ไปยังเนื้อหาหลัก

แนวทางปฏิบัติและวิดีโอเกี่ยวกับความปลอดภัยทางไซเบอร์ในอุตสาหกรรมสุขภาพ

ชุดการฝึกอบรมวิดีโอเรื่อง “ความปลอดภัยทางไซเบอร์สำหรับแพทย์”

วิดีโอการฝึกอบรมชุด “การรักษาความปลอดภัยทางไซเบอร์สำหรับแพทย์” ความยาวรวม 47 นาที ใน XNUMX วิดีโอ อธิบายเป็นภาษาที่เข้าใจง่ายและไม่ซับซ้อน ซึ่งแพทย์และนักศึกษาในวิชาชีพแพทย์จำเป็นต้องเข้าใจเกี่ยวกับสิ่งที่การโจมตีทางไซเบอร์สามารถส่งผลต่อการดำเนินการทางคลินิกและความปลอดภัยของผู้ป่วยได้ และวิธีมีส่วนร่วมเพื่อรักษาข้อมูลด้านการดูแลสุขภาพ ระบบ และผู้ป่วยให้ปลอดภัยจากภัยคุกคามทางไซเบอร์

ซีรีส์นี้ใช้หน่วยกิต CME/CEU หนึ่งชั่วโมง การใช้วิดีโอการฝึกอบรมเหล่านี้อาจตอบสนองข้อกำหนดด้านเอกสารของกฎการเตรียมพร้อมรับมือเหตุฉุกเฉินของ CMS สมาคมป้องกันอัคคีภัยแห่งชาติ และคณะกรรมาธิการร่วมด้านการวิเคราะห์ความเสี่ยงและการวิเคราะห์ความเสี่ยงและการฝึกอบรมความเสี่ยงของสถานประกอบการ

เกี่ยวกับซีรีย์วิดีโอนี้

เราขอสนับสนุนให้ระบบสุขภาพทั้งหมดนำซีรีส์นี้มาใช้ในโปรแกรมการฝึกอบรมของคุณ กลุ่มอุตสาหกรรมและสมาคมวิชาชีพ โปรดสนับสนุนให้สมาชิกของคุณทำเช่นเดียวกัน และบริษัทด้านเทคโนโลยีทางการแพทย์ บริษัทเภสัช ผู้ชำระเงิน บริษัทไอทีด้านสุขภาพ และบริการต่างๆ โปรดพิจารณาขยายซีรีส์นี้ให้กับลูกค้าและไคลเอนต์ของคุณเพื่อเป็นส่วนเสริมในการสนับสนุนของคุณ
ดูซีรีส์วิดีโอแบบเต็ม
โครงการ 405(d) Aligning Health Care Industry Security Practices ร่วมกับสิ่งพิมพ์ Health Industry Cybersecurity Practices: Managing Threats and Protecting Patients (HICP) ซึ่งวิดีโอเหล่านี้เกี่ยวข้องด้วย เป็นความร่วมมือกับ Healthcare and Public Health Sector Coordinating Council (HSCC)
เรียนรู้เพิ่มเติมเกี่ยวกับโครงการริเริ่ม
ข่าวประชาสัมพันธ์และข่าวสารล่าสุดของ HSCC

เล่มเทคนิคที่ 1:
แนวทางปฏิบัติด้านความปลอดภัยทางไซเบอร์สำหรับองค์กรด้านการดูแลสุขภาพขนาดเล็ก

ดาวน์โหลด PDF เล่มที่ 1

#1 – การแนะนำและระบบป้องกันอีเมล์

หน่วยงานขนาดเล็กส่วนใหญ่มักใช้บริการอีเมลจากผู้ให้บริการภายนอกแทนที่จะสร้างโครงสร้างพื้นฐานอีเมลภายในโดยเฉพาะ แนวทางการป้องกันอีเมลในหัวข้อนี้จะนำเสนอเป็น 3 ส่วน ดังนี้

  1. การกำหนดค่าระบบอีเมล: ส่วนประกอบและความสามารถที่ควรจะรวมอยู่ในระบบอีเมลของคุณ
  2. การศึกษา: วิธีเพิ่มความเข้าใจและความตระหนักรู้ของเจ้าหน้าที่เกี่ยวกับวิธีการปกป้ององค์กรของคุณจากการโจมตีทางไซเบอร์ที่ใช้อีเมล เช่น ฟิชชิ่งและแรนซัมแวร์
  3. การจำลองการฟิชชิ่ง: วิธีการให้การฝึกอบรมและสร้างความตระหนักรู้แก่เจ้าหน้าที่เกี่ยวกับอีเมลฟิชชิ่ง

#2 – ระบบการป้องกันจุดสิ้นสุด

จุดสิ้นสุดขององค์กรขนาดเล็กต้องได้รับการปกป้องทั้งหมด แต่จุดสิ้นสุดคืออะไร และองค์กรด้านการดูแลสุขภาพขนาดเล็กสามารถทำอะไรได้บ้างเพื่อปกป้องจุดสิ้นสุดของตน

David Willis, MD และ Kendra Siler, PhD จากองค์กรวิเคราะห์และแบ่งปันข้อมูลสุขภาพประชากรที่ศูนย์อวกาศเคนเนดีพร้อมหารือถึงสิ่งที่คุณควรทำเพื่อลดโอกาสที่การโจมตีทางไซเบอร์จะแทรกซึมเข้าสู่จุดสิ้นสุดของคุณ

#3 – การจัดการการเข้าถึง

ในหัวข้อนี้ เราจะพูดถึงพื้นที่ปฏิบัติงานด้านความปลอดภัยทางไซเบอร์หมายเลข 3 – การจัดการการเข้าถึงสำหรับองค์กรด้านการดูแลสุขภาพขนาดเล็ก

การหารือครั้งนี้จะจัดเป็น 3 ส่วน:

  1. การจัดการการเข้าถึงคืออะไร
  2. ทำไมมันถึงสำคัญ?
  3. HICP หรือ “hiccup” ช่วยปรับปรุงการจัดการการเข้าถึงสำหรับองค์กรด้านการดูแลสุขภาพขนาดเล็กได้อย่างไร

#4 – การปกป้องข้อมูลและการป้องกันการสูญหาย

สถาบันมาตรฐานและเทคโนโลยีแห่งชาติ หรือเรียกสั้นๆ ว่า NIST ให้คำจำกัดความของการละเมิดข้อมูลว่า “เหตุการณ์ที่เกี่ยวข้องกับข้อมูลละเอียดอ่อนที่ได้รับการปกป้อง หรือเป็นความลับที่ถูกคัดลอก ส่ง ดู ขโมย หรือใช้โดยบุคคลที่ไม่ได้รับอนุญาต”

ข้อมูลที่ละเอียดอ่อน ได้รับการปกป้อง หรือเป็นความลับ รวมถึงข้อมูลสุขภาพที่ได้รับการคุ้มครอง (PHI) หมายเลขบัตรเครดิต ข้อมูลส่วนบุคคลของลูกค้าและพนักงาน รวมไปถึงทรัพย์สินทางปัญญาและความลับทางการค้าขององค์กรของคุณ

#5 – การจัดการสินทรัพย์

องค์กรของคุณมีอุปกรณ์เทคโนโลยีสารสนเทศหรือไอทีใดบ้าง คุณทราบหรือไม่ว่าคุณมีแล็ปท็อป อุปกรณ์พกพา และสวิตช์เครือข่ายกี่เครื่องในทุกสถานที่ของคุณ อุปกรณ์ใดบ้างที่ใช้ระบบปฏิบัติการ Windows หรือ IOS ของ Apple หรือระบบปฏิบัติการใดระบบปฏิบัติการหนึ่งของ Android หากอุปกรณ์เหล่านี้ไม่ได้ติดอยู่บนผนังหรือโต๊ะ ใครเป็นผู้รับผิดชอบอุปกรณ์แต่ละชิ้น

#6 – การจัดการเครือข่าย

เครือข่ายช่วยให้สามารถเชื่อมต่อเวิร์กสเตชัน อุปกรณ์ทางการแพทย์ และแอปพลิเคชันและโครงสร้างพื้นฐานอื่นๆ เข้าด้วยกันได้ เครือข่ายอาจมีรูปแบบการเชื่อมต่อแบบมีสายหรือไร้สายก็ได้ ไม่ว่าจะมีรูปแบบใดก็ตาม กลไกเดียวกันที่ส่งเสริมการสื่อสารสามารถใช้เพื่อเริ่มต้นหรือเผยแพร่การโจมตีทางไซเบอร์ได้ 

การจัดการความปลอดภัยทางไซเบอร์อย่างเหมาะสมจะช่วยให้มั่นใจได้ว่าเครือข่ายมีความปลอดภัย และอุปกรณ์ในเครือข่ายทั้งหมดสามารถเข้าถึงเครือข่ายได้อย่างปลอดภัยและมั่นคง แม้ว่าการจัดการเครือข่ายจะจัดทำโดยผู้ให้บริการภายนอก องค์กรต่างๆ ก็ควรเข้าใจประเด็นสำคัญของการจัดการเครือข่ายที่เหมาะสม และต้องแน่ใจว่ามีการรวมประเด็นเหล่านี้ไว้ในสัญญาสำหรับบริการเหล่านี้

#7 – การจัดการความเสี่ยง

การจัดการความเสี่ยงเป็นแนวทางปฏิบัติอย่างต่อเนื่องในการระบุ จัดประเภท จัดลำดับความสำคัญ แก้ไข และบรรเทาความเสี่ยงของซอฟต์แวร์ กรอบการปฏิบัติตามข้อกำหนดด้านความปลอดภัยของข้อมูล การตรวจสอบ และการจัดการความเสี่ยงจำนวนมากต้องการให้องค์กรต่างๆ บำรุงรักษาโปรแกรมการจัดการความเสี่ยง

#8 – การตอบสนองต่อเหตุการณ์

การตอบสนองต่อเหตุการณ์คือความสามารถในการระบุปริมาณการรับส่งข้อมูลที่น่าสงสัยหรือการโจมตีทางไซเบอร์บนเครือข่ายของคุณ แยกข้อมูลนั้นออก และแก้ไขเพื่อป้องกันการละเมิด ความเสียหาย หรือการสูญเสียข้อมูล โดยทั่วไป การตอบสนองต่อเหตุการณ์จะเรียกว่า "การบล็อกและแก้ไข" มาตรฐานของการรักษาความปลอดภัยข้อมูล เหตุการณ์ด้านความปลอดภัยหลายประเภทเกิดขึ้นเป็นประจำในองค์กรทุกขนาด ในความเป็นจริง เครือข่ายส่วนใหญ่มักถูกโจมตีจากหน่วยงานภายนอกอยู่ตลอดเวลา

#9 – ความปลอดภัยของอุปกรณ์ทางการแพทย์

ระบบการดูแลสุขภาพใช้เครื่องมือต่างๆ มากมายในการรักษาผู้ป่วยตามปกติ เครื่องมือเหล่านี้มีตั้งแต่ระบบถ่ายภาพไปจนถึงอุปกรณ์ที่เชื่อมต่อกับผู้ป่วยโดยตรงเพื่อการวินิจฉัยหรือการรักษา อุปกรณ์ดังกล่าวอาจมีการใช้งานโดยตรง เช่น จอภาพข้างเตียงที่ตรวจสอบสัญญาณชีพ หรืออาจมีความซับซ้อนกว่า เช่น ปั๊มฉีดสารที่ให้การบำบัดเฉพาะทางและต้องมีการอัปเดตคลังยาอย่างต่อเนื่อง อุปกรณ์ที่ซับซ้อนและเชื่อมต่อกันเหล่านี้ส่งผลต่อความปลอดภัย ความเป็นอยู่ที่ดี และความเป็นส่วนตัวของผู้ป่วย และยังถือเป็นช่องทางการโจมตีที่อาจเกิดขึ้นได้ในระบบดิจิทัลขององค์กร ดังนั้น อุปกรณ์เหล่านี้จึงควรมีการควบคุมความปลอดภัยในการออกแบบและกำหนดค่าเพื่อรองรับการใช้งานในลักษณะที่ปลอดภัย

#10 – นโยบายความปลอดภัยทางไซเบอร์

แนวปฏิบัติด้านความปลอดภัยทางไซเบอร์ #10: นโยบายความปลอดภัยทางไซเบอร์ประกอบด้วยแนวปฏิบัติที่ดีที่สุดซึ่งเป็นเอกสารที่เฉพาะเจาะจงสำหรับการนำนโยบายและขั้นตอนด้านความปลอดภัยทางไซเบอร์ไปใช้ในองค์กรด้านการดูแลสุขภาพของคุณ
ผู้บริหารระดับสูงของโรงพยาบาลทุกคนจำเป็นต้องสนับสนุนโปรแกรมความปลอดภัยทางไซเบอร์ที่ดี ซึ่งรวมถึงการฝึกอบรมพื้นฐานแก่เจ้าหน้าที่ทางคลินิก” มาร์ก จาร์เร็ตต์ ประธานสภาประสานงานภาคส่วนการดูแลสุขภาพและสาธารณสุข (HSCC) กล่าว ดร. จาร์เร็ตต์ ซึ่งเคยดำรงตำแหน่งหัวหน้าฝ่ายคุณภาพและรองหัวหน้าฝ่ายการแพทย์ของ Northwell Health กล่าวเสริมว่า “ผมอยากแนะนำให้ระบบโรงพยาบาลทุกแห่งในประเทศพิจารณาใช้ 'ความปลอดภัยทางไซเบอร์สำหรับแพทย์' ในระบบการจัดการการเรียนรู้
มาร์ค จาร์เร็ตต์ ประธานสภาประสานงานภาคส่วนสาธารณสุขและสาธารณะ (HSCC)
สำหรับองค์กรขนาดเล็ก การเชื่อว่าคุณจะไม่ตกเป็นเป้าหมายหรือตกเป็นเหยื่อของการโจมตีทางไซเบอร์ถือเป็นเรื่องปกติ เพราะเหตุใดอาชญากรทางไซเบอร์จึงสนใจธุรกิจในท้องถิ่นของคุณ ความจริงก็คือการโจมตีทางไซเบอร์ส่วนใหญ่เป็นการ "ฉวยโอกาส" ซึ่งหมายความว่าอาชญากรจะแหกว้างๆ เพื่อหาเหยื่อ ลองนึกถึงชาวประมงที่ออกเรือดู วิธีการที่พวกเขาใช้ได้แก่ การค้นหาในทะเล การทอดแห และการดึงปลาที่จับได้ขึ้นมา