Netviðnám fyrir okkur hin: Að gera það að veruleika með raunverulegum fjárhagsáætlunum
Öryggishlaðvarp í skýinu EP240 – Google
Þátttakendurnir Anton Chuvakin og Timothy Peacock ræða við sérfræðinga í greininni um nokkur af áhugaverðustu sviðum skýjaöryggis.
Gestur: Errol Weiss – efni: Öryggi og hreinlæti í skýinu | Öryggisvenjur í skýinu
Hvernig er mikilvægt fyrir fyrirtæki að auka stafræna seiglu? Hvernig er hægt að fá leiðtoga til að færa sig frá „eingöngu netöryggi“ yfir í „stafræna seiglu“?
Hvernig á að vera sem seigasta með sem minnstum peningum?
Hvernig á að gera sjálfan sig að minni skotmarki?
Minni markmið falla undir það sem sumir kalla „grunnatriði“. En „grunn“ hreinlæti er í raun mjög erfitt fyrir marga. Hver eru þín þrjú helstu hreinlætisráð til að láta það gerast sem virka í raun?
Við erum að tala um stofnanir með skort á úrræðum, en sumar eru mun minna úrræðum búnar. Hver eru ráð þín til þeirra sem búa við mikinn skort á öryggisauðlindum?
Mat á öryggi birgja – hvað er mikilvægast að hafa í huga í dag árið 2025? Hvernig kemur það í veg fyrir að birgjar þínir verði fyrir tölvuþrjótum?
Fáðu aðgang að Google Cloud Security Podcast og nefndum úrræðum hér. Smella hér
Árið 2024 var netöryggi mikil áskorun fyrir heilbrigðisgeirann, með mörgum áberandi árásum. Ein árásin, sem afhjúpaði gögn frá 100 milljónum Bandaríkjamanna sem sló met, var „áfangaviðburður“ sem undirstrikaði hversu samtengdur heilbrigðisiðnaðurinn er, að sögn Errol Weiss, aðalöryggisfulltrúa hjá Miðstöð heilsuupplýsinga og greiningar.
Lestu um hinar þrjár stefnur í þessari grein ráðgjafaráðsins. Smella hér
Lögun gervigreindarreglugerðarinnar verður óviss undir stjórn Trumps á þessu ári, en heilbrigðisfyrirtæki munu halda áfram að efla netvarnir til að standast vaxandi árásir, segja sérfræðingar.
Netglæpamenn halda áfram að miða heilsugæslu
Netöryggi reyndist vera mikil áskorun fyrir heilbrigðisgeirann árið 2024 og stofnanir taka eftir því, segja sérfræðingar. En að færa netvernd iðnaðarins upp í neftóbak mun taka tíma - og ólíklegt er að tölvuþrjótar hætti að miða á heilbrigðisfyrirtæki.
Iðnaðurinn er að koma af ári sem innihélt margar áberandi árásir. Snemma árs 2024 átti allt vistkerfi heilsugæslunnar í erfiðleikum með að stjórna afleiðingum netárásarinnar gegn Change Healthcare, tæknifyrirtæki og kröfugerðaraðila í eigu iðnaðarrisans UnitedHealth.
Árásin - sem afhjúpaði gögn frá a met 100 milljónir Bandaríkjamanna - var „áfangaviðburður“ sem undirstrikaði samtengda eðli geirans, sagði Errol Weiss, aðalvarðstjóri hjá Miðstöð heilsuupplýsinga og greiningar, eða Health-ISAC.
„Ég held að augnablikið sem vaknaði þar hafi verið hvernig birgjar gætu haft áhrif á einstaka bilun á afhendingu heilsugæslu,“ sagði Weiss.
The New York Blood Center (NYBC) sagði að það hefði orðið fyrir lausnarhugbúnaðarárás sem truflaði starfsemina og neyddi það til að endurskipuleggja sumar aðgerðir.
Netárásir á blóðgjafamiðstöðvar hafa orðið til þess Miðstöð heilsuupplýsinga og greiningar (Health-ISAC) og American Hospital Association (AHA) til að gefa út a sameiginlegt hótunarblað viðvörun um hugsanlega truflun á aðfangakeðju.
„Nýleg lausnarhugbúnaðarárás á New York Blood Center (NYBC) þjónar sem vekjaraklukku fyrir stofnanir þvert á geira, sérstaklega þá sem eru í mikilvægri þjónustu eins og heilbrigðisþjónustu,“ sagði Roei Sherman, Field CTO hjá Mitiga. „Sem ein af stærstu óháðu blóðsöfnunar- og dreifingarstofnunum heims grefur þetta atvik ekki bara undan rekstrargetu þeirra heldur stofnar það mögulega lýðheilsu í hættu.“
Frumkvæði miðar að því að efla öryggi sjúkrahúsa sem eru aðildarríki ESB, heilbrigðisþjónustuaðila
Errol Weiss, aðalöryggisstjóri Heilsa-ISAC í Bandaríkjunum, sagði aðgerðaráætlun framkvæmdastjórnar ESB koma á sama tíma og heilbrigðisstofnanir eiga enn í erfiðleikum með að fá nægt fjármagn til að verja tengslanet sín almennilega.
„Vandamálið sést í ESB, Bandaríkjunum og á heimsvísu. Heilbrigðisstofnanir þurfa fjármagn - ekki aðeins tæknina sem þarf til að vernda þessi net heldur einnig reyndur upplýsingatæknisérfræðingur til að reka þessi kerfi,“ sagði hann. „Ég er ánægður með að framkvæmdastjórnin viðurkennir gildi ISACs til að vernda stofnanir og bæta öryggi með upplýsingamiðlun og samvinnu,“ sagði hann.
Þeir sem eru ákærðir fyrir að vernda stafræna innviði sína skilja að með því að deila upplýsingum eru þeir ekki aðeins að vernda sig heldur einnig að styrkja öryggi alls stafræna vistkerfisins, sagði Weiss.
Árið 2023 var Health-ISAC í samstarfi við European Health ISAC til að nýta „hnattrænan styrk“ aðildar Health-ISAC með sýnileika ógnanna í yfir 140 löndum með styrkleika European Health ISAC í samfélaginu og staðbundnum sjónarmiðum, sagði hann.
„Við þurfum að sameinast og vera á varðbergi gegn netógnum,“ sagði hann. „Með Health-ISAC og European Health ISAC sem starfa saman í ESB getum við skapað öruggara samfélag þar sem heilbrigðisstofnanir njóta góðs af bættum sýnileika ógna og veikleika, auk þess sem þau njóta góðs af því að deila bestu starfsvenjum og annarri lykilinnsýn sem á endanum bætir öryggi sjúklinga. .”
Lestu alla greinina í Data Breach Today. Smella hér
Sérfræðingar bjóða upp á ráð til að stjórna vaxandi birgðum, auðlindir fyrir veitendur
„Health Industry Cybersecurity – Managing Legacy Technology Security“ – eða HIC-MaLTS – leiðbeiningar HSCC bjóða upp á bestu starfsvenjur sem hægt er að nota til að stjórna netáhættu af eldri læknistækni, sagði Phil Englert, varaforseti öryggis lækningatækja hjá Health Information. Deilingar- og greiningarmiðstöð.
HIC-MaLTS tekur á sig algengar áskoranir um netöryggi í heilbrigðisþjónustu. Til dæmis, „margar mismunandi gerðir lækningatækja og hinir fjölbreyttu staðir þar sem þau eru notuð búa yfir einstökum áhættusniðum og innihalda meðal annars greiningar-, lækninga-, nothæfan, ígræðanlegan og hugbúnaðar-sem-lækningatæki eiginleika sem hægt er að nota. á sjúkrahúsum, heilsugæslustöðvum og öðrum heilsugæslustöðvum sem ekki eru klínískar og heima,“ sagði hann.
Einnig í þessari grein:
fjórum lífsferlum lækningatækja
„System-view“ birgðir ásamt skiptingu og netaðgangsstýringum
Fyrirmynd HSCC's Contract-Language fyrir Medtech Cybersecurity
Lestu greinina í Healthcare Infosecurity hér. Smella hér
Lestu alla greinina í Information Security Buzz. Smella hér
Síðan 1996 hafa lög um flutning og ábyrgð sjúkratrygginga (HIPAA) hefur verið hornsteinn einkalífs sjúklinga. Lögin settu staðla um hvernig heilbrigðisstofnanir meðhöndla og deila gögnum um sjúklinga og skapa umgjörð til að tryggja trúnað.
En heilsugæslulandslagið hefur gjörbreyst og með því hefur áhættan margfaldast. Nýkomnar netógnir og flóknir veikleikar hafa afhjúpað mikilvægar eyður í vernd HIPAA. Til að bregðast við, eru löggjafarnir að koma nýrri löggjöf fram sem miðar að því að styrkja heilbrigðisstofnanir gegn sívaxandi flóði netárása.
Á síðasta ári lögðu þingmenn fram tvö frumvörp - lög um netöryggi heilsugæslu frá 2024 og lög um öryggi og ábyrgð heilbrigðisinnviða frá 2024 (HISAA) - sem miða að því að nútímavæða vernd fyrir viðkvæm heilsufarsgögn. Þó að þessar ráðstafanir séu mikilvægt framfaraskref, eru þær enn stöðvaðar í löggjafarferlinu og eiga enn eftir að verða að lögum.
Og jafnvel þótt þau verði lögleidd, getur takmarkað umfang og framfylgdaraðferðir sem lýst er í þessum frumvörpum ekki tekist á við vaxandi netógn sem hrjáir sífellt stafræna heilbrigðiskerfi okkar. Án víðtækari og árásargjarnari nálgunar er hætta á að litið sé á þessi frumkvæði sem táknræn látbragð í baráttu sem krefst brýnna og afgerandi aðgerða.
Lestu frekar til að öðlast fullan skilning á báðum frumvörpunum, þar á meðal
Phil Englert og gestgjafi okkar Chris Blask hafa verið í formennsku í CISA vinnuhópi um miðlun hugbúnaðarskjala (SBOM). Vinnuhópurinn hefur þróað ferli til að hjálpa ISACs og svipuðum stofnunum að ákvarða eftirlitsarkitektúrinn sem nauðsynlegur er til að stjórna dreifingu SBOMs meðal meðlima þeirra.
Hlustaðu á Inevitability Curve podcast EP14 hér. Smella hér
Heilbrigðisstofnunum af öllum stærðum og gerðum verður haldið við strangari staðla um netöryggi frá og með 2025 með nýjum fyrirhuguðum reglum, en ekki hafa allir fjárhagsáætlun fyrir það.
Frá upphafi hefur HIPAA alltaf verið besta, en samt ófullnægjandi, reglugerðin sem kveður á um netöryggi fyrir heilbrigðisgeirann.
„[Það er] saga um að fókusinn hafi verið á röngum stað vegna þess hvernig HIPAA var sett upp um miðjan tíunda áratuginn,“ segir Errol Weiss, yfirmaður upplýsingaöryggis (CISO) í upplýsingamiðlun og greiningu heilsugæslunnar (Health-ISAC). „Á þeim tíma var þetta mikil þrýsta á að flytja sjúkra- og sjúkraskrár yfir á rafrænan miðil. Og með tilkomu HIPAA reglugerðanna snerist þetta allt um að vernda friðhelgi sjúklinga en ekki endilega að tryggja þessar skrár.
Áhersla HIPAA á friðhelgi einkalífs takmarkaði getu þess til að takast á við fjölbreyttari netöryggisógnir á tíunda áratugnum, sérstaklega lausnarhugbúnað. Á sama tíma, í stað þess að nota það sem grunn til að þróa öfluga öryggisstöðu, höfðu stofnanir tilhneigingu til að meðhöndla HIPAA meira sem sett af kassa til að athuga. „Þetta endaði keyra fjárhagsáætlanir í átt að samræmi og ekki endilega öryggi. Og á undanförnum fimm eða sex árum höfum við séð hvað gerist í umhverfi sem er ekki rétt tryggt, ekki rétt bundið, ekki rétt afritað, þegar þeir verða fyrir barðinu á lausnarhugbúnaði,“ segir Weiss.
„Jafnvel þó að þeir séu nú þegar að fylgja öllum NIST-stýringum,“ áætlar Pingree Dispersive, að innleiðing nýju HIPAA öryggisreglnanna „gæti kostað allt að $ 100,000 fyrir litla læknastofu, eða það gæti verið margar milljónir ef þú ert mikill læknir. hópur.”
Ein möguleg leið sem teygðar heilbrigðisstofnanir gætu farið í gegnum allar þessar nýju reglur og tengdan kostnað þeirra er með útvistuðum, sýndarupplýsingaöryggisfulltrúa (vCISO), að sögn Weiss. Vegna þess að „þetta snýst ekki bara um að kaupa tæknina. Þetta snýst líka um að ráða og halda þeirri sérfræðiþekkingu á netöryggi sem þú þarft til að reka,“ segir hann.
„Þessar stofnanir vita ekki hvar á að byrja,“ heldur hann áfram. „Netöryggismarkaðurinn er mjög ruglingslegur. Það eru margir leikmenn. Það eru margar lausnir. Svo ef þú hefur $100 til að eyða í netöryggi, hvar eyðirðu því? Þeir þurfa hjálp til að geta fundið út úr þessu öllu. Og ég held að eitthvað eins og sýndar-CISO geti hjálpað til við að innleiða stefnu og síðan vera til staðar á sýndargrundvelli - til að skrá sig inn, til að vera úrræði fyrir þá stofnun þegar þeir hafa spurningar og þeir þurfa hjálp. Það virðist vera ágætis fyrirmynd fyrir þessi litlu dreifbýlissjúkrahús sem gætu ekki endilega réttlætt eða ráðið CISO í fullt starf.
Sérfræðingar: Ný umboð gætu verið erfið, kostnaðarsöm fyrir marga aðila
Fyrirhuguð endurskoðun alríkisreglugerða um netöryggi fyrir heilbrigðisiðnaðinn gæti þýtt erfiðar og dýrar þungar lyftingar fyrir margar stofnanir, sögðu sérfræðingar.
„Kostnaðurinn við að uppfylla þessi ákvæði verður gríðarlegur,“ sagði hann Errol Weiss, aðalöryggisfulltrúi Heilsuupplýsingamiðlunar og greiningarmiðstöðvar. „Hvaðan koma peningarnir til að greiða fyrir þetta allt? Það getur ekki stafað af framtíðarsparnaði vegna viðurlaga sem forðast brot. Fjárhagslega þvingaðir heilbrigðisstarfsmenn, sérstaklega lítil dreifbýlissjúkrahús, hafa ekki fjármagn til að styðja þessar nýju tillögur,“ sagði hann.
Allar reglugerðarkröfur eins og þessar þurfa að fylgja fjármögnunaraðstoð svo að heilbrigðisstarfsmenn geti öðlast rétta tækni og, það sem meira er, ráðið og haldið í reyndan netöryggissérfræðinga til að vernda netkerfi sín á fullnægjandi hátt, sagði Weiss.
Lestu alla greinina í Bank InfoSecurity. Smella hér
Google er í samstarfi við Health-ISAC til að afhenda nýstárlegar þjálfunaráætlanir, netöryggisgreindaráætlanir og önnur úrræði fyrir heilbrigðiskerfi á landsbyggðinni.
Netárásir á heilbrigðisstofnanir trufla getu þeirra til að starfa og stofna umönnun sjúklinga í hættu. Heilbrigðiskerfi á landsbyggðinni í Bandaríkjunum þjóna 60 milljónum manna og eru í hjarta ótal samfélaga. Öryggi allra í samfélagi er ógnað þegar mikilvæg heilbrigðisupplýsingakerfi eru ekki tiltæk vegna netatvika.
Google er staðráðið í að aðstoða viðkvæm heilbrigðiskerfi við að styrkja viðnám þeirra gegn netárásum. Við erum í samstarfi við stjórnvöld og iðnaðinn til að bjóða upp á þjónustu okkar, stuðning og tækni, sem gerir kerfum kleift að einbeita sér að umönnun sjúklinga.
Sérsniðið framtak til að bæta öryggi
Hannað fyrir sjúkrahús á landsbyggðinni
Heilbrigðiskerfi og sjúkrahús á landsbyggðinni endurspegla sérstöðu þeirra samfélaga sem þau þjóna og það gerir tilboð okkar líka. Það býður upp á vaxandi hóp öruggrar hönnunar Google tækni fyrir aðgang og samvinnu, ráðgjafar- og stuðningsþjónustu og öryggisþjálfunarúrræði með afslætti eða án kostnaðar. Lausnin er aðlöguð þörfum hvers heilbrigðiseininga á landsbyggðinni. Heilbrigðisstofnunin ætti að vera staðsett í sýslu eða svæði sem er tilgreint sem dreifbýli af Heilbrigðisstofnanir og þjónusta Stjórnun (HRSA).
Skilvirkt samstarf til að verjast og bregðast við netárásum er mikilvægt til að tryggja heilsugæslu. Google er samstarfsaðili sendiherra til miðlunar- og greiningarstöðvar heilsuupplýsinga (Health-ISAC). Hlutverk Health-ISAC er að styrkja traust sambönd í alþjóðlegum heilbrigðisiðnaði til að hjálpa til við að koma í veg fyrir, greina og bregðast við netöryggi og líkamlegt öryggisatburði svo að meðlimir geti einbeitt sér að því að bæta heilsu og bjarga mannslífum. Google er í samstarfi við Health-ISAC til að afhenda nýstárlegar þjálfunaráætlanir, netöryggisgreindaráætlanir og önnur úrræði fyrir heilbrigðiskerfi á landsbyggðinni.
Dagskrárframboð
Flest af þessu verður boðið upp á ókeypis eða með verulegum afslætti, með viðurkenningu á fjárhagslegum þvingunum sem mörg heilbrigðiskerfi á landsbyggðinni standa frammi fyrir. Að auki munum við veita innleiðingarþjónustu og stuðning til gjaldgengra stofnana. Þessi tilboð eru aðeins fáanleg í Bandaríkjunum eins og er.
Frá bankastarfsemi til netöryggis í heilbrigðisþjónustu
Við settumst niður með Errol Weiss aðalöryggisstjóra Health-ISAC til að ræða 25 ára feril hans sem spannar banka, stjórnvöld og heilbrigðisþjónustu og greina stærstu netöryggisógnirnar og þróunina sem hafa áhrif á heilbrigðisiðnaðinn árið 2025 og víðar.
Weiss lýsti einstöku áskorunum sem heilbrigðisstofnanir standa frammi fyrir í samanburði við fjármálaþjónustu. Heilbrigðiskerfi stjórna oft flóknum innviðum, þar á meðal nútímalegum skýjakerfum, eldri tækjum (eins og MRI vélum með úreltum stýrikerfum) og fjölbreyttu vistkerfi lækningatækja. Þessi margbreytileiki bætist við langvarandi vanfjárfestingu í netöryggi, með fjármagni sem sögulega hefur verið úthlutað í átt að friðhelgi einkalífs og fylgni (td HIPAA reglugerðum) frekar en öflugum öryggisráðstöfunum.
Hann lagði áherslu á að vanfjármögnun og skortur á sérstökum yfirmönnum upplýsingaöryggis (CISO) í heilbrigðisþjónustu gera það krefjandi að vernda þetta umhverfi á áhrifaríkan hátt. Hins vegar hafa atvik eins og lausnarhugbúnaðarárásir ýtt undir aukna vitund og fjárfestingu í netöryggi heilbrigðisþjónustu undanfarinn áratug.
