כיצד הוספת חוסן דיגיטלי היא קריטית עבור ארגונים? כיצד לגרום למנהיגים לעבור מ"אבטחת סייבר בלבד" ל"חוסן דיגיטלי"?
איך להיות הכי גמיש שאפשר בהינתן המשאבים? איך להיות הכי גמיש עם הכי פחות כסף?
איך להפוך את עצמך למטרה קטנה יותר?
צעדים קטנים יותר משתלבים במה שחלקם מכנים "יסודות". אבל היגיינה "בסיסית" היא למעשה קשה מאוד עבור רבים. מהם 3 טיפים להיגיינה המובילים שלך כדי לגרום לזה לקרות, שבאמת עובדים?
אנחנו מדברים על ארגונים עם מחסור במשאבים, אבל לחלקם יש הרבה יותר מחסור במשאבים, מה העצה שלך לאלו עם מחסור קיצוני במשאבי אבטחה?
הערכת אבטחת ספקים – מה הכי חשוב לקחת בחשבון היום בשנת 2025? איך לא להיפרץ דרך הספק שלך?
גש לפודקאסט אבטחת הענן של גוגל ולמשאבים שהוזכרו כאן. לחץ כאן
בשנת 2024, אבטחת סייבר הייתה אתגר מרכזי עבור מגזר הבריאות, עם התקפות רבות בפרופיל גבוה. מתקפה אחת, שחשפה נתונים מ-100 מיליון אמריקאים שוברי שיא, הייתה "אירוע אבן דרך" שהדגיש עד כמה תעשיית הבריאות קשורה זו בזו, לדברי ארול וייס, קצין הביטחון הראשי ב- מרכז שיתוף וניתוח מידע בריאותי.
קרא על שלושת המגמות האחרות במאמר זה של המועצה המייעצת. לחץ כאן
צורת הרגולציה של AI תהיה בלתי ודאית תחת ממשל טראמפ השנה, בעוד שחברות הבריאות ימשיכו לחזק את הגנת הסייבר כדי לעמוד בהתקפות גוברת, אומרים מומחים.
פושעי סייבר ממשיכים למקד את שירותי הבריאות
אבטחת סייבר הוכיחה את עצמה כאתגר מרכזי עבור מגזר הבריאות בשנת 2024, וארגונים שמים לב לכך, אומרים מומחים. אבל להעלות את הגנת הסייבר של התעשייה לרמה של הרחה ייקח זמן - וסביר להניח שהאקרים לא יפסיקו להתמקד בחברות בריאות.
התעשייה מגיעה לאחר שנה שכללה מספר התקפות בפרופיל גבוה. בתחילת 2024, כל מערכת הבריאות האקולוגית נאבקה לנהל את הנשורת ממתקפת הסייבר נגד Change Healthcare, חברת טכנולוגיה ומעבד תביעות בבעלות ענקית התעשייה UnitedHealth.
המתקפה - שחשפה נתונים מא שוברי שיאים של 100 מיליון אמריקאים - היה "אירוע אבן דרך" שהדגיש את האופי המקושר של המגזר, אמר ארול וייס, קצין ביטחון ראשי ב- מרכז שיתוף וניתוח מידע בריאותי, או Health-ISAC.
"אני חושב שרגע ההתעוררות שם היה איך לספקים יכול להיות השפעה אחת של נקודת כשל על אספקת שירותי הבריאות", אמר וייס.
מרכז הדם של ניו יורק (NYBC) אמר כי הוא סבל ממתקפת תוכנת כופר ששיבשה את הפעילות ואילצה אותו לדחות מחדש כמה פעולות.
התקפות סייבר על מרכזי תרומת דם הניעו את מרכז שיתוף וניתוח מידע בריאותי (Health-ISAC) ואיגוד בתי החולים האמריקאי (AHA) להנפיק א עלון איומים משותף אזהרה מפני שיבושים אפשריים בשרשרת האספקה.
"התקפת תוכנת הכופר האחרונה על מרכז הדם של ניו יורק (NYBC) משמשת קריאת השכמה לארגונים בין מגזרים, במיוחד אלה בשירותים קריטיים כמו שירותי בריאות", אמר רואי שרמן, סמנכ"ל שדה ב- Field ב- מיטיגה. "בתור אחד מארגוני איסוף והפצת הדם העצמאיים הגדולים בעולם, התקרית הזו מערערת לא רק את היכולת המבצעית שלהם, אלא גם מסכנת את בריאות הציבור".
היוזמה שואפת לחזק את האבטחה של בתי חולים חברי האיחוד האירופי, ספקי שירותי בריאות
ארול וייס, קצין הביטחון הראשי של ה בריאות-ISAC בארה"ב, אמר כי תוכנית הפעולה של נציבות האיחוד האירופי מגיעה בתקופה שבה ארגוני הבריאות עדיין נאבקים להשיג מספיק מימון כדי להגן על הרשתות שלהם כראוי.
"הבעיה נראית באיחוד האירופי, בארה"ב ובעולם. ארגוני בריאות זקוקים למשאבים - לא רק את הטכנולוגיה הדרושה כדי להגן על הרשתות הללו, אלא גם אנשי המקצוע המנוסים של Infosec כדי להפעיל את המערכות הללו", אמר. "אני שמח שהוועדה מכירה בערך ש-ISAC מביאים להגנה על ארגונים ולשיפור האבטחה באמצעות שיתוף מידע ושיתוף פעולה", אמר.
אלו המופקדים על הגנה על התשתיות הדיגיטליות שלהם מבינים שבאמצעות שיתוף מידע, הם לא רק מגנים על עצמם אלא גם מחזקים את האבטחה של המערכת האקולוגית הדיגיטלית כולה, אמר וייס.
בשנת 2023, ה-Health-ISAC שיתף פעולה עם ה-European Health ISAC כדי למנף את "החוזק הגלובלי" של החברות ב-Health-ISAC באמצעות הנראות של איומים בלמעלה מ-140 מדינות עם נקודת המבט של ה-European Health ISAC של קהילה ומקומית, לדבריו.
"אנחנו צריכים להתאחד ולהישאר ערניים מפני איומי סייבר", אמר. "עם Health-ISAC ו-European Health ISAC הפועלים יחד באיחוד האירופי, נוכל ליצור קהילה בטוחה יותר שבה ארגוני בריאות נהנים מנראות משופרת של איומים ופגיעויות, בנוסף הם נהנים משיתוף של שיטות עבודה מומלצות ותובנות מפתח אחרות שבסופו של דבר משפרות את בטיחות המטופלים ."
ההנחיה "אבטחת סייבר של תעשיית הבריאות - ניהול אבטחת טכנולוגיה מדור קודם" - או HIC-MaLTS - מציעה לארגונים שיטות עבודה מומלצות שניתן להשתמש בהן לניהול סיכוני סייבר של טכנולוגיות רפואיות מדור קודם, אמר פיל אנגלרט, סגן נשיא לאבטחת מכשור רפואי ב- Health Information מרכז שיתוף וניתוח.
HIC-MaLTS לוקחת על עצמה אתגרי אבטחת סייבר נפוצים בתחום הבריאות. לדוגמה, "סוגים רבים ושונים של מכשירים רפואיים והמיקומים המגוונים שבהם הם משמשים הם בעלי פרופילי סיכון ייחודיים וכוללים בין היתר תכונות אבחנתיות, טיפוליות, לבישות, מושתלות ותוכנה כמכשיר רפואי, שניתן להשתמש בהן. בבתי חולים, במרפאות ובמסגרות אחרות לא קליניות ובתי בריאות", אמר.
גם במאמר זה:
ארבעה שלבי מחזור חיים של מכשור רפואי
מלאי "תצוגת מערכת" בשילוב עם פילוח ובקרות גישה לרשת
מודל חוזה-שפה של HSCC לאבטחת סייבר של מדטק
קרא את המאמר ב- Healthcare Infosecurity כאן. לחץ כאן
קרא את המאמר המלא ב- Information Security Buzz. לחץ כאן
מאז 1996, חוק הניידות והאחריות של ביטוח בריאות (HIPAA) הייתה אבן היסוד של פרטיות המטופל. החוק קבע סטנדרטים לאופן שבו ארגוני בריאות מטפלים ומשתפים בנתוני מטופלים, ויצר מסגרת להבטחת סודיות.
אבל נוף שירותי הבריאות השתנה באופן דרמטי, ואיתו הסיכונים התרבו. איומי סייבר מתעוררים ופגיעויות מורכבות חשפו פערים קריטיים בהגנות של HIPAA. בתגובה, מחוקקים מקדמים חקיקה חדשה שמטרתה לחזק ארגוני בריאות נגד גל ההסלמה של מתקפות סייבר.
בשנה שעברה, המחוקקים הציגו שתי הצעות חוק - חוק אבטחת הסייבר הבריאותי משנת 2024 וחוק אבטחת תשתיות הבריאות והאחריות של 2024 (HISAA) - שמטרתן לחדש את ההגנות על נתוני בריאות רגישים. אף שצעדים אלה מהווים צעד חשוב קדימה, הם נותרו תקועים בתהליך החקיקה וטרם הפכו לחוק.
וגם אם הם ייחקקו, ההיקף המוגבל ומנגנוני האכיפה המתוארים בהצעות חוק אלה עלולים לא להתמודד עם איומי הסייבר ההולכים ומתגברים הפוקדים את מערכת הבריאות ההולכת וגוברת שלנו. ללא גישה מקיפה ואגרסיבית יותר, יוזמות אלו מסתכנות להיראות כמחוות סמליות במאבק הדורש פעולה דחופה ונחרצת.
פיל אנגלרט והמארח שלנו כריס בלסק עמדו בראש קבוצת עבודה של CISA בנושא שיתוף רשימות חומרי תוכנה (SBOM). קבוצת העבודה פיתחה תהליך כדי לסייע ל- ISACs ולארגונים דומים לקבוע את ארכיטקטורת הבקרה הדרושה לניהול הפצת SBOMs בין החברים שלהם.
האזינו לפודקאסט Inevitability Curve EP14 כאן. לחץ כאן
ארגוני שירותי בריאות מכל הצורות והגדלים יעמדו בסטנדרט מחמיר יותר של אבטחת סייבר החל משנת 2025 עם כללים מוצעים חדשים, אך לא לכולם יש את התקציב לכך.
מאז ההתחלה, HIPAA תמיד הייתה הרגולציה הטובה ביותר, אך לא מספקת, המכתיבה אבטחת סייבר לתעשיית הבריאות.
"[יש] היסטוריה של הפוקוס במקום הלא נכון בגלל האופן שבו ה-HIPAA נבנה באמצע שנות ה-1990", אומר ארול וייס, קצין אבטחת מידע ראשי (CISO) של המרכז לשיתוף וניתוח מידע בריאותי (Health-ISAC). "באותה תקופה, הייתה דחיפה גדולה להעברת רשומות רפואיות ובריאות למדיום האלקטרוני. ועם כניסתן של תקנות HIPAA, הכל היה על הגנה על פרטיות המטופל אך לא בהכרח אבטחת הרשומות הללו."
ההתמקדות של HIPAA בפרטיות הגבילה את יכולתה להתמודד עם איומי אבטחת סייבר מגוונים יותר בשנות ה-2010, במיוחד תוכנות כופר. בינתיים, במקום להשתמש בו כבסיס לפיתוח תנוחת אבטחה חזקה, ארגונים נטו להתייחס ל-HIPAA יותר כאל קבוצה של תיבות שיש לבדוק. "זה נגמר הנעת תקציבים לקראת ציות ולא בהכרח אבטחה. ובחמש או שש השנים האחרונות ראינו מה קורה בסביבה שאינה מאובטחת כהלכה, לא קשורה כהלכה, לא מגובת כראוי, כשהם נפגעים מתוכנת כופר", אומר וייס.
"גם אם הם כבר עוקבים אחר כל בקרות ה-NIST", מעריך Pingree של Dispersive, יישום כללי האבטחה החדשים של HIPAA "יכול לעלות עד 100,000 דולר עבור משרד רופא קטן, או שזה יכול להיות מיליונים רבים אם אתה רופא גדול. קְבוּצָה."
אחת הדרכים האפשריות שארגוני שירותי בריאות מתוחים יכולים לנווט בכל הכללים החדשים הללו והעלויות הנלוות להם היא באמצעות קצין אבטחת מידע וירטואלי במיקור חוץ (vCISO), לפי וייס. כי "זה לא רק על קניית הטכנולוגיה. זה גם על גיוס ושימור המומחיות בתחום אבטחת הסייבר שאתה צריך כדי להפעיל", הוא אומר.
"הארגונים האלה לא יודעים מאיפה להתחיל", הוא ממשיך. "שוק אבטחת הסייבר מבלבל מאוד. יש הרבה שחקנים. יש הרבה פתרונות. אז אם יש לך 100 דולר להוציא על אבטחת סייבר, איפה אתה מוציא את זה? הם צריכים עזרה כדי להיות מסוגלים להבין את כל זה. ואני חושב שמשהו כמו CISO וירטואלי יכול לעזור ליישם אסטרטגיה, ואז להיות בסביבה על בסיס וירטואלי - לעשות צ'ק-אין, להיות משאב עבור הארגון הזה כשיש להם שאלות והם צריכים קצת עזרה. זה נראה כמו מודל הגון לבתי החולים הכפריים הקטנים האלה שלא בהכרח יכלו להצדיק או לשכור CISO במשרה מלאה".
מומחים: מנדטים חדשים עשויים להיות קשים, יקרים עבור גופים רבים
תיקון מוצע של תקנות אבטחת סייבר פדרליות עבור תעשיית הבריאות עשויה להיות הרמה קשה ויקרה עבור ארגונים רבים, אמרו מומחים.
"העלויות למילוי הוראות אלה יהיו אדירות", אמר ארול וייס, קצין אבטחה ראשי של המרכז לשיתוף וניתוח מידע בריאותי. "מאיפה בא הכסף לשלם על כל זה? זה לא יכול להיות מחסכון עתידי מעונשי הפרה שנמנעו. לספקי שירותי בריאות בלחץ כלכלי, במיוחד לבתי חולים כפריים קטנים, אין את המשאבים לתמוך בהצעות החדשות הללו", אמר.
כל דרישות רגולטוריות כמו זו יצטרכו להגיע עם סיוע במימון כדי שספקי שירותי בריאות יוכלו לרכוש את הטכנולוגיה המתאימה, וחשוב מכך, לגייס ולשמר אנשי מקצוע מנוסים בתחום אבטחת הסייבר כדי להגן כראוי על הרשתות שלהם, אמר וייס.
Google משתפת פעולה עם Health-ISAC כדי לספק תוכניות הכשרה חדשניות, תוכניות מודיעין אבטחת סייבר ומשאבים אחרים עבור מערכות בריאות כפריות.
התקפות סייבר על ארגוני בריאות משבשות את יכולתם לפעול ומסכנות את הטיפול בחולים. מערכות הבריאות הכפריות בארה"ב משרתות 60 מיליון אנשים והן בלב אינספור קהילות. בטיחותם של כל אחד בקהילה מאוימת כאשר מערכות מידע קריטיות בתחום הבריאות אינן זמינות עקב תקריות סייבר.
גוגל מחויבת לעזור למערכות בריאות פגיעות לחזק את עמידותן בפני מתקפות סייבר. אנו משתפים פעולה עם הממשלה והתעשייה כדי להציע את השירותים, התמיכה והטכנולוגיות שלנו, המאפשרות למערכות להתמקד בטיפול בחולים.
יוזמה מותאמת לשיפור האבטחה
מיועד לבתי חולים כפריים
מערכות בריאות כפריות ובתי חולים משקפים את הייחודיות של הקהילות שהם משרתים, וכך גם ההצעה שלנו. הוא מספק מערך הולך וגדל של טכנולוגיית Google מאובטחת לפי עיצוב לגישה ושיתוף פעולה, שירותי ייעוץ ותמיכה ומשאבי הדרכה באבטחה בהנחה או ללא עלות. הפתרון מותאם לצרכיו של כל גורם בריאות כפרי. מתקן הבריאות צריך להיות ממוקם במחוז או אזור שהוגדר ככפרי על ידי ניהול משאבי בריאות ושירותים (HRSA).
שיתוף פעולה יעיל כדי להתגונן מפני התקפות סייבר ולהגיב עליהן הוא חיוני לאבטחת שירותי הבריאות. גוגל היא שותף שגריר למרכז שיתוף וניתוח מידע בריאותי (Health-ISAC). המשימה של Health-ISAC היא להעצים מערכות יחסים מהימנות בתעשיית הבריאות העולמית כדי לעזור למנוע, לזהות ולהגיב לאירועי אבטחת סייבר ואבטחה פיזית, כך שחברים יוכלו להתמקד בשיפור הבריאות והצלת חיים. Google משתפת פעולה עם Health-ISAC כדי לספק תוכניות הכשרה חדשניות, תוכניות מודיעין אבטחת סייבר ומשאבים אחרים עבור מערכות בריאות כפריות.
הצעות תוכנית
רוב אלה יוצעו ללא עלות או בהנחות משמעותיות, מתוך הכרה במגבלות הפיננסיות העומדות בפני מערכות בריאות כפריות רבות. בנוסף, נספק שירותי יישום ותמיכה לארגונים זכאים. הצעות אלה זמינות רק בארה"ב בשלב זה.
ישבנו עם קצין האבטחה הראשי של Health-ISAC, ארול וייס, כדי לדון בקריירה בת 25 השנים שלו בתחומי הבנקאות, הממשלה והבריאות ולזהות את האיומים והמגמות הגדולות ביותר בתחום אבטחת הסייבר המשפיעות על תעשיית הבריאות ב-2025 ואילך.
וייס תיאר את האתגרים הייחודיים איתם מתמודדים ארגוני בריאות בהשוואה לשירותים פיננסיים. מערכות בריאות מנהלות לעתים קרובות תשתיות מורכבות, כולל מערכות מודרניות מבוססות ענן, מכשירים מדור קודם (כמו מכשירי MRI עם מערכות הפעלה מיושנות), ומערכות אקולוגיות של מכשור רפואי מגוונות. מורכבות זו מתווספת על ידי תת השקעה ארוכת שנים באבטחת סייבר, עם משאבים שהוקצו היסטורית לפרטיות ותאימות (למשל, תקנות HIPAA) במקום אמצעי אבטחה חזקים.
הוא הדגיש כי מימון חסר ומחסור בקציני אבטחת מידע ראשיים (CISOs) ייעודיים בתחום הבריאות הופכים את זה למאתגר להגן על סביבות אלו ביעילות. עם זאת, תקריות כמו התקפות כופר הובילו למודעות ולהשקעה מוגברת באבטחת סייבר של שירותי בריאות בעשור האחרון.
