Групи націлені на комунікації, фармацевтичні ризики за допомогою нових ресурсів охорони здоров’я
Здоров'я-ISAC та Координаційна рада сектору охорони здоров'я Робоча група з кібербезпеки окремо
випустив два нових ресурси для сектору охорони здоров'я, які спрямовані на підтримку лідерів безпеки
повідомляти про вразливості пристроїв і краще розуміти ризики фармацевтичного ланцюга поставок.
Посилання на повну статтю:
https://www.scmagazine.com/analysis/device-security/groups-target-communications-pharma-risks-with-new-healthcare-resources
Опублікований 22 квітня документ Health-ISAC розроблявся під керівництвом Johnson & Johnson за сприяння KPMG у співпраці з Pfizer, Cardinal Health, McKesson, Abbott та Eli Lilly. Структура безпеки включає посібник для керівників інформаційної безпеки, найкращі практики та рекомендовані стандарти безпеки фармацевтичної екосистеми.
Посібник створено у відповідь на зростання кількості цілеспрямованих кібератак і спроб викрадення інтелектуальної власності на цей сектор, спричинене пандемією COVID-19. Одним із найгучніших інцидентів того періоду був крадіжки Pfizer і BioNTech дані про вакцини Європейського агентства з лікарських засобів після цілеспрямованої кібератаки.
Пандемія також швидко розширила зону атаки через цифровізацію та складність ланцюга поставок фармацевтичних препаратів і глобальну залежність від сторонніх постачальників і партнерів із різним ступенем зрілості безпеки.
Ресурс Health-ISAC розглядає ці ризики та виклики, заохочуючи лідерів охорони здоров’я та фармацевтичних компаній «зробити безпеку ланцюга постачання організаційним імперативом», згідно зі звітом.
«КІСО заробляють набагато більше стратегічного місця за столом: їх просять зважити, як бізнес може досягти ефективності, продуктивності та навіть ініціатив щодо зростання без непотрібних репутаційних, фінансових або регуляторних ризиків», – пишуть автори звіту. . «Іншими словами, CISO та їхні команди перейшли зі сторони на… ключову частину ансамблю».
Доповідь складено на основі інтерв’ю з керівниками CISO у фармацевтичній промисловості, де детально описано важливість зв’язку рішень безпеки та технологій з економікою бізнесу та поділено еволюцію їхніх ролей від внутрішньої підтримки до більш помітної внутрішньої та зовнішньої ролі.
Pharma CISO можуть використати документ, щоб визначити найбільш актуальні загрози для сектора та потенційні наслідки, а також ключові принципи пом’якшення головних ризиків і те, як усунути ці прогалини.
Посібник із повідомлення про вразливості пристрою
Тим часом, HSCC Керівництво націлено на комунікації щодо вразливості медичних технологій, які є високотехнічними та націлені на лідерів технологій і безпеки щодо відомих ризиків і пом’якшення.
Однак багато зацікавлених сторін у сфері охорони здоров’я не мають досвіду чи знань, щоб перевести інформацію про технічний пристрій у інформацію, яку легше зрозуміти, щоб поділитися з пацієнтами чи іншими керівниками лікарень.
Прагнучи вдосконалити раніше видані інструкції щодо медичних пристроїв FDA, HSCC сформував цільову групу з комунікацій уразливостей, яка повністю зосереджена на покращенні комунікації з пацієнтами з питань кібербезпеки. Робота була проведена шляхом опитування керівників охорони здоров’я, дослідників, виробників і регуляторів для визначення передового досвіду.
HSCC використав відгуки для розробки нового інструментарію, який спрямований на вирішення постійних проблем шляхом надання виробникам медичних пристроїв і розробникам програмного забезпечення інструментів, необхідних для ефективного повідомлення про вразливості в їхніх продуктах спеціалістам, які не займаються безпекою, наприклад користувачам, пацієнтам, клініцистам та іншим. які можуть бути не знайомі з кібербезпекою та підключеними технологіями.
«Прозорість, ефективне повідомлення про вразливості та відповідні стратегії пом’якшення є важливими для забезпечення адекватного управління неприйнятними ризиками», – пишуть автори звіту. Але обмін інформацією такого типу з тими, хто менше заглиблений у безпеку, може бути складним і дуже складним.
Візьмемо, наприклад, нещодавно запропоноване законодавство, яке окреслює вимоги до виробників пристроїв, у тому числі надання інформації про матеріали програмного забезпечення (SBoM) усім користувачам. Зацікавлені сторони висловили стурбованість тим, що цей крок не буде повністю ефективним, враховуючи мовні бар’єри в екосистемі охорони здоров’я.
Коротше кажучи, керівництво покликане покращити поточний стан розкриття інформації про вразливості за допомогою мови, яку можуть зрозуміти всі аудиторії, включно з нетехнічними зацікавленими сторонами.
Таким чином, інструментарій містить посібник із публічного оприлюднення вразливостей, зокрема щодо інформування пацієнтів про ризики. Суб’єкти знайдуть деталі щодо категоризації вразливостей, пріоритезації зв’язку, глосарій термінів для концепцій безпеки та термінологію, якої слід уникати. Існують також покрокові заходи, які руйнують процес спілкування.
Посібник слідує an попередній випуск HSCC який націлений на мову договорів про кібербезпеку для медичних технологій, а також на оновлення FDA для своїх медичних інструкції з безпеки пристрою.
- Пов’язані ресурси та новини