Cybersecuritypraktijken en video's voor de gezondheidszorg

Wij raden alle zorgsystemen ten zeerste aan om deze serie op te nemen in hun trainingsprogramma's. Brancheorganisaties en beroepsverenigingen moedigen hun leden aan om hetzelfde te doen. En bedrijven in de medische technologie, de farmaceutische industrie, verzekeraars, gezondheidszorg-IT en dienstverlenende bedrijven kunnen overwegen om deze serie uit te breiden naar hun klanten en cliënten als aanvulling op hun ondersteuning.

De meeste kleine praktijken maken gebruik van uitbestede externe e-mailproviders, in plaats van een speciale interne e-mailinfrastructuur op te zetten. De e-mailbeveiligingspraktijken in deze sectie worden in drie delen gepresenteerd:

1. Configuratie van het e-mailsysteem: de componenten en mogelijkheden die in uw e-mailsysteem moeten worden opgenomen
2. Onderwijs: hoe u het begrip en bewustzijn van uw personeel kunt vergroten over manieren om uw organisatie te beschermen tegen e-mailgebaseerde cyberaanvallen zoals phishing en ransomware
3. Phishingsimulaties: manieren om personeel te trainen en bewust te maken van phishing-e-mails

De eindpunten van een kleine organisatie moeten allemaal worden beschermd. Maar wat zijn eindpunten? En wat kan een kleine zorginstelling doen om hun eindpunten te beschermen?

David Willis, MD, en Kendra Siler, PhD van de Population Health Information Analysis and Sharing Organization bij het Kennedy Space Center, bespreken wat u kunt doen om de kans te verkleinen dat een cyberaanval uw eindpunten binnendringt.

In dit gedeelte bespreken we Cybersecurity Practice Area Number 3: Toegangsbeheer voor kleine zorginstellingen.

Deze discussie zal in drie delen worden verdeeld:

1. Wat is toegangsbeheer?
2. Waarom is het belangrijk?
3. Hoe kan HICP of “hiccup” helpen het toegangsbeheer voor kleine zorginstellingen te verbeteren?

Het National Institute of Standards and Technology, of kortweg NIST, definieert een datalek als “een incident waarbij gevoelige, beschermde of vertrouwelijke informatie wordt gekopieerd, verzonden, bekeken, gestolen of gebruikt door een persoon die daartoe niet bevoegd is.”

Gevoelige, beschermde of vertrouwelijke gegevens omvatten beschermde gezondheidsinformatie (PHI), creditcardnummers, persoonlijke gegevens van klanten en werknemers, en de intellectuele eigendomsrechten en handelsgeheimen van uw organisatie.

Welke informatietechnologie of IT-apparaten hebt u in uw organisatie? Weet u hoeveel laptops, mobiele apparaten en netwerkswitches u op al uw locaties hebt? Welke draaien op Windows of Apple's iOS of een van de verschillende besturingssystemen van Android? Als het niet aan een muur of bureau is bevestigd, wie is dan verantwoordelijk voor elk apparaat?

Netwerken bieden de connectiviteit waarmee werkstations, medische apparaten en andere applicaties en infrastructuur kunnen communiceren. Netwerken kunnen de vorm aannemen van bekabelde of draadloze verbindingen. Ongeacht de vorm kan hetzelfde mechanisme dat communicatie bevordert, worden gebruikt om een ​​cyberaanval te lanceren of te verspreiden. 

Een goede cybersecurityhygiëne zorgt ervoor dat netwerken veilig zijn en dat alle netwerkapparaten veilig en beveiligd toegang hebben tot netwerken. Zelfs als netwerkbeheer wordt geleverd door een externe leverancier, moeten organisaties de belangrijkste aspecten van goed netwerkbeheer begrijpen en ervoor zorgen dat deze zijn opgenomen in contracten voor deze services.

Vulnerability management is een continue praktijk van het identificeren, classificeren, prioriteren, verhelpen en beperken van softwarekwetsbaarheden. Veel informatiebeveiligingsnalevings-, audit- en risicomanagementkaders vereisen dat organisaties een programma voor vulnerability management onderhouden.

Incident response is het vermogen om verdacht verkeer of cyberaanvallen op uw netwerk te identificeren, te isoleren en te verhelpen om datalekken, schade of verlies te voorkomen. Incident response wordt doorgaans de standaard "blokkering en aanpak" van informatiebeveiliging genoemd. Veel soorten beveiligingsincidenten komen regelmatig voor in organisaties van alle groottes. In feite worden de meeste netwerken voortdurend aangevallen door externe entiteiten.

Gezondheidszorgsystemen gebruiken veel verschillende apparaten als onderdeel van de routinebehandeling van patiënten. Deze variëren van beeldvormingssystemen tot apparaten die rechtstreeks verbinding maken met de patiënt voor diagnostische of therapeutische doeleinden. Dergelijke apparaten kunnen eenvoudige implementaties hebben, zoals bedmonitoren die vitale functies bewaken, of ze kunnen ingewikkelder zijn, zoals infuuspompen die gespecialiseerde therapieën leveren en voortdurende updates van de medicijnbibliotheek vereisen. Deze complexe en onderling verbonden apparaten beïnvloeden de veiligheid, het welzijn en de privacy van de patiënt en ze vormen potentiële aanvalsvectoren in de digitale voetafdruk van een organisatie. Als zodanig moeten deze apparaten beveiligingscontroles in hun ontwerp en configuratie opnemen om te ondersteunen dat ze op een veilige manier worden ingezet.

Cyberbeveiligingspraktijk nr. 10: Cyberbeveiligingsbeleid omvat best practices die specifiek zijn vastgelegd in documenten voor de implementatie van cyberbeveiligingsbeleid en -procedures in uw zorginstelling.