Preskoči na glavno vsebino

Prakse in videoposnetki kibernetske varnosti v zdravstveni industriji

Serija videoposnetkov usposabljanja »Kibernetska varnost za zdravnika«.

Serija videoposnetkov o usposabljanju »Kibernetska varnost za zdravnike«, ki obsega 47 minut med osmimi videoposnetki, v preprostem, nestrokovnem jeziku pojasnjuje, kaj morajo kliniki in študenti v medicinski stroki razumeti, kako lahko kibernetski napadi vplivajo na klinične operacije in varnost pacientov ter kako prispevajte svoj delež k zaščiti zdravstvenih podatkov, sistemov in bolnikov pred kibernetskimi grožnjami.

Serija je primerna za eno kreditno uro CME/CEU. Uporaba teh videoposnetkov za usposabljanje lahko izpolni tudi zahteve glede dokumentacije pravilnika CMS Emergency Preparedness Rule, Nacionalnega združenja za požarno zaščito in Skupne komisije za analizo ranljivosti objektov ter analizo tveganja in usposabljanje.

O tej video seriji

Vse zdravstvene sisteme močno spodbujamo, da sprejmejo to serijo v svoje programe usposabljanja; panožne skupine in strokovna združenja, spodbujajte svoje člane, da storijo enako; in medicinska tehnološka, ​​farmacevtska, plačniška, zdravstvena IT in storitvena podjetja, razmislite o razširitvi te serije na vaše stranke in stranke kot dodatek k vaši podpori.
Oglejte si celotno video serijo
Pobuda 405(d) Usklajevanje varnostnih praks v industriji zdravstvenega varstva, skupaj s publikacijo Prakse kibernetske varnosti v zdravstveni industriji: obvladovanje groženj in zaščita pacientov (HICP), s katero so povezani tudi ti videoposnetki, sta v sodelovanju s Koordinacijskim svetom za sektor zdravstva in javnega zdravja. (HSCC).
Izvedite več o pobudi
HSCC Nove objave in tisk

Tehnični zvezek 1:
Prakse kibernetske varnosti za male zdravstvene organizacije

Prenesite PDF zvezek 1

#1 – Uvod in sistemi za zaščito e-pošte

Večina majhnih praks uporablja zunanje izvajalce ponudnikov e-pošte, namesto da vzpostavi namensko notranjo infrastrukturo e-pošte. Prakse zaščite e-pošte v tem razdelku so predstavljene v treh delih:

  1. Konfiguracija e-poštnega sistema: komponente in zmožnosti, ki naj bodo vključene v vaš e-poštni sistem
  2. Izobraževanje: kako izboljšati razumevanje osebja in zavedanje o načinih za zaščito vaše organizacije pred kibernetskimi napadi, ki temeljijo na e-pošti, kot sta lažno predstavljanje in izsiljevalska programska oprema
  3. Simulacije lažnega predstavljanja: načini, kako osebju zagotoviti usposabljanje o e-pošti z lažnim predstavljanjem in njihovo ozaveščenost

#2 – Sistemi za zaščito končnih točk

Vse končne točke majhne organizacije morajo biti zaščitene. Toda kaj so končne točke? In kaj lahko majhna zdravstvena organizacija stori za zaščito svojih končnih točk?

David Willis, dr. med., in dr. Kendra Siler iz organizacije za analizo in izmenjavo informacij o zdravju prebivalstva v vesoljskem centru Kennedy sta tukaj, da razpravljata o tem, kaj morate storiti, da zmanjšate možnosti, da kibernetski napad prodre v vaše končne točke.

#3 – Upravljanje dostopa

V tem razdelku bomo razpravljali o področju kibernetske varnosti številka 3 – Upravljanje dostopa za majhne zdravstvene organizacije.

Ta razprava bo organizirana v treh sklopih:

  1. Kaj je upravljanje dostopa?
  2. Zakaj je pomembno?
  3. Kako lahko HICP ali "kolcanje" pomaga izboljšati upravljanje dostopa za majhne zdravstvene organizacije?

#4 – Zaščita podatkov in preprečevanje izgube

Nacionalni inštitut za standarde in tehnologijo ali na kratko NIST opredeljuje kršitev podatkov kot "incident, ki vključuje kopiranje, prenos, ogled, krajo ali uporabo občutljivih, zaščitenih ali zaupnih informacij s strani posameznika, ki za to ni pooblaščen."

Občutljivi, zaščiteni ali zaupni podatki vključujejo zaščitene zdravstvene informacije (PHI), številke kreditnih kartic, osebne podatke strank in zaposlenih ter intelektualno lastnino in poslovne skrivnosti vaše organizacije.

#5 – Upravljanje premoženja

Kakšno informacijsko tehnologijo ali IT naprave imate v vaši organizaciji? Ali veste, koliko prenosnikov? mobilne naprave? In omrežna stikala, ki jih imate na vseh svojih lokacijah? Kateri poganjajo Windows ali Applov IOS ali enega od več operacijskih sistemov Android? Kdo je odgovoren za vsako napravo, če ni pritrjena na steno ali mizo?

#6 – Upravljanje omrežja

Omrežja zagotavljajo povezljivost, ki omogoča komunikacijo med delovnimi postajami, medicinskimi napravami in drugimi aplikacijami ter infrastrukturo. Omrežja so lahko v obliki žičnih ali brezžičnih povezav. Ne glede na obliko se lahko isti mehanizem, ki spodbuja komunikacijo, uporabi za sprožitev ali širjenje kibernetskega napada. 

Ustrezna higiena kibernetske varnosti zagotavlja, da so omrežja varna in da lahko vse omrežne naprave varno in varno dostopajo do omrežij. Tudi če upravljanje omrežja zagotavlja tretji ponudnik, bi morale organizacije razumeti ključne vidike pravilnega upravljanja omrežja in zagotoviti, da so vključeni v pogodbe za te storitve.

#7 – Upravljanje ranljivosti

Upravljanje ranljivosti je stalna praksa prepoznavanja, razvrščanja, določanja prednosti, sanacije in ublažitve ranljivosti programske opreme. Številni okviri za skladnost z informacijsko varnostjo, revizijo in obvladovanje tveganj zahtevajo, da organizacije vzdržujejo program upravljanja ranljivosti.

#8 – Odziv na incident

Odziv na incidente je zmožnost prepoznavanja sumljivega prometa ali kibernetskih napadov v vašem omrežju, njihove osamitve in sanacije, da preprečite kršitev podatkov, poškodbe ali izgubo. Običajno se odziv na incident imenuje standardno "blokiranje in reševanje" informacijske varnosti. Številne vrste varnostnih incidentov se redno pojavljajo v organizacijah vseh velikosti. Pravzaprav je večina omrežij pod stalnim napadom zunanjih subjektov.

#9 – Varnost medicinskih pripomočkov

Sistemi zdravstvenega varstva uporabljajo veliko različnih pripomočkov kot del rutinskega zdravljenja bolnikov. Ti segajo od sistemov za slikanje do naprav, ki se neposredno povežejo s pacientom za diagnostične ali terapevtske namene. Takšne naprave imajo lahko enostavne izvedbe, kot so monitorji ob postelji, ki spremljajo vitalne znake, ali pa so lahko bolj zapletene, kot so infuzijske črpalke, ki zagotavljajo specializirane terapije in zahtevajo nenehno posodabljanje knjižnice zdravil. Te zapletene in med seboj povezane naprave vplivajo na varnost, dobro počutje in zasebnost pacientov ter predstavljajo možne vektorje napadov v digitalnem odtisu organizacije. Kot take bi morale te naprave v svojo zasnovo in konfiguracijo vključevati varnostne kontrole, ki podpirajo varno uvajanje.

#10 – Politike kibernetske varnosti

Praksa kibernetske varnosti št. 10: Politike kibernetske varnosti vključujejo najboljše prakse, ki so specifični dokumenti za izvajanje politik in postopkov kibernetske varnosti v vaši zdravstveni organizaciji.
Vsak bolnišnični vodstveni delavec C-Suite mora podpirati dober program kibernetske varnosti, ki vključuje usposabljanje kliničnega osebja o osnovah,« je povedal Mark Jarrett, predsednik Koordinacijskega sveta sektorja zdravstva in javnega zdravja (HSCC). Dr. Jarrett, ki je tudi nekdanji glavni uradnik za kakovost in namestnik glavnega zdravstvenega uradnika za Northwell Health, je dodal: »Vsakemu bolnišničnemu sistemu v državi bi svetoval, naj razmisli o uporabi 'Kibernetske varnosti za zdravnika' v svojih sistemih za upravljanje učenja.
Mark Jarrett, predsednik Koordinacijskega sveta zdravstvenega in javnega sektorja (HSCC)
Za manjše organizacije je povsem normalno verjeti, da ne boste tarča ali žrtev kibernetskih napadov. Konec koncev, zakaj bi kiber kriminalca skrbelo za vaše lokalno podjetje? Resnica je, da je večina kibernetskih napadov "oportunističnih"; to pomeni, da kriminalci vržejo široko mrežo, ko iščejo žrtve. Pomislite na morske ribiče. Metodologije, ki jih uporabljajo, vključujejo čiščenje morja, metanje mrež in vlečenje ujetih rib.