ini harus menyertakan kontrol keamanan dalam desain dan konfigurasinya untuk mendukung penerapan dengan cara yang aman.

#10 – Kebijakan Keamanan Siber

Praktik Keamanan Siber #10: Kebijakan Keamanan Siber mencakup praktik terbaik yang merupakan dokumen khusus untuk penerapan kebijakan dan prosedur keamanan siber di organisasi perawatan kesehatan Anda.
Setiap eksekutif C-Suite rumah sakit perlu mendukung program keamanan siber yang baik, yang mencakup pelatihan staf klinis mengenai hal-hal dasar,” kata Mark Jarrett, Ketua Healthcare and Public Health Sector Coordinating Council (HSCC). Dr. Jarrett, yang juga mantan Chief Quality Officer dan Deputy Chief Medical Officer untuk Northwell Health, menambahkan “Saya akan menyarankan setiap sistem rumah sakit di negara ini untuk mempertimbangkan penggunaan 'Keamanan Siber untuk Dokter' dalam sistem manajemen pembelajaran mereka.
Mark Jarrett, Ketua Dewan Koordinasi Sektor Kesehatan dan Publik (HSCC)
Bagi organisasi yang lebih kecil, wajar saja jika Anda tidak akan menjadi target atau korban serangan siber. Lagi pula, mengapa penjahat siber peduli dengan bisnis lokal Anda? Kenyataannya, sebagian besar serangan siber bersifat "oportunistik"; ini berarti para penjahat menyebarkan jaring yang luas saat mereka mencari korban. Bayangkan nelayan yang melaut. Metodologi yang mereka gunakan meliputi menyisir lautan, menebarkan jaring, dan menarik ikan yang ditangkap.