Helseindustriens cybersikkerhetspraksis og videoer

Alle helsesystemer oppfordres sterkt til å ta i bruk denne serien i treningsprogrammene dine; industrigrupper og profesjonelle foreninger, vennligst oppfordre medlemmene dine til å gjøre det samme; og medisinske, farmasøytiske, betaler-, helse-IT- og tjenesteselskaper, bør du vurdere å utvide denne serien til dine kunder og klienter som et supplement til din støtte.

De fleste små praksiser utnytter outsourcede tredjeparts e-postleverandører, i stedet for å etablere en dedikert intern e-postinfrastruktur. Praksisen for e-postbeskyttelse i denne delen er presentert i tre deler:

1. E-postsystemkonfigurasjon: komponentene og egenskapene som bør inkluderes i e-postsystemet ditt
2. Utdanning: hvordan øke personalets forståelse og bevissthet om måter å beskytte organisasjonen din mot e-postbaserte nettangrep som phishing og løsepengeprogramvare
3. Phishing-simuleringer: måter å gi ansatte opplæring i og bevissthet rundt phishing-e-poster

En liten organisasjons endepunkter må alle beskyttes. Men hva er endepunkter? Og hva kan en liten helseorganisasjon gjøre for å beskytte endepunktene sine?

David Willis, MD og Kendra Siler, PhD med organisasjonen for befolkningshelseinformasjonsanalyse og -deling ved Kennedy Space Center er her for å diskutere hva du bør gjøre for å redusere sjansene for at et cyberangrep trenger inn i endepunktene dine.

I denne delen skal vi diskutere cybersikkerhetspraksis område nummer 3 – tilgangsstyring for små helseorganisasjoner.

Denne diskusjonen vil bli organisert i tre deler:

1. Hva er tilgangsstyring?
2. Hvorfor er det viktig?
3. Hvordan kan HICP eller "hikke" bidra til å forbedre tilgangsadministrasjonen for små helseorganisasjoner?

National Institute of Standards and Technology, eller NIST for kort, definerer et datainnbrudd som "en hendelse som involverer sensitiv, beskyttet eller konfidensiell informasjon som kopieres, overføres, sees, stjeles eller brukes av en person som ikke er autorisert til å gjøre det."

Sensitive, beskyttede eller konfidensielle data inkluderer beskyttet helseinformasjon (PHI), kredittkortnumre, personlig informasjon om kunder og ansatte, og organisasjonens immaterielle rettigheter og forretningshemmeligheter.

Hvilken informasjonsteknologi, eller IT-enheter, har du i organisasjonen din? Vet du hvor mange bærbare datamaskiner? mobile enheter? Og nettverkssvitsjer du har på alle steder? Hvilke kjører Windows eller Apples IOS eller et av Androids flere operativsystemer? Hvis den ikke er festet til en vegg eller et skrivebord, hvem er ansvarlig for hver enhet?

Nettverk gir tilkoblingen som gjør at arbeidsstasjoner, medisinsk utstyr og andre applikasjoner og infrastruktur kan kommunisere. Nettverk kan ha form av kablede eller trådløse tilkoblinger. Uansett form kan den samme mekanismen som fremmer kommunikasjon brukes til å starte eller spre et cyberangrep. 

Riktig cybersikkerhetshygiene sikrer at nettverk er sikre og at alle nettverksenheter kan få tilgang til nettverk trygt og sikkert. Selv om nettverksadministrasjon leveres av en tredjepartsleverandør, bør organisasjoner forstå nøkkelaspekter ved riktig nettverksadministrasjon og sikre at de er inkludert i kontrakter for disse tjenestene.

Sårbarhetshåndtering er en kontinuerlig praksis for å identifisere, klassifisere, prioritere, utbedre og redusere programvaresårbarheter. Mange rammeverk for etterlevelse av informasjonssikkerhet, revisjon og risikostyring krever at organisasjoner opprettholder et program for sårbarhet.

Hendelsesrespons er evnen til å identifisere mistenkelig trafikk eller nettangrep på nettverket ditt, isolere det og utbedre det for å forhindre datainnbrudd, skade eller tap. Vanligvis omtales hendelsesrespons som standard "blokkering og takling" av informasjonssikkerhet. Mange typer sikkerhetshendelser forekommer regelmessig på tvers av organisasjoner av alle størrelser. Faktisk er de fleste nettverk under konstant angrep fra eksterne enheter.

Helsevesenet bruker mange forskjellige enheter som en del av rutinemessig pasientbehandling. Disse spenner fra bildesystemer til enheter som kobles direkte til pasienten for diagnostiske eller terapeutiske formål. Slike enheter kan ha enkle implementeringer, for eksempel nattbordsmonitorer som overvåker vitale tegn, eller de kan være mer kompliserte, for eksempel infusjonspumper som leverer spesialiserte terapier og krever kontinuerlige oppdateringer av legemiddelbiblioteket. Disse komplekse og sammenkoblede enhetene påvirker pasientsikkerhet, velvære og personvern, og de representerer potensielle angrepsvektorer i en organisasjons digitale fotavtrykk. Som sådan bør disse enhetene inkludere sikkerhetskontroller i design og konfigurasjon for å støtte utplassering på en sikker måte.

Cybersikkerhetspraksis #10: Cybersikkerhetspolicyer inkluderer beste praksis som er dokumentspesifikke for implementeringen av nettsikkerhetspolicyer og -prosedyrer i helseorganisasjonen din.