Тема повідомлення: Згадка ЗМІ

Подкаст: Кіберстійкість для решти з нас

Написано Джулія Анналоро on Вересень 14, 2025. Опубліковано в У новинах.

Кіберстійкість для решти з нас: як її реалізувати з реальним бюджетом

Подкаст про безпеку в хмарі, епізод 240 – Google

Ведучі Антон Чувакін та Тімоті Пікок розмовляють з галузевими експертами про деякі з найцікавіших сфер хмарної безпеки.

Гість: Еррол Вайс – теми: Безпека та гігієна хмарних технологій | Практики безпеки хмарних технологій

Чому підвищення цифрової стійкості є критично важливим для підприємств? Як змусити лідерів перейти від «лише кібербезпеки» до «цифрової стійкості»?
Як бути максимально стійким, маючи доступні ресурси? Як бути максимально стійким, маючи найменші витрати грошей?
Як зробити себе меншою мішенню?
Менші цільові заходи вписуються в те, що дехто називає «основними». Але «базова» гігієна насправді є дуже складною для багатьох. Які ваші 3 найкращі поради щодо гігієни, які дійсно працюють, щоб досягти цього?
Ми говоримо про організації з нестачею ресурсів, але деякі з них мають набагато більше обмежених ресурсів. Що ви порадите тим, у кого надзвичайно мало ресурсів для безпеки?
Оцінка безпеки постачальників – що найважливіше враховувати сьогодні, у 2025 році? Як уникнути зламу через вашого постачальника?

Ознайомтеся з подкастом Google Cloud Security та згаданими ресурсами тут. Натисніть тут

4 технологічні тренди в галузі охорони здоров’я, на які варто звернути увагу в 2025 році

Написано Джулія Анналоро on 11 Лютого, 2025. Опубліковано в Здоров'я-ISAC, У новинах.

Кібератаки й надалі будуть проблемою

У 2024 році кібербезпека була серйозною проблемою для сектору охорони здоров’я з численними резонансними атаками. За словами Еррола Вейса, головного спеціаліста служби безпеки компанії, одна атака, під час якої були оприлюднені дані рекордної кількості 100 мільйонів американців, стала «визначною подією», яка підкреслила, наскільки взаємопов’язана галузь охорони здоров’я. Центр обміну та аналізу інформації про здоров’я.

Прочитайте про інші три тенденції в цій статті Консультативної ради. Натисніть тут

Логотипи: Health-ISAC і Healthcare Dive. Зображення Еррола Вайса та заголовок статті на екрані комп’ютера.

Головні тенденції технологій охорони здоров’я у 2025 році

Написано Джулія Анналоро on 10 Лютого, 2025. Опубліковано в Здоров'я-ISAC, У новинах.

Форма регулювання штучного інтелекту буде невизначеною під адміністрацією Трампа цього року, тоді як медичні компанії продовжуватимуть зміцнювати кіберзахист, щоб протистояти зростаючим атакам, кажуть експерти.

Кіберзлочинці продовжують атакувати охорону здоров’я

Кібербезпека виявилася серйозною проблемою для сектору охорони здоров’я у 2024 році, і організації звернули увагу на це, кажуть експерти. Але для того, щоб привести кіберзахист галузі до належного рівня, потрібен час — і навряд чи хакери перестануть атакувати медичні компанії.

Галузь завершує рік, який включав численні резонансні атаки. На початку 2024 року вся екосистема охорони здоров’я намагалася впоратися з наслідками кібератаки на Change Healthcare, технологічну фірму та обробку претензій, що належить галузевому гіганту UnitedHealth.

Атака, яка викрила дані з a рекордні 100 мільйонів американців — була «визначною подією», яка підкреслила взаємопов’язаний характер сектора, сказав Еррол Вайс, головний офіцер охорони в Центр обміну та аналізу інформації про здоров’я, або Health-ISAC.

«Я вважаю, що моментом пробудження стало те, як постачальники можуть вплинути на надання медичних послуг з єдиної точки відмови», — сказав Вайс.

Прочитайте повну статтю в Healthcare Dive. Натисніть тут

Атака програми-вимагача вразила центр крові Нью-Йорка на тлі постійної нестачі

Написано Джулія Анналоро on 9 Лютого, 2025. Опубліковано в Здоров'я-ISAC, У новинах.

Нью-Йоркський центр крові (NYBC) заявив, що зазнав атаки програмного забезпечення-вимагача, яка порушила роботу та змусила його перенести деякі операції.

Кібератаки на центри донорства крові спонукали до Центр обміну та аналізу інформації про здоров’я (Health-ISAC) і Американська асоціація лікарень (AHA) випустити a спільний бюлетень погроз попередження про потенційні збої в ланцюзі поставок.

«Нещодавня атака програми-вимагача на Нью-йоркський центр крові (NYBC) стала тривожним дзвінком для організацій у різних секторах, особливо для тих, хто займається такими критично важливими службами, як охорона здоров’я», — сказав Рой Шерман, головний технічний директор компанії Пом'якшує. «Як одна з найбільших у світі незалежних організацій із збору та розподілу крові, цей інцидент підриває не тільки їхню оперативну спроможність, але й потенційно ставить під загрозу громадське здоров’я».

Читайте повну статтю в CPO Magazine. Натисніть тут

Комісія ЄС закликає до «кіберплану дій» для сектора охорони здоров’я

Написано Джулія Анналоро on Січень 28, 2025. Опубліковано в Європейські новини, У новинах.

Ініціатива спрямована на посилення безпеки лікарень і постачальників медичних послуг країн ЄС

Еррол Вайс, головний офіцер безпеки компанії Здоров'я-ISAC у США, сказав, що план дій комісії ЄС з’явився в той час, коли організації охорони здоров’я все ще намагаються отримати достатньо фінансування для належного захисту своїх мереж.

«Проблема спостерігається в ЄС, США та в усьому світі. Організаціям охорони здоров’я потрібні ресурси – не лише технології, необхідні для захисту цих мереж, але й досвідчені спеціалісти з інформаційної безпеки для керування цими системами», – сказав він. «Я радий, що комісія визнає цінність ISAC для захисту організацій і підвищення безпеки шляхом обміну інформацією та співпраці», — сказав він.

Ті, хто відповідає за захист своїх цифрових інфраструктур, розуміють, що, обмінюючись інформацією, вони не тільки захищають себе, але й зміцнюють безпеку всієї цифрової екосистеми, сказав Вайс.

У 2023 році Health-ISAC співпрацював з European Health ISAC, щоб використати «глобальну силу» членства Health-ISAC через видимість загроз у більш ніж 140 країнах із силою Європейського Health ISAC щодо спільноти та місцевих перспектив, сказав він.

«Нам потрібно об’єднатися та залишатися пильними проти кіберзагроз», — сказав він. «Завдяки Health-ISAC і European Health ISAC, які працюють разом у ЄС, ми можемо створити безпечнішу спільноту, де організації охорони здоров’я отримають вигоду від кращої видимості загроз і вразливостей, а також отримають вигоду від обміну передовим досвідом та іншими ключовими ідеями, які в кінцевому підсумку підвищать безпеку пацієнтів. .”

Прочитайте повну статтю в Data Break Today. Натисніть тут

Як керувати кіберризиками медичних пристроїв – на все життя

Написано Джулія Анналоро on Січень 27, 2025. Опубліковано в У новинах, Безпека медичного обладнання.

Експерти пропонують поради щодо управління зростаючими запасами, ресурси для постачальників

Посібник HSCC «Кібербезпека індустрії охорони здоров’я – управління безпекою застарілих технологій» або HIC-MaLTS пропонує організаціям найкращі практики, які можна використовувати для управління кіберризиками застарілих медичних технологій, сказав Філ Енглерт, віце-президент із безпеки медичних пристроїв у Health Information. Центр обміну та аналізу.

HIC-MaLTS бере на себе типові виклики кібербезпеки охорони здоров’я. Наприклад, «багато різних типів медичних пристроїв і різноманітні місця, в яких вони використовуються, мають унікальні профілі ризику та включають діагностичні, терапевтичні, носимі, імплантовані та функції програмного забезпечення як медичного пристрою, серед іншого, які можна використовувати у лікарнях, клініках та інших неклінічних і домашніх закладах охорони здоров’я», – сказав він.

Також у цій статті:

чотири фази життєвого циклу медичних виробів
«системні» інвентаризації в поєднанні з сегментацією та контролем доступу до мережі
Модель контрактної мови HSCC для Medtech Cybersecurity

Прочитайте статтю в Healthcare Infosecurity тут. Натисніть тут

Захист медичних даних у 2025 році: зростаючі виклики кібербезпеці

Написано Джулія Анналоро on Січень 21, 2025. Опубліковано в У новинах.

Розуміння двох законопроектів, представлених США, спрямованих на модернізацію захисту конфіденційних даних про здоров’я.

By Еррол Вайс Січень 20, 2025 - 6 хвилин читання

Читайте повну статтю в Information Security Buzz. Натисніть тут

З 1996 року діє Закон про перенесення та підзвітність медичного страхування (HIPAA) є наріжним каменем конфіденційності пацієнтів. Закон встановив стандарти щодо того, як організації охорони здоров’я обробляють та обмінюються даними пацієнтів, створюючи основу для забезпечення конфіденційності.

Але сфера охорони здоров’я кардинально змінилася, а разом з цим ризики зросли в рази. Нові кіберзагрози та складні вразливості виявили критичні прогалини в захисті HIPAA. У відповідь законодавці просувають нове законодавство, спрямоване на захист організацій охорони здоров’я від ескалації хвилі кібератак.

Минулого року законодавці представили два законопроекти – Закон про кібербезпеку охорони здоров’я 2024 року та Закон про безпеку і підзвітність інфраструктури охорони здоров’я 2024 року (HISAA), спрямовані на модернізацію захисту конфіденційних даних про здоров’я. Хоча ці заходи є важливим кроком вперед, вони залишаються в глухому куті в законодавчому процесі і ще не стали законом.

І, навіть якщо вони будуть прийняті, обмежений обсяг і механізми примусу, викладені в цих законопроектах, можуть не впоратися з ескалацією кіберзагроз, які турбують нашу все більш цифрову систему охорони здоров’я. Без більш комплексного й агресивного підходу ці ініціативи ризикують розглядати як символічні жести в боротьбі, яка вимагає термінових і рішучих дій.

Читайте далі, щоб отримати повне розуміння обох законопроектів, в тому числі

Захист нетрадиційних даних про здоров’я
Вирішення викликів
Зміцнення лідерства
Оновлення HIPAA на горизонті
Майбутнє стійкості

Повну статтю читайте тут. Натисніть тут

Ланцюги поставок програмного забезпечення та ISAC – подкаст The Inevitability Curve EP14

Написано Джулія Анналоро on Січень 21, 2025. Опубліковано в У новинах.

Січень 15, 2025

Філ Енглерт і наш ведучий Кріс Бласк були співголовами робочої групи CISA з обміну інформацією про програмне забезпечення (SBOM). Робоча група розробила процес, щоб допомогти ISAC та подібним організаціям визначити архітектуру управління, необхідну для управління розподілом SBOM серед їхніх членів.

Слухайте подкаст Inevitability Curve EP14 тут. Натисніть тут

Логотип Health-ISAC і логотип Dark Reading Зображення екрана комп’ютера із заголовком New HIPAA Cybersecurity Rules Pull No Punches

Нові правила кібербезпеки HIPAA не завдають ударів

Написано Джулія Анналоро on Січень 17, 2025. Опубліковано в У новинах.

Починаючи з 2025 року з новими запропонованими правилами, організації охорони здоров’я всіх форм і розмірів будуть дотримуватися більш суворих стандартів кібербезпеки, але не всі мають на це бюджет.

З самого початку HIPAA завжди був найкращим, але недостатнім, регулюванням, яке диктувало кібербезпеку для галузі охорони здоров’я.

«[Існує] історія, коли фокус був не в тому місці через те, як HIPAA був викладений у середині 1990-х років», – каже Еррол Вайс, керівник інформаційної безпеки (CISO) Центру обміну та аналізу інформації в галузі охорони здоров’я (Health-ISAC). «У той час був великий поштовх до переведення медичних записів на електронний носій. І з появою правил HIPAA все було спрямовано на захист конфіденційності пацієнтів, але не обов’язково на захист цих записів».

Зосередженість HIPAA на конфіденційності обмежила його здатність протистояти більш різноманітним загрозам кібербезпеці в 2010-х роках, зокрема програмам-вимагачам. Тим часом замість того, щоб використовувати його як основу для розробки надійної системи безпеки, організації сприймали HIPAA більше як набір полів, які потрібно перевірити. «Це закінчилося спрямовувати бюджети на відповідність і не обов’язково безпеку. І за останні п’ять-шість років ми бачили, що відбувається в середовищі, яке не є належним чином захищеним, не прив’язаним належним чином, не створеним належним чином резервним копіюванням, коли його атакують програми-вимагачі», – каже Вайс.

«Навіть якщо вони вже дотримуються всіх заходів контролю NIST, – оцінює Dispersive’s Pingree, впровадження нових правил безпеки HIPAA “може коштувати лише 100,000 XNUMX доларів для невеликого кабінету лікаря, або багато мільйонів, якщо ви великий медичний працівник. група».

За словами Вайса, одним із можливих способів, якими розтяжні організації охорони здоров’я можуть керувати всіма цими новими правилами та пов’язаними з ними витратами, є залучення аутсорсингу, віртуального керівника інформаційної безпеки (vCISO). Оскільки «йдеться не лише про покупку технології. Йдеться також про залучення та збереження експертів у сфері кібербезпеки, які вам потрібні», — каже він.

«Ці організації не знають, з чого почати», — продовжує він. «Ринок кібербезпеки дуже заплутаний. Гравців багато. Є багато рішень. Отже, якщо у вас є 100 доларів, які можна витратити на кібербезпеку, куди ви їх витратите? Їм потрібна допомога, щоб усе це зрозуміти. І я думаю, що щось на кшталт віртуального CISO може допомогти реалізувати стратегію, а потім працювати на віртуальній основі — перевіряти, бути ресурсом для цієї організації, коли у них є запитання та їм потрібна допомога. Здається, це гідна модель для цих невеликих сільських лікарень, яка не обов’язково може виправдати або найняти CISO на повний робочий день».

Читайте повну статтю в Dark Reading. Натисніть тут

Що міститься в запропонованому HHS капітальному перегляді правил безпеки HIPAA?

Написано Джулія Анналоро on Січень 17, 2025. Опубліковано в Здоров'я-ISAC, У новинах.

Експерти: Нові мандати можуть бути складними та дорогими для багатьох суб’єктів господарювання

За словами експертів, пропонований перегляд федеральних правил кібербезпеки для галузі охорони здоров’я може означати важку та дорогу важку роботу для багатьох організацій.

«Витрати на виконання цих положень будуть величезними», — сказав Еррол Вайс, головний спеціаліст служби безпеки Центру обміну та аналізу медичної інформації. «Звідки гроші на все це платити? Це не може бути завдяки майбутнім заощадженням від штрафів за порушення. Фінансово скрутні постачальники медичних послуг, особливо невеликі сільські лікарні, не мають ресурсів для підтримки цих нових пропозицій», – сказав він.

Будь-які регулятивні вимоги, подібні до цієї, повинні супроводжуватися фінансовою допомогою, щоб постачальники медичних послуг могли придбати відповідні технології і, що більш важливо, найняти та утримувати досвідчених фахівців з кібербезпеки для належного захисту своїх мереж, сказав Вайс.

Повну статтю читайте в Bank InfoSecurity. Натисніть тут

Ініціатива Google із кібербезпеки сільської охорони здоров’я

Написано Джулія Анналоро on Січень 9, 2025. Опубліковано в Здоров'я-ISAC, У новинах.

Google співпрацює з Health-ISAC, щоб надавати інноваційні навчальні програми, програми аналізу кібербезпеки та інші ресурси для сільських систем охорони здоров’я.

Кібератаки на організації охорони здоров’я порушують їх здатність працювати та ставлять під загрозу лікування пацієнтів. Сільські системи охорони здоров’я в США обслуговують 60 мільйонів людей і є центром незліченних громад. Безпека кожного в громаді знаходиться під загрозою, коли критично важливі інформаційні системи охорони здоров’я недоступні через кіберінциденти.

Google прагне допомогти вразливим системам охорони здоров’я підвищити їхню стійкість до кібератак. Ми співпрацюємо з урядом і промисловістю, щоб пропонувати наші послуги, підтримку та технології, що дозволяє системам зосередитися на догляді за пацієнтами.

Спеціальна ініціатива для покращення безпеки

Призначений для сільських лікарень

Сільські системи охорони здоров’я та лікарні відображають унікальність громад, які вони обслуговують, як і наша пропозиція. Він надає зростаючий набір безпечних технологій Google для доступу та співпраці, консультаційних послуг і служб підтримки, а також навчальні ресурси безпеки зі знижкою або безкоштовно. Рішення адаптоване до потреб кожного сільського медичного закладу. Медичний заклад має бути розташований в окрузі чи регіоні, визначеному як сільський Управління ресурсами та послугами охорони здоров’я (HRSA).

Детальніше Натисніть тут

Використовуйте потужність галузевої співпраці

Ефективна співпраця для захисту від кібератак і реагування на них є життєво важливою для забезпечення безпеки охорони здоров’я. Google є партнер посла до Центру обміну та аналізу медичної інформації (Health-ISAC). Місія Health-ISAC полягає в розширенні довірчих відносин у світовій індустрії охорони здоров’я для запобігання, виявлення та реагування на події кібербезпеки та фізичної безпеки, щоб учасники могли зосередитися на покращенні здоров’я та порятунку життів. Google співпрацює з Health-ISAC, щоб надавати інноваційні навчальні програми, програми аналізу кібербезпеки та інші ресурси для сільських систем охорони здоров’я.

Програмні пропозиції

Більшість із них пропонуватиметься безкоштовно або зі значними знижками, визнаючи фінансові обмеження, з якими стикаються багато сільських систем охорони здоров’я. Крім того, ми надамо послуги впровадження та підтримку відповідним організаціям. Наразі ці пропозиції доступні лише в США.

Залишені напризволяще Подкаст №71: Еррол Вайс

Написано Джулія Анналоро on Січень 7, 2025. Опубліковано в Здоров'я-ISAC.

Від банківської справи до кібербезпеки охорони здоров’я

Ми поспілкувалися з головним спеціалістом із безпеки Health-ISAC Ерролом Вайсом, щоб обговорити його 25-річну кар’єру в банківській справі, уряді та охороні здоров’я та визначити найбільші загрози кібербезпеці та тенденції, які впливатимуть на індустрію охорони здоров’я у 2025 році та надалі.

Слухайте серію №71 тут: Слухай тут

Унікальні проблеми кібербезпеки охорони здоров’я

Вайс описав унікальні проблеми, з якими стикаються організації охорони здоров’я порівняно з фінансовими службами. Системи охорони здоров’я часто керують складною інфраструктурою, зокрема сучасними хмарними системами, застарілими пристроями (наприклад, апаратами МРТ із застарілими операційними системами) та різними екосистемами медичних пристроїв. Ця складність ускладнюється тривалим недостатнім інвестуванням у кібербезпеку, коли ресурси історично спрямовувалися на забезпечення конфіденційності та дотримання вимог (наприклад, правил HIPAA), а не на надійні заходи безпеки.

Він підкреслив, що через недостатнє фінансування та відсутність відповідальних керівників інформаційної безпеки (CISO) у сфері охорони здоров’я важко ефективно захистити ці середовища. Однак за останнє десятиліття такі інциденти, як атаки програм-вимагачів, сприяли зростанню обізнаності та інвестиціям у кібербезпеку охорони здоров’я.