Практики и видеа за сајбер безбедност на здравствената индустрија

Сите здравствени системи се силно охрабрени да ја усвојат оваа серија во вашите програми за обука; индустриски групи и професионални здруженија, ве молиме поттикнете ги вашите членови да го сторат истото; и medtech, фармацевтски, плаќачи, здравствени ИТ и компании за услуги, ве молиме размислете да ја проширите оваа серија на вашите клиенти и клиенти како додаток на вашата поддршка.

Повеќето мали практики користат аутсорсинг добавувачи на е-пошта од трети страни, наместо да воспостават посебна внатрешна инфраструктура за е-пошта. Практиките за заштита на е-пошта во овој дел се претставени во три дела:

1. Конфигурација на системот за е-пошта: компонентите и можностите што треба да бидат вклучени во вашиот систем за е-пошта
2. Образование: како да го зголемите разбирањето и свесноста на персоналот за начините за заштита на вашата организација од сајбер напади базирани на е-пошта, како што се фишинг и откуп
3. Фишинг симулации: начини да се обезбеди обука на персоналот и свесност за е-пошта за фишинг

Сите крајни точки на една мала организација мора да бидат заштитени. Но, кои се крајните точки? И, што може да направи една мала здравствена организација за да ги заштити своите крајни точки?

Дејвид Вилис, д-р и Кендра Силер, д-р со Организацијата за анализа и споделување на здравствени информации за населението во вселенскиот центар Кенеди се тука за да разговараат што треба да направите за да ги намалите шансите сајбер напад да продре до вашите крајни точки.

Во овој дел, ќе разговараме за Област број 3 на практиката за сајбер-безбедност – Управување со пристап за мали здравствени организации.

Оваа дискусија ќе биде организирана во три дела:

1. Што е управување со пристап?
2. Зошто е важно?
3. Како може HICP или „hiccup“ да помогне да се подобри управувањето со пристапот за малите здравствени организации?

Националниот институт за стандарди и технологија, или скратено NIST, го дефинира прекршувањето на податоците како „инцидент што вклучува чувствителни, заштитени или доверливи информации кои се копирани, пренесувани, гледани, украдени или користени од поединец неовластен да го стори тоа“.

Чувствителните, заштитени или доверливи податоци вклучуваат информации за заштитено здравје (PHI), броеви на кредитни картички, лични информации на клиентите и вработени, како и интелектуалната сопственост и трговските тајни на вашата организација.

Каква информатичка технологија или ИТ уреди имате во вашата организација? Дали знаете колку лаптопи? мобилни уреди? И мрежни прекинувачи што ги имате на сите ваши локации? Кои работат со Windows или со IOS на Apple или еден од неколкуте оперативни системи на Android? Ако не е прикачен на ѕид или на биро, кој е одговорен за секој уред?

Мрежите обезбедуваат поврзување што им овозможува на работните станици, медицинските уреди и другите апликации и инфраструктура да комуницираат. Мрежите можат да бидат во форма на жичени или безжични врски. Без оглед на формата, истиот механизам што ја поттикнува комуникацијата може да се користи за лансирање или пропагирање на сајбер-напад. 

Соодветната хигиена на сајбер безбедноста гарантира дека мрежите се безбедни и дека сите мрежни уреди можат безбедно и безбедно да пристапат до мрежите. Дури и ако управувањето со мрежата е обезбедено од продавач на трета страна, организациите треба да ги разберат клучните аспекти на правилното управување со мрежата и да обезбедат дека тие се вклучени во договорите за овие услуги.

Управувањето со ранливоста е континуирана практика на идентификување, класифицирање, приоретизирање, поправање и ублажување на пропустите на софтверот. Многу рамки за усогласеност со безбедноста на информациите, ревизија и управување со ризик бараат од организациите да одржуваат програма за управување со ранливоста.

Одговор на инцидент е способноста да се идентификува сомнителен сообраќај или сајбер напади на вашата мрежа, да се изолира и да се поправи со цел да се спречи прекршување, оштетување или губење на податоците. Вообичаено, одговорот на инцидентот се нарекува стандардно „блокирање и справување“ на безбедноста на информациите. Многу видови безбедносни инциденти се случуваат на редовна основа низ организации од сите големини. Всушност, повеќето мрежи се под постојан напад од надворешни субјекти.

Системите за здравствена заштита користат многу различни уреди како дел од рутинскиот третман на пациентите. Тие се движат од системи за сликање до уреди кои директно се поврзуваат со пациентот за дијагностички или терапевтски цели. Таквите уреди може да имаат едноставни имплементации, како што се монитори покрај креветот што ги следат виталните знаци или може да бидат покомплицирани, како што се пумпи за инфузија што обезбедуваат специјализирани терапии и бараат постојано ажурирање на библиотеката за лекови. Овие сложени и меѓусебно поврзани уреди влијаат на безбедноста, благосостојбата и приватноста на пациентот и тие претставуваат потенцијални вектори на напад во дигиталниот отпечаток на организацијата. Како такви, овие уреди треба да вклучуваат безбедносни контроли во нивниот дизајн и конфигурација за поддршка да се распореди на безбеден начин.

Практика за сајбер безбедност #10: Политиките за сајбер безбедност ги вклучуваат најдобрите практики кои се документи специфични за спроведувањето на политиките и процедурите за сајбер безбедност во вашата здравствена организација.