Sveikatos pramonės kibernetinio saugumo praktika ir vaizdo įrašai

Visos sveikatos sistemos primygtinai raginamos įtraukti šią seriją į savo mokymo programas; pramonės grupės ir profesinės draugijos, paraginkite savo narius daryti tą patį; ir medicinos technologijų, farmacijos, mokėtojų, sveikatos IT ir paslaugų įmonės, apsvarstykite galimybę išplėsti šią seriją savo klientams ir klientams kaip priedą prie jūsų pagalbos.

Dauguma mažų praktikų naudoja trečiųjų šalių el. pašto paslaugų teikėjus, o ne tam skirtą vidinę el. pašto infrastruktūrą. El. pašto apsaugos praktika šiame skyriuje pateikiama iš trijų dalių:

1. El. pašto sistemos konfigūracija: komponentai ir galimybės, kurios turėtų būti įtrauktos į jūsų el. pašto sistemą
2. Švietimas: kaip padidinti darbuotojų supratimą ir informuotumą apie būdus, kaip apsaugoti savo organizaciją nuo elektroniniu paštu pagrįstų kibernetinių atakų, tokių kaip sukčiavimas ir išpirkos reikalaujančios programos
3. Sukčiavimo sukčiavimo modeliavimas: būdai, kaip apmokyti darbuotojus apie sukčiavimo el. laiškus ir juos informuoti

Visi mažos organizacijos galutiniai taškai turi būti apsaugoti. Bet kas yra galutiniai taškai? Ir ką maža sveikatos priežiūros organizacija gali padaryti, kad apsaugotų savo pasekmes?

David Willis, MD ir Kendra Siler, Kenedžio kosmoso centro gyventojų sveikatos informacijos analizės ir dalijimosi organizacijos mokslų daktarė, aptarė, ką turėtumėte daryti, kad sumažintumėte tikimybę, kad kibernetinė ataka prasiskverbs į jūsų galutinius taškus.

Šiame skyriuje aptarsime 3 kibernetinio saugumo praktikos sritį – prieigos valdymą mažoms sveikatos priežiūros organizacijoms.

Ši diskusija bus suskirstyta į tris skyrius:

1. Kas yra prieigos valdymas?
2. Kodėl tai svarbu?
3. Kaip SVKI arba „žagsulys“ gali padėti pagerinti mažų sveikatos priežiūros organizacijų prieigos valdymą?

Nacionalinis standartų ir technologijų institutas arba sutrumpintai NIST duomenų pažeidimą apibrėžia kaip „įvykį, kai neskelbtina, saugoma ar konfidenciali informacija yra kopijuojama, perduodama, peržiūrima, pavogta arba naudojama tam neteisėto asmens“.

Jautrūs, apsaugoti arba konfidencialūs duomenys apima saugomos sveikatos informaciją (PHI), kredito kortelių numerius, asmeninę klientų ir darbuotojų informaciją bei jūsų organizacijos intelektinę nuosavybę ir komercines paslaptis.

Kokias informacines technologijas ar IT įrenginius turite savo organizacijoje? Ar žinote, kiek nešiojamųjų kompiuterių? mobiliuosius įrenginius? O tinklo jungiklius turite visose savo vietose? Kuriuose iš jų veikia „Windows“ ar „Apple IOS“ arba viena iš kelių „Android“ operacinių sistemų? Jei jis nėra pritvirtintas prie sienos ar stalo, kas atsakingas už kiekvieną įrenginį?

Tinklai suteikia ryšį, leidžiantį bendrauti darbo stotims, medicinos prietaisams ir kitoms programoms bei infrastruktūrai. Tinklai gali būti laidinio arba belaidžio ryšio forma. Nepriklausomai nuo formos, kibernetinei atakai pradėti arba skleisti gali būti naudojamas tas pats mechanizmas, skatinantis ryšį. 

Tinkama kibernetinio saugumo higiena užtikrina, kad tinklai būtų saugūs ir visi tinkle esantys įrenginiai galėtų saugiai pasiekti tinklus. Net jei tinklo valdymą teikia trečiosios šalies pardavėjas, organizacijos turėtų suprasti pagrindinius tinkamo tinklo valdymo aspektus ir užtikrinti, kad jie būtų įtraukti į šių paslaugų sutartis.

Pažeidžiamumo valdymas yra nuolatinė programinės įrangos pažeidžiamumų nustatymo, klasifikavimo, prioritetų nustatymo, ištaisymo ir mažinimo praktika. Daugelis informacijos saugumo atitikties, audito ir rizikos valdymo sistemų reikalauja, kad organizacijos išlaikytų pažeidžiamumo valdymo programą.

Reagavimas į incidentą – tai galimybė nustatyti įtartiną srautą ar kibernetines atakas tinkle, jį izoliuoti ir ištaisyti, kad būtų išvengta duomenų pažeidimo, sugadinimo ar praradimo. Paprastai atsakas į incidentą vadinamas standartiniu informacijos saugumo „blokavimu ir pašalinimu“. Įvairių dydžių organizacijose reguliariai įvyksta daugybė saugumo incidentų. Tiesą sakant, daugumą tinklų nuolat puola išorės subjektai.

Sveikatos priežiūros sistemos naudoja daugybę skirtingų prietaisų kaip įprastinio pacientų gydymo dalį. Tai svyruoja nuo vaizdo gavimo sistemų iki prietaisų, kurie diagnostikos ar gydymo tikslais tiesiogiai jungiasi prie paciento. Tokie prietaisai gali turėti nesudėtingą įgyvendinimą, pvz., monitorius prie lovos, kurie stebi gyvybinius požymius, arba jie gali būti sudėtingesni, pavyzdžiui, infuzinės pompos, kurios teikia specializuotą gydymą ir reikalauja nuolatinio vaistų bibliotekos atnaujinimo. Šie sudėtingi ir tarpusavyje sujungti įrenginiai turi įtakos pacientų saugai, gerovei ir privatumui bei yra potencialūs atakų vektoriai organizacijos skaitmeniniame pėdsake. Todėl į šių įrenginių dizainą ir konfigūraciją turėtų būti įtrauktos saugos kontrolės priemonės, kad būtų galima saugiai naudoti.

Kibernetinio saugumo praktika Nr. 10: Kibernetinio saugumo politika apima geriausią praktiką, kuri yra dokumentai, susiję su kibernetinio saugumo politikos ir procedūrų įgyvendinimu jūsų sveikatos priežiūros organizacijoje.