Prejsť k hlavnému obsahu

Praktiky a videá v oblasti kybernetickej bezpečnosti v zdravotníctve

Séria videoškolení „Kybernetická bezpečnosť pre lekára“.

Séria videoškolení „Kybernetická bezpečnosť pre lekára“ v celkovej dĺžke 47 minút medzi ôsmimi videami vysvetľuje jednoduchým, netechnickým jazykom, čo lekári a študenti v lekárskej profesii potrebujú pochopiť o tom, ako môžu kybernetické útoky ovplyvniť klinické operácie a bezpečnosť pacienta a ako pomôžte chrániť údaje, systémy a pacientov v oblasti zdravotnej starostlivosti pred kybernetickými hrozbami.

Séria je dobrá na jednu kreditnú hodinu CME/CEU. Používanie týchto školiacich videí môže tiež spĺňať požiadavky na dokumentáciu podľa pravidiel núdzovej pripravenosti CMS, Národnej asociácie požiarnej ochrany a Spoločnej komisie pre analýzu zraniteľnosti zariadení a analýzu rizík a školenie.

O tomto seriáli videí

Všetkým zdravotným systémom sa dôrazne odporúča, aby prijali túto sériu do vašich tréningových programov; priemyselné skupiny a odborné spoločnosti, povzbuďte svojich členov, aby urobili to isté; a medicínske, farmaceutické, platiteľské spoločnosti, zdravotnícke IT a spoločnosti poskytujúce služby, zvážte rozšírenie tejto série na vašich zákazníkov a klientov ako doplnok k vašej podpore.
Pozrite si celý seriál videí
Iniciatíva 405(d) Zosúladenie bezpečnostných praktík zdravotníckeho priemyslu spolu s publikáciou Health Industry Cybersecurity Practices: Managing Threats and Protecting Pacienti (HICP), ktorej sa tieto videá tiež týkajú, sú v partnerstve s Koordinačnou radou pre sektor zdravotníctva a verejného zdravia. (HSCC).
Zistite viac o iniciatíve
Nové správy a tlač HSCC

Technický zväzok 1:
Postupy kybernetickej bezpečnosti pre malé zdravotnícke organizácie

Stiahnite si zväzok 1 vo formáte PDF

#1 – Úvod a systémy ochrany e-mailov

Väčšina malých praktík využíva skôr outsourcovaných poskytovateľov e-mailu tretích strán, než aby zriaďovala vyhradenú internú e-mailovú infraštruktúru. Postupy ochrany e-mailov v tejto časti sú uvedené v troch častiach:

  1. Konfigurácia e-mailového systému: komponenty a schopnosti, ktoré by mali byť súčasťou vášho e-mailového systému
  2. Vzdelávanie: ako zvýšiť porozumenie a povedomie zamestnancov o spôsoboch ochrany vašej organizácie pred e-mailovými kybernetickými útokmi, ako sú phishing a ransomware
  3. Simulácie phishingu: spôsoby, ako poskytnúť zamestnancom školenie o phishingových e-mailoch a povedomie o nich

#2 – Systémy ochrany koncových bodov

Všetky koncové body malej organizácie musia byť chránené. Ale aké sú koncové body? A čo môže urobiť malá zdravotnícka organizácia na ochranu svojich koncových bodov?

David Willis, MD a Kendra Siler, PhD z Organizácie pre analýzu a zdieľanie zdravotných informácií o populácii v Kennedyho vesmírnom stredisku sú tu, aby diskutovali o tom, čo by ste mali robiť, aby ste znížili šance, že kybernetický útok prenikne do vašich koncových bodov.

#3 – Správa prístupu

V tejto časti budeme diskutovať o oblasti praxe číslo 3 v oblasti kybernetickej bezpečnosti – Riadenie prístupu pre malé zdravotnícke organizácie.

Táto diskusia bude rozdelená do troch sekcií:

  1. Čo je to správa prístupu?
  2. Prečo je to dôležité?
  3. Ako môže HICP alebo „škytavka“ pomôcť zlepšiť správu prístupu pre malé zdravotnícke organizácie?

#4 – Ochrana údajov a prevencia strát

Národný inštitút pre štandardy a technológie alebo v skratke NIST definuje porušenie údajov ako „incident, ktorý zahŕňa kopírovanie, prenos, prezeranie, odcudzenie alebo použitie citlivých, chránených alebo dôverných informácií osobou, ktorá na to nemá povolenie“.

Citlivé, chránené alebo dôverné údaje zahŕňajú chránené zdravotné informácie (PHI), čísla kreditných kariet, osobné údaje zákazníkov a zamestnancov a duševné vlastníctvo a obchodné tajomstvá vašej organizácie.

#5 – Správa aktív

Aké informačné technológie alebo IT zariadenia máte vo svojej organizácii? Viete koľko notebookov? mobilné zariadenia? A sieťové prepínače máte vo všetkých svojich lokalitách? Ktoré používajú Windows alebo Apple IOS alebo jeden z niekoľkých operačných systémov Android? Ak nie je pripevnené k stene alebo stolu, kto je zodpovedný za každé zariadenie?

#6 – Správa siete

Siete poskytujú konektivitu, ktorá umožňuje pracovným staniciam, zdravotníckym zariadeniam a iným aplikáciám a infraštruktúre komunikovať. Siete môžu mať formu káblových alebo bezdrôtových pripojení. Bez ohľadu na formu, rovnaký mechanizmus, ktorý podporuje komunikáciu, možno použiť na spustenie alebo šírenie kybernetického útoku. 

Správna hygiena kybernetickej bezpečnosti zaisťuje, že siete sú bezpečné a že všetky sieťové zariadenia môžu bezpečne a bezpečne pristupovať k sieťam. Aj keď správu siete poskytuje dodávateľ tretej strany, organizácie by mali chápať kľúčové aspekty správnej správy siete a zabezpečiť, aby boli zahrnuté v zmluvách o týchto službách.

#7 – Manažment zraniteľnosti

Manažment zraniteľností je nepretržitý postup identifikácie, klasifikácie, uprednostňovania, nápravy a zmierňovania softvérových zraniteľností. Mnohé rámce pre zhodu s bezpečnosťou informácií, audit a riadenie rizík vyžadujú, aby organizácie udržiavali program riadenia zraniteľnosti.

#8 – Reakcia na incident

Reakcia na incidenty je schopnosť identifikovať podozrivú prevádzku alebo kybernetické útoky vo vašej sieti, izolovať ju a napraviť, aby sa zabránilo narušeniu, poškodeniu alebo strate údajov. Reakcia na incident sa zvyčajne označuje ako štandardné „blokovanie a riešenie“ informačnej bezpečnosti. Mnoho typov bezpečnostných incidentov sa vyskytuje pravidelne v organizáciách všetkých veľkostí. V skutočnosti je väčšina sietí pod neustálym útokom vonkajších subjektov.

#9 – Zabezpečenie zdravotníckych pomôcok

Systémy zdravotnej starostlivosti využívajú mnoho rôznych zariadení ako súčasť bežnej liečby pacienta. Tie siahajú od zobrazovacích systémov až po zariadenia, ktoré sa priamo pripájajú k pacientovi na diagnostické alebo terapeutické účely. Takéto zariadenia môžu mať priamu implementáciu, ako sú monitory pri lôžku, ktoré monitorujú vitálne funkcie, alebo môžu byť komplikovanejšie, ako napríklad infúzne pumpy, ktoré dodávajú špecializované terapie a vyžadujú neustále aktualizácie knižnice liekov. Tieto zložité a vzájomne prepojené zariadenia ovplyvňujú bezpečnosť, pohodu a súkromie pacienta a predstavujú potenciálne vektory útokov v digitálnej stope organizácie. Ako také by tieto zariadenia mali vo svojom dizajne a konfigurácii zahŕňať bezpečnostné kontroly, aby sa podporilo ich nasadenie bezpečným spôsobom.

#10 – Zásady kybernetickej bezpečnosti

Prax kybernetickej bezpečnosti č. 10: Politiky kybernetickej bezpečnosti zahŕňajú osvedčené postupy, ktoré sú dokumentom špecifickým pre implementáciu politík a postupov kybernetickej bezpečnosti vo vašej zdravotníckej organizácii.
Každý vedúci pracovník nemocnice C-Suite musí podporovať dobrý program kybernetickej bezpečnosti, ktorý zahŕňa školenie klinického personálu v základoch,“ povedal Mark Jarrett, predseda koordinačnej rady pre sektor zdravotníctva a verejného zdravia (HSCC). Dr. Jarrett, ktorý je tiež bývalým hlavným riaditeľom kvality a zástupcom hlavného lekára pre Northwell Health, dodal: „Odporučil by som každému nemocničnému systému v krajine, aby zvážil použitie 'Kybernetická bezpečnosť pre lekára' vo svojich systémoch riadenia vzdelávania.
Mark Jarrett, predseda Koordinačnej rady pre zdravotníctvo a verejnosť (HSCC)
Pre menšie organizácie je celkom normálne veriť, že nebudete terčom alebo obeťou kybernetických útokov. Koniec koncov, prečo by sa počítačový zločinec zaujímal o vašu miestnu firmu? Pravdou je, že väčšina kybernetických útokov je „oportunistických“; to znamená, že zločinci vrhajú širokú sieť, keď hľadajú obete. Spomeňte si na námorných rybárov. Metódy, ktoré používajú, zahŕňajú čistenie morí, vrhanie sietí a vťahovanie ulovených rýb.