Sağlık Endüstrisi Siber Güvenlik Uygulamaları ve Videoları

Tüm sağlık sistemlerinin bu seriyi eğitim programlarına dahil etmeleri şiddetle tavsiye edilir; endüstri grupları ve meslek toplulukları, lütfen üyelerinizi de aynısını yapmaya teşvik edin; ve medikal teknoloji, ilaç, ödeme kuruluşları, sağlık bilişimi ve hizmet şirketleri, lütfen desteğinizin bir tamamlayıcısı olarak bu seriyi müşterilerinize ve danışanlarınıza da genişletmeyi düşünün.

Çoğu küçük uygulama, özel bir dahili e-posta altyapısı kurmak yerine, dış kaynaklı üçüncü taraf e-posta sağlayıcılarından yararlanır. Bu bölümdeki e-posta koruma uygulamaları üç bölümde sunulmaktadır:

1. E-posta sistemi yapılandırması: E-posta sisteminizde bulunması gereken bileşenler ve yetenekler
2. Eğitim: Kuruluşunuzu kimlik avı ve fidye yazılımı gibi e-posta tabanlı siber saldırılara karşı korumanın yolları hakkında personelin anlayışını ve farkındalığını nasıl artırabilirsiniz?
3. Kimlik avı simülasyonları: Personelin kimlik avı e-postaları konusunda eğitim almasını ve farkındalık yaratmasını sağlamanın yolları

Küçük bir organizasyonun uç noktalarının hepsi korunmalıdır. Peki uç noktalar nelerdir? Ve küçük bir sağlık kuruluşu uç noktalarını korumak için ne yapabilir?

Kennedy Uzay Merkezi Nüfus Sağlığı Bilgi Analizi ve Paylaşım Örgütü'nden Dr. David Willis ve Dr. Kendra Siler, siber saldırıların uç noktalarınıza sızma olasılığını azaltmak için neler yapmanız gerektiğini görüşmek üzere buradalar.

Bu bölümde, Siber Güvenlik Uygulama Alanı Numara 3 - Küçük sağlık kuruluşları için Erişim Yönetimi konusunu ele alacağız.

Bu tartışma üç bölümden oluşacaktır:

1. Erişim yönetimi nedir?
2. Neden önemlidir?
3. HICP veya “hıçkırık” küçük sağlık kuruluşları için erişim yönetiminin iyileştirilmesine nasıl yardımcı olabilir?

Ulusal Standartlar ve Teknoloji Enstitüsü veya kısaca NIST, veri ihlalini "hassas, korunan veya gizli bilgilerin yetkisiz bir kişi tarafından kopyalanması, iletilmesi, görüntülenmesi, çalınması veya kullanılmasıyla sonuçlanan bir olay" olarak tanımlıyor.

Hassas, korunan veya gizli veriler; Korunan Sağlık bilgileri (PHI), kredi kartı numaraları, müşteri ve çalışan kişisel bilgileri ve kuruluşunuzun fikri mülkiyeti ve ticari sırlarını içerir.

Kuruluşunuzda hangi bilgi teknolojisi veya BT cihazları var? Kaç tane dizüstü bilgisayar, mobil cihaz ve tüm lokasyonlarınızda ağ anahtarları olduğunu biliyor musunuz? Hangileri Windows veya Apple'ın IOS'unu veya Android'in çeşitli işletim sistemlerinden birini çalıştırıyor? Duvara veya masaya bağlı değilse, her cihazdan kim sorumludur?

Ağlar, iş istasyonlarının, tıbbi cihazların ve diğer uygulama ve altyapıların iletişim kurmasını sağlayan bağlantıyı sağlar. Ağlar kablolu veya kablosuz bağlantı biçimini alabilir. Biçim ne olursa olsun, iletişimi destekleyen aynı mekanizma bir siber saldırıyı başlatmak veya yaymak için kullanılabilir. 

Uygun siber güvenlik hijyeni, ağların güvenli olmasını ve tüm ağa bağlı cihazların ağlara güvenli ve emniyetli bir şekilde erişebilmesini sağlar. Ağ yönetimi üçüncü taraf bir satıcı tarafından sağlansa bile, kuruluşlar uygun ağ yönetiminin temel yönlerini anlamalı ve bunların bu hizmetler için sözleşmelere dahil edildiğinden emin olmalıdır.

Güvenlik açığı yönetimi, yazılım güvenlik açıklarını tanımlama, sınıflandırma, önceliklendirme, düzeltme ve azaltma konusunda sürekli bir uygulamadır. Birçok bilgi güvenliği uyumluluk, denetim ve risk yönetimi çerçevesi, kuruluşların bir güvenlik açığı yönetim programı sürdürmesini gerektirir.

Olay müdahalesi, ağınızdaki şüpheli trafiği veya siber saldırıları tespit etme, izole etme ve veri ihlali, hasarı veya kaybını önlemek için düzeltme yeteneğidir. Genellikle olay müdahalesi, bilgi güvenliğinin standart "engelleme ve ele alma" olarak adlandırılır. Her büyüklükteki kuruluşta düzenli olarak birçok türde güvenlik olayı meydana gelir. Aslında, çoğu ağ dış varlıklardan sürekli saldırı altındadır.

Sağlık bakım sistemleri rutin hasta tedavisinin bir parçası olarak birçok farklı cihaz kullanır. Bunlar görüntüleme sistemlerinden tanı veya tedavi amaçlı doğrudan hastaya bağlanan cihazlara kadar uzanır. Bu tür cihazların hayati belirtileri izleyen yatak başı monitörleri gibi basit uygulamaları olabilir veya özel tedaviler sağlayan ve sürekli ilaç kütüphanesi güncellemeleri gerektiren infüzyon pompaları gibi daha karmaşık olabilir. Bu karmaşık ve birbirine bağlı cihazlar hasta güvenliğini, refahını ve gizliliğini etkiler ve bir kuruluşun dijital ayak izinde potansiyel saldırı vektörlerini temsil eder. Bu nedenle, bu cihazlar güvenli bir şekilde dağıtılmayı desteklemek için tasarım ve yapılandırmalarında güvenlik kontrolleri içermelidir.

Siber Güvenlik Uygulaması #10: Siber Güvenlik Politikaları, sağlık kuruluşunuzda siber güvenlik politikalarının ve prosedürlerinin uygulanmasına özgü belgeler olan en iyi uygulamaları içerir.