47개 영상으로 총 XNUMX분 분량의 "의사를 위한 사이버 보안" 비디오 교육 시리즈는 의료계 종사자와 학생들이 사이버 공격이 임상 운영과 환자 안전에 어떤 영향을 미칠 수 있는지, 그리고 사이버 위협으로부터 의료 데이터, 시스템, 환자를 안전하게 지키기 위해 어떤 역할을 해야 하는지 이해하기 쉽고 비기술적인 용어로 설명합니다.
이 시리즈는 CME/CEU 학점 시간 1시간 동안 유효합니다. 이러한 교육 비디오를 사용하면 CMS 비상 대비 규칙, National Fire Protection Association 및 시설 위험 취약성 분석 및 위험 분석 및 교육을 위한 공동 위원회의 문서화 요구 사항을 충족할 수도 있습니다.
이 비디오 시리즈에 대하여
모든 건강 시스템은 교육 프로그램에 이 시리즈를 도입할 것을 강력히 권고합니다. 업계 단체와 전문가 협회는 회원들에게도 마찬가지로 권고해 주시기 바랍니다. 그리고 의료 기술, 제약, 지불자, 의료 IT 및 서비스 회사는 지원을 보완하기 위해 이 시리즈를 고객에게 확대하는 것을 고려해 주시기 바랍니다.
대부분의 소규모 업무는 전담 내부 이메일 인프라를 구축하는 대신 아웃소싱된 제3자 이메일 공급업체를 활용합니다. 이 섹션의 이메일 보호 업무는 세 부분으로 구성됩니다.
이메일 시스템 구성: 이메일 시스템에 포함되어야 하는 구성 요소 및 기능
교육: 피싱 및 랜섬웨어와 같은 이메일 기반 사이버 공격으로부터 조직을 보호하는 방법에 대한 직원의 이해와 인식을 높이는 방법
피싱 시뮬레이션: 직원에게 피싱 이메일에 대한 교육 및 인식을 제공하는 방법
#2 – 엔드포인트 보호 시스템
소규모 조직의 엔드포인트는 모두 보호되어야 합니다. 하지만 엔드포인트란 무엇일까요? 그리고 소규모 의료 기관은 엔드포인트를 보호하기 위해 무엇을 할 수 있을까요?
케네디 우주 센터 산하 인구 건강 정보 분석 및 공유 기구의 데이비드 윌리스 박사와 켄드라 사일러 박사가 사이버 공격이 엔드포인트에 침투할 가능성을 줄이기 위해 취해야 할 조치에 대해 논의합니다.
#3 – 액세스 관리
이 섹션에서는 소규모 의료 기관을 위한 사이버 보안 실무 분야 3번 - 액세스 관리에 대해 논의해 보겠습니다.
이 토론은 세 가지 섹션으로 구성됩니다.
접근 관리란 무엇인가요?
왜 그렇게 중요한가요?
HICP 또는 "hiccup"은 소규모 의료 기관의 액세스 관리를 개선하는 데 어떻게 도움이 될 수 있습니까?
#4 – 데이터 보호 및 손실 방지
미국 국립표준기술원(NIST)은 데이터 침해를 "민감하거나 보호되거나 기밀 정보가 허가 없이 개인이 복사, 전송, 보기, 도난 또는 사용하는 사건"으로 정의합니다.
민감하고, 보호되거나, 기밀인 데이터에는 보호된 건강 정보(PHI), 신용카드 번호, 고객 및 직원 개인 정보, 그리고 조직의 지적 재산 및 영업 비밀이 포함됩니다.
#5 – 자산 관리
귀하의 조직에는 어떤 정보 기술 또는 IT 기기가 있습니까? 모든 위치에 노트북, 모바일 기기, 네트워크 스위치가 몇 대 있는지 알고 있습니까? Windows나 Apple의 IOS 또는 Android의 여러 운영 체제 중 하나를 실행하는 기기는 무엇입니까? 벽이나 책상에 부착되지 않은 경우 각 기기를 담당하는 사람은 누구입니까?
#6 – 네트워크 관리
네트워크는 워크스테이션, 의료 기기 및 기타 애플리케이션과 인프라가 통신할 수 있는 연결성을 제공합니다. 네트워크는 유선 또는 무선 연결의 형태를 취할 수 있습니다. 형태에 관계없이 통신을 촉진하는 동일한 메커니즘을 사용하여 사이버 공격을 시작하거나 전파할 수 있습니다.
적절한 사이버 보안 위생은 네트워크가 안전하고 모든 네트워크 장치가 네트워크에 안전하고 보안적으로 액세스할 수 있도록 보장합니다. 네트워크 관리가 타사 공급업체에서 제공되더라도 조직은 적절한 네트워크 관리의 핵심 측면을 이해하고 이러한 서비스 계약에 포함되어 있는지 확인해야 합니다.
#7 – 취약점 관리
취약성 관리란 소프트웨어 취약성을 식별, 분류, 우선순위 지정, 수정 및 완화하는 지속적인 관행입니다. 많은 정보 보안 준수, 감사 및 위험 관리 프레임워크는 조직이 취약성 관리 프로그램을 유지하도록 요구합니다.
#8 – 사고 대응
사고 대응은 네트워크에서 의심스러운 트래픽이나 사이버 공격을 식별하고 격리하고 수정하여 데이터 침해, 손상 또는 손실을 방지하는 기능입니다. 일반적으로 사고 대응은 정보 보안의 표준 "차단 및 태클링"이라고 합니다. 많은 유형의 보안 사고는 모든 규모의 조직에서 정기적으로 발생합니다. 사실, 대부분의 네트워크는 외부 기관으로부터 끊임없이 공격을 받고 있습니다.
#9 – 의료 기기 보안
의료 시스템은 일상적인 환자 치료의 일부로 다양한 장치를 사용합니다. 이러한 장치는 영상 시스템에서부터 진단 또는 치료 목적으로 환자와 직접 연결되는 장치에 이르기까지 다양합니다. 이러한 장치는 생명 징후를 모니터링하는 침대 옆 모니터와 같이 간단한 구현을 가질 수도 있고, 특수 치료를 제공하고 지속적인 약물 라이브러리 업데이트가 필요한 주입 펌프와 같이 더 복잡할 수도 있습니다. 이러한 복잡하고 상호 연결된 장치는 환자의 안전, 웰빙 및 개인 정보 보호에 영향을 미치며 조직의 디지털 발자국에서 잠재적인 공격 벡터를 나타냅니다. 따라서 이러한 장치는 안전한 방식으로 배포되도록 지원하기 위해 설계 및 구성에 보안 제어를 포함해야 합니다.
#10 – 사이버 보안 정책
사이버 보안 관행 #10: 사이버 보안 정책에는 의료 기관에서 사이버 보안 정책과 절차를 구현하는 데 특화된 문서인 모범 사례가 포함되어 있습니다.
모든 병원 C-Suite 임원은 임상 직원에게 기본 사항에 대한 교육을 포함하는 우수한 사이버 보안 프로그램을 지원해야 합니다."라고 Healthcare and Public Health Sector Coordinating Council(HSCC)의 회장인 Mark Jarrett이 말했습니다. Northwell Health의 전 최고 품질 책임자이자 부최고 의료 책임자이기도 한 Jarrett 박사는 "전국의 모든 병원 시스템에 학습 관리 시스템에서 '임상의를 위한 사이버 보안'을 사용하는 것을 고려하라고 조언하고 싶습니다.
Mark Jarrett, Healthcare and Public, Health Sector Coordinating Council(HSCC) 회장
규모가 작은 조직의 경우 사이버 공격의 대상이 되지 않거나 피해자가 되지 않을 것이라고 믿는 것은 매우 정상적인 일입니다. 결국 사이버 범죄자가 왜 당신의 지역 사업에 관심을 가질까요? 사실 대부분의 사이버 공격은 "기회주의적"입니다. 즉, 범죄자들은 피해자를 찾을 때 넓은 그물을 던진다는 뜻입니다. 바다에서 어부들을 생각해 보세요. 그들이 사용하는 방법론에는 바다를 수색하고 그물을 던지고 잡은 물고기를 끌어올리는 것이 포함됩니다.
