דלג לתוכן ראשי

נוהלי אבטחת סייבר של תעשיית הבריאות וסרטונים

סדרת הדרכות וידאו "אבטחת סייבר לרופא".

סדרת הדרכה של סרטוני "אבטחת סייבר לרופא" בהיקף של 47 דקות בין שמונה סרטונים מסבירה בשפה קלה ולא טכנית מה צריכים קלינאים וסטודנטים במקצוע הרפואה להבין כיצד התקפות סייבר יכולות להשפיע על פעולות קליניות ובטיחות המטופל, וכיצד ניתן עשה את חלקך כדי לעזור לשמור על בטיחות נתוני שירותי הבריאות, המערכות והמטופלים מפני איומי סייבר.

הסדרה מתאימה לשעת אשראי אחת של CME/CEU. שימוש בסרטוני הדרכה אלה עשוי גם לעמוד בדרישות התיעוד של כלל ההיערכות לשעת חירום של CMS, האגודה הלאומית להגנה מפני אש והוועדה המשותפת לניתוח פגיעות סכנות במתקן וניתוח והדרכה של סיכונים.

על סדרת הסרטונים הזו

מומלץ מאוד לכל מערכות הבריאות לאמץ סדרה זו בתוכניות האימונים שלכם; קבוצות תעשייה ואגודות מקצועיות, אנא עודדו את חבריכם לעשות את אותו הדבר; וחברות מדיטק, תרופות, משלם, IT בריאות ושירותים, אנא שקול להרחיב את הסדרה הזו ללקוחות וללקוחות שלך כתוספת לתמיכה שלך.
צפו בסדרת הסרטונים המלאה
יוזמת 405(d) Aligning Health Care Industry Security Practices, יחד עם הפרסום של תעשיית הבריאות בתחום אבטחת הסייבר: ניהול איומים והגנה על חולים (HICP) שסרטוני הווידאו הללו קשורים אליו גם הם, בשיתוף עם המועצה המתאמת את מגזר הבריאות והבריאות הציבורי (HSCC).
למידע נוסף על היוזמה
HSCC מהדורות חדשות ועיתונות

כרך טכני 1:
נוהלי אבטחת סייבר עבור ארגוני בריאות קטנים

הורד כרך 1 PDF

מס' 1 - מבוא ומערכות הגנת דואר אלקטרוני

רוב השיטות הקטנות ממנפות ספקי דואר אלקטרוני של צד שלישי במיקור חוץ, במקום הקמת תשתית דואר אלקטרוני פנימית ייעודית. נוהלי ההגנה על דואר אלקטרוני בחלק זה מוצגים בשלושה חלקים:

  1. תצורת מערכת הדואר האלקטרוני: הרכיבים והיכולות שצריכים להיכלל במערכת הדואר האלקטרוני שלך
  2. השכלה: כיצד להגביר את ההבנה והמודעות של הצוות לדרכים להגן על הארגון שלך מפני התקפות סייבר מבוססות דואר אלקטרוני כגון דיוג ותוכנות כופר
  3. סימולציות דיוג: דרכים לספק לצוות הדרכה ומודעות לדואר אלקטרוני דיוג

#2 - מערכות הגנה לנקודות קצה

כל נקודות הקצה של ארגון קטן חייבים להיות מוגנים. אבל מהן נקודות קצה? ומה יכול ארגון בריאות קטן לעשות כדי להגן על נקודות הקצה שלהם?

דייוויד וויליס, MD וקנדרה סילר, דוקטורט בארגון לניתוח ושיתוף בריאות האוכלוסייה במרכז החלל קנדי ​​נמצאים כאן כדי לדון במה עליך לעשות כדי להפחית את הסיכוי של מתקפת סייבר לחדור לנקודות הקצה שלך.

#3 - ניהול גישה

בחלק זה, נדון באזור מספר 3 בנושא אבטחת סייבר - ניהול גישה לארגוני בריאות קטנים.

דיון זה יאורגן לשלושה חלקים:

  1. מהו ניהול גישה?
  2. למה זה חשוב?
  3. כיצד HICP או "שיהוק" יכולים לעזור לשפר את ניהול הגישה לארגוני בריאות קטנים?

#4 - הגנה על נתונים ומניעת אובדן

המכון הלאומי לתקנים וטכנולוגיה, או בקיצור NIST, מגדיר פרצת מידע כ"אירוע הכרוך במידע רגיש, מוגן או סודי המועתק, מועבר, נצפה, נגנב או נעשה בו שימוש על ידי אדם שאינו מורשה לעשות זאת".

נתונים רגישים, מוגנים או סודיים כוללים מידע על בריאות מוגנת (PHI), מספרי כרטיסי אשראי, מידע אישי של לקוחות ועובדים, והקניין הרוחני והסודות המסחריים של הארגון שלך.

#5 - ניהול נכסים

אילו טכנולוגיות מידע, או התקני IT, יש לך בארגון שלך? אתה יודע כמה מחשבים ניידים? מכשירים ניידים? ומתגי רשת יש לך בכל המיקומים שלך? אילו מהם מריצים את Windows או את IOS של אפל או אחת ממערכות ההפעלה של אנדרואיד? אם הוא לא מוצמד לקיר או לשולחן, מי אחראי על כל מכשיר?

#6 - ניהול רשת

רשתות מספקות את הקישוריות המאפשרת לתחנות עבודה, מכשירים רפואיים ויישומים ותשתיות אחרות לתקשר. רשתות יכולות ללבוש צורה של חיבורים קוויים או אלחוטיים. ללא קשר לצורה, אותו מנגנון שמטפח תקשורת יכול לשמש כדי להפעיל או להפיץ מתקפת סייבר. 

היגיינת אבטחת סייבר נכונה מבטיחה שהרשתות מאובטחות ושכל המכשירים ברשת יוכלו לגשת לרשתות בצורה בטוחה ומאובטחת. גם אם ניהול הרשת מסופק על ידי ספק צד שלישי, ארגונים צריכים להבין היבטים מרכזיים של ניהול רשת נכון ולוודא שהם כלולים בחוזים עבור שירותים אלה.

#7 - ניהול פגיעות

ניהול פגיעות הוא תרגול מתמשך של זיהוי, סיווג, תעדוף, תיקון והפחתת פרצות תוכנה. מסגרות רבות של תאימות לאבטחת מידע, ביקורת וניהול סיכונים דורשות מארגונים לנהל תוכנית לניהול נקודות תורפה.

#8 - תגובה לאירוע

תגובה לאירוע היא היכולת לזהות תעבורה חשודה או התקפות סייבר ברשת שלך, לבודד אותה ולתקן אותה על מנת למנוע פריצת נתונים, נזק או אובדן. בדרך כלל, תגובה לאירועים מכונה "חסימה והתמודדות" הסטנדרטית של אבטחת מידע. סוגים רבים של אירועי אבטחה מתרחשים על בסיס קבוע בארגונים מכל הגדלים. למעשה, רוב הרשתות נמצאות תחת התקפה מתמדת של גורמים חיצוניים.

#9 - אבטחת מכשיר רפואי

מערכות הבריאות משתמשות במכשירים רבים ושונים כחלק מהטיפול השגרתי בחולה. אלה נעים ממערכות הדמיה ועד מכשירים המתחברים ישירות למטופל למטרות אבחון או טיפוליות. להתקנים כאלה עשויים להיות יישומים פשוטים, כגון מוניטורים ליד המיטה המנטרים סימנים חיוניים, או שהם עשויים להיות מסובכים יותר, כגון משאבות עירוי המספקות טיפולים מיוחדים ודורשות עדכונים מתמשכים של ספריית התרופות. התקנים מורכבים ומקושרים אלה משפיעים על בטיחות המטופל, רווחתו ופרטיותם, והם מייצגים וקטורי תקיפה פוטנציאליים בטביעת הרגל הדיגיטלית של ארגון. ככאלה, התקנים אלה צריכים לכלול בקרות אבטחה בתכנון ובתצורה שלהם כדי לתמוך בפריסה בצורה מאובטחת.

#10 - מדיניות אבטחת סייבר

נוהלי אבטחת סייבר מס' 10: מדיניות אבטחת סייבר כוללת שיטות עבודה מומלצות שהן מסמך ספציפי ליישום מדיניות ונהלי אבטחת סייבר בארגון הבריאות שלך.
כל מנהל בית חולים C-Suite צריך לתמוך בתוכנית אבטחת סייבר טובה, הכוללת הכשרת צוות קליני על היסודות", אמר מארק ג'ארט, יו"ר המועצה לתיאום מגזר הבריאות והבריאות הציבורי (HSCC). ד"ר ג'ארט, שהוא גם קצין האיכות הראשי לשעבר וסגן מנהל הרפואה הראשי של Northwell Health, הוסיף "הייתי מייעץ לכל מערכת בתי חולים במדינה לשקול שימוש ב'אבטחת סייבר לרופא' במערכות ניהול הלמידה שלהם.
מארק ג'ארט, יו"ר מועצת התיאום של שירותי הבריאות והציבור, מגזר הבריאות (HSCC)
עבור ארגונים קטנים יותר, זה די נורמלי להאמין שלא תהיה ממוקד או קורבן למתקפות סייבר. אחרי הכל, למה שלפושע סייבר יהיה אכפת מהעסק המקומי שלך? האמת היא שרוב התקפות הסייבר הן "אופורטוניסטיות"; זה אומר שהפושעים מטילים רשת רחבה כשהם מחפשים קורבנות. תחשוב על דייגים בים. המתודולוגיות בהן הן משתמשות כוללות סריקת הים, הטלת רשתות ומשיכת הדגים הנלכדים.