Praktyki i filmy dotyczące cyberbezpieczeństwa w branży opieki zdrowotnej

Zdecydowanie zachęcamy wszystkie systemy opieki zdrowotnej do włączenia tej serii do swoich programów szkoleniowych; grupy branżowe i stowarzyszenia zawodowe prosimy o zachęcenie swoich członków do pójścia w ich ślady; a firmy z branży technologii medycznych, farmaceutycznej, płatniczej, informatyki medycznej i usługowej prosimy o rozważenie rozszerzenia tej serii na swoich klientów jako uzupełnienia wsparcia.

Większość małych praktyk korzysta z zewnętrznych dostawców poczty e-mail, zamiast tworzyć dedykowaną wewnętrzną infrastrukturę poczty e-mail. Praktyki ochrony poczty e-mail w tej sekcji są przedstawione w trzech częściach:

1. Konfiguracja systemu poczty elektronicznej: komponenty i możliwości, które powinny być zawarte w systemie poczty elektronicznej
2. Edukacja: jak zwiększyć wiedzę i świadomość pracowników na temat sposobów ochrony organizacji przed cyberatakami opartymi na poczcie e-mail, takimi jak phishing i ransomware
3. Symulacje phishingu: sposoby zapewnienia personelowi szkoleń i świadomości na temat wiadomości e-mail phishingowych

Wszystkie punkty końcowe małej organizacji muszą być chronione. Ale czym są punkty końcowe? I co może zrobić mała organizacja opieki zdrowotnej, aby chronić swoje punkty końcowe?

Dr David Willis i dr Kendra Siler z Population Health Information Analysis and Sharing Organization w Centrum Kosmicznym im. Kennedy'ego omówią działania, które należy podjąć, aby zmniejszyć ryzyko ataku cybernetycznego na punkty końcowe.

W tej sekcji omówimy obszar praktyki cyberbezpieczeństwa numer 3 – Zarządzanie dostępem dla małych organizacji opieki zdrowotnej.

Dyskusja będzie podzielona na trzy sekcje:

1. Czym jest zarządzanie dostępem?
2. Dlaczego to jest ważne?
3. W jaki sposób HICP lub „hiccup” może pomóc w usprawnieniu zarządzania dostępem w małych organizacjach opieki zdrowotnej?

Narodowy Instytut Norm i Technologii, w skrócie NIST, definiuje naruszenie danych jako „incydent, w którym poufne, chronione lub tajne informacje są kopiowane, przesyłane, przeglądane, kradzione lub wykorzystywane przez osobę nieupoważnioną”.

Do danych wrażliwych, chronionych lub poufnych zalicza się chronione informacje dotyczące stanu zdrowia (PHI), numery kart kredytowych, dane osobowe klientów i pracowników, a także własność intelektualną i tajemnice handlowe Twojej organizacji.

Jakie technologie informatyczne lub urządzenia IT masz w swojej organizacji? Czy wiesz, ile laptopów, urządzeń mobilnych i przełączników sieciowych masz we wszystkich swoich lokalizacjach? Które z nich działają na systemie Windows, iOS firmy Apple lub jednym z kilku systemów operacyjnych Android? Jeśli nie jest przymocowany do ściany lub biurka, kto odpowiada za każde urządzenie?

Sieci zapewniają łączność, która umożliwia komunikację między stacjami roboczymi, urządzeniami medycznymi i innymi aplikacjami i infrastrukturą. Sieci mogą przybierać formę połączeń przewodowych lub bezprzewodowych. Niezależnie od formy, ten sam mechanizm, który sprzyja komunikacji, może być użyty do uruchomienia lub rozprzestrzenienia cyberataku. 

Właściwa higiena cyberbezpieczeństwa zapewnia bezpieczeństwo sieci i bezpieczny dostęp wszystkich urządzeń sieciowych do sieci. Nawet jeśli zarządzanie siecią jest zapewniane przez zewnętrznego dostawcę, organizacje powinny zrozumieć kluczowe aspekty właściwego zarządzania siecią i upewnić się, że są one uwzględnione w umowach dotyczących tych usług.

Zarządzanie podatnością to ciągła praktyka identyfikowania, klasyfikowania, ustalania priorytetów, naprawiania i łagodzenia luk w zabezpieczeniach oprogramowania. Wiele ram zgodności z przepisami dotyczącymi bezpieczeństwa informacji, audytu i zarządzania ryzykiem wymaga od organizacji utrzymywania programu zarządzania podatnością.

Reagowanie na incydenty to zdolność do identyfikowania podejrzanego ruchu lub cyberataków w sieci, izolowania ich i naprawiania w celu zapobiegania naruszeniom danych, uszkodzeniom lub utracie. Zazwyczaj reagowanie na incydenty jest określane jako standardowe „blokowanie i radzenie sobie” z bezpieczeństwem informacji. Wiele typów incydentów bezpieczeństwa występuje regularnie w organizacjach każdej wielkości. W rzeczywistości większość sieci jest pod ciągłym atakiem podmiotów zewnętrznych.

Systemy opieki zdrowotnej wykorzystują wiele różnych urządzeń w ramach rutynowego leczenia pacjentów. Obejmują one systemy obrazowania, urządzenia, które łączą się bezpośrednio z pacjentem w celach diagnostycznych lub terapeutycznych. Takie urządzenia mogą mieć proste implementacje, takie jak monitory przyłóżkowe, które monitorują parametry życiowe, lub mogą być bardziej skomplikowane, takie jak pompy infuzyjne, które dostarczają specjalistyczne terapie i wymagają ciągłych aktualizacji biblioteki leków. Te złożone i połączone ze sobą urządzenia wpływają na bezpieczeństwo pacjenta, dobre samopoczucie i prywatność oraz stanowią potencjalne wektory ataków w cyfrowym śladzie organizacji. W związku z tym urządzenia te powinny obejmować kontrole bezpieczeństwa w swojej konstrukcji i konfiguracji, aby wspierać wdrażanie w bezpieczny sposób.

Praktyka cyberbezpieczeństwa nr 10: Zasady cyberbezpieczeństwa obejmują najlepsze praktyki będące dokumentem specyficznym dla wdrażania zasad i procedur cyberbezpieczeństwa w Twojej organizacji opieki zdrowotnej.