Практики кібербезпеки в галузі охорони здоров’я та відео

Усім системам охорони здоров’я наполегливо рекомендується використовувати цю серію у своїх навчальних програмах; галузеві групи та професійні товариства, заохочуйте своїх членів робити те саме; і медтехнічні, фармацевтичні, платники, медичні ІТ-компанії та послуги, будь ласка, подумайте про те, щоб розширити цю серію для своїх клієнтів і клієнтів як доповнення до вашої підтримки.

Більшість невеликих практик використовують сторонніх постачальників електронної пошти, а не створюють спеціальну внутрішню інфраструктуру електронної пошти. Методи захисту електронної пошти в цьому розділі представлені в трьох частинах:

1. Конфігурація системи електронної пошти: компоненти та можливості, які мають бути включені у вашу систему електронної пошти
2. Навчання: як покращити розуміння та обізнаність персоналу щодо способів захисту вашої організації від кібератак електронною поштою, таких як фішинг і програми-вимагачі
3. Симуляції фішингу: способи навчання персоналу щодо фішингових електронних листів і їх обізнаності

Усі кінцеві точки невеликої організації мають бути захищені. Але що таке кінцеві точки? І що може зробити невелика медична організація, щоб захистити свої кінцеві точки?

Девід Вілліс, доктор медичних наук, і Кендра Сайлер, доктор філософії, з організації аналізу та обміну інформацією про здоров’я населення Космічного центру Кеннеді тут, щоб обговорити, що вам слід робити, щоб зменшити ймовірність кібератаки проникнути на ваші кінцеві точки.

У цьому розділі ми обговоримо сферу практики кібербезпеки № 3 – управління доступом для невеликих медичних організацій.

Ця дискусія буде організована в три секції:

1. Що таке керування доступом?
2. Чому це важливо?
3. Як HICP або «гікавка» може допомогти покращити управління доступом для малих медичних організацій?

Національний інститут стандартів і технологій, або скорочено NIST, визначає порушення даних як «інцидент, який передбачає копіювання, передачу, перегляд, крадіжку або використання конфіденційної, захищеної або конфіденційної інформації особою, яка не має на це дозволу».

Конфіденційні, захищені або конфіденційні дані включають інформацію про захищене здоров’я (PHI), номери кредитних карток, особисту інформацію клієнтів і співробітників, а також інтелектуальну власність і комерційну таємницю вашої організації.

Які інформаційні технології чи ІТ-пристрої є у ​​вашій організації? Ви знаєте, скільки ноутбуків? мобільні пристрої? А мережеві комутатори є у всіх ваших місцях? На яких із них працює Windows чи IOS від Apple, чи одна з кількох операційних систем Android? Якщо він не прикріплений до стіни чи столу, хто відповідає за кожен пристрій?

Мережі забезпечують підключення, яке дозволяє робочим станціям, медичним пристроям та іншим програмам та інфраструктурі спілкуватися. Мережі можуть мати форму дротового або бездротового з’єднання. Незалежно від форми, той самий механізм, який сприяє комунікації, може бути використаний для запуску або поширення кібератаки. 

Належна гігієна кібербезпеки гарантує, що мережі захищені та що всі мережеві пристрої можуть безпечно та безпечно отримувати доступ до мереж. Навіть якщо керування мережею надає сторонній постачальник, організації повинні розуміти ключові аспекти належного керування мережею та переконатися, що вони включені в контракти на ці послуги.

Управління вразливістю — це безперервна практика виявлення, класифікації, визначення пріоритетів, усунення та пом’якшення вразливостей програмного забезпечення. Багато систем відповідності інформаційної безпеки, аудиту та управління ризиками вимагають від організацій підтримувати програму управління вразливістю.

Реагування на інциденти — це здатність ідентифікувати підозрілий трафік або кібератаки у вашій мережі, ізолювати їх і виправляти, щоб запобігти витоку, пошкодженню або втраті даних. Як правило, реагування на інциденти називають стандартним «блокуванням і боротьбою» з інформаційною безпекою. Багато типів інцидентів безпеки трапляються на регулярній основі в організаціях будь-якого розміру. Насправді більшість мереж піддаються постійним атакам з боку зовнішніх організацій.

Системи охорони здоров’я використовують багато різних пристроїв як частину звичайного лікування пацієнтів. Вони варіюються від систем візуалізації до пристроїв, які безпосередньо підключаються до пацієнта для діагностичних або терапевтичних цілей. Такі пристрої можуть мати просту реалізацію, як-от приліжкові монітори, які відстежують життєво важливі показники, або вони можуть бути складнішими, як-от інфузійні насоси, які забезпечують спеціальну терапію та потребують постійного оновлення бібліотеки ліків. Ці складні та взаємопов’язані пристрої впливають на безпеку, благополуччя та конфіденційність пацієнтів, а також є потенційними векторами атак у цифровому відбитку організації. Таким чином, ці пристрої повинні включати елементи керування безпекою у свій дизайн і конфігурацію, щоб підтримувати безпечне розгортання.

Практика кібербезпеки №10: Політика кібербезпеки включає найкращі практики, які є документами щодо впровадження політик і процедур кібербезпеки у вашій медичній організації.