Thực hành và video về an ninh mạng trong ngành y tế

Tất cả các hệ thống y tế được khuyến khích áp dụng loạt bài này vào chương trình đào tạo của mình; các nhóm ngành và hiệp hội chuyên môn, vui lòng khuyến khích các thành viên của mình làm như vậy; và các công ty công nghệ y tế, dược phẩm, thanh toán, CNTT y tế và dịch vụ, vui lòng cân nhắc mở rộng loạt bài này cho khách hàng và thân chủ của mình như một sự bổ sung cho hoạt động hỗ trợ của bạn.

Hầu hết các hoạt động nhỏ đều tận dụng các nhà cung cấp e-mail của bên thứ ba được thuê ngoài, thay vì thiết lập cơ sở hạ tầng e-mail nội bộ chuyên dụng. Các hoạt động bảo vệ e-mail trong phần này được trình bày thành ba phần:

1. Cấu hình hệ thống email: các thành phần và khả năng cần có trong hệ thống email của bạn
2. Giáo dục: cách nâng cao hiểu biết và nhận thức của nhân viên về các cách bảo vệ tổ chức của bạn khỏi các cuộc tấn công mạng qua email như lừa đảo và phần mềm tống tiền
3. Mô phỏng lừa đảo: cách cung cấp cho nhân viên đào tạo và nhận thức về email lừa đảo

Các điểm cuối của một tổ chức nhỏ đều phải được bảo vệ. Nhưng điểm cuối là gì? Và, một tổ chức chăm sóc sức khỏe nhỏ có thể làm gì để bảo vệ các điểm cuối của họ?

Tiến sĩ David Willis và Tiến sĩ Kendra Siler thuộc Tổ chức Phân tích và Chia sẻ Thông tin Sức khỏe Dân số tại Trung tâm Vũ trụ Kennedy sẽ thảo luận về những việc bạn nên làm để giảm nguy cơ bị tấn công mạng xâm nhập vào các điểm cuối của bạn.

Trong phần này, chúng ta sẽ thảo luận về Lĩnh vực thực hành an ninh mạng số 3 – Quản lý quyền truy cập cho các tổ chức chăm sóc sức khỏe nhỏ.

Cuộc thảo luận này sẽ được tổ chức thành ba phần:

1. Quản lý truy cập là gì?
2. Tại Sao Tầm Quan Trọng?
3. HICP hay “hiccup” có thể giúp cải thiện việc quản lý quyền truy cập cho các tổ chức chăm sóc sức khỏe nhỏ như thế nào?

Viện Tiêu chuẩn và Công nghệ Quốc gia, hay viết tắt là NIST, định nghĩa vi phạm dữ liệu là “sự cố liên quan đến việc thông tin nhạy cảm, được bảo vệ hoặc bí mật bị sao chép, truyền đi, xem, đánh cắp hoặc sử dụng bởi một cá nhân không được phép”.

Dữ liệu nhạy cảm, được bảo vệ hoặc bí mật bao gồm thông tin Y tế được bảo vệ (PHI), số thẻ tín dụng, thông tin cá nhân của khách hàng và nhân viên, cũng như sở hữu trí tuệ và bí mật thương mại của tổ chức bạn.

Bạn có công nghệ thông tin hoặc thiết bị CNTT nào trong tổ chức của mình? Bạn có biết có bao nhiêu máy tính xách tay? thiết bị di động? Và bộ chuyển mạch mạng bạn có ở tất cả các địa điểm của mình không? Những thiết bị nào chạy Windows hay IOS của Apple hoặc một trong nhiều hệ điều hành của Android? Nếu không được gắn trên tường hoặc trên bàn, ai sẽ chịu trách nhiệm cho từng thiết bị?

Mạng cung cấp khả năng kết nối cho phép các máy trạm, thiết bị y tế và các ứng dụng và cơ sở hạ tầng khác giao tiếp. Mạng có thể ở dạng kết nối có dây hoặc không dây. Bất kể ở dạng nào, cùng một cơ chế thúc đẩy giao tiếp có thể được sử dụng để khởi chạy hoặc truyền bá một cuộc tấn công mạng. 

Vệ sinh an ninh mạng đúng cách đảm bảo rằng mạng được an toàn và tất cả các thiết bị mạng có thể truy cập mạng một cách an toàn và bảo mật. Ngay cả khi quản lý mạng được cung cấp bởi nhà cung cấp bên thứ ba, các tổ chức vẫn nên hiểu các khía cạnh chính của quản lý mạng đúng cách và đảm bảo rằng chúng được đưa vào hợp đồng cho các dịch vụ này.

Quản lý lỗ hổng là một hoạt động liên tục nhằm xác định, phân loại, ưu tiên, khắc phục và giảm thiểu các lỗ hổng phần mềm. Nhiều khuôn khổ tuân thủ, kiểm toán và quản lý rủi ro bảo mật thông tin yêu cầu các tổ chức phải duy trì chương trình quản lý lỗ hổng.

Phản ứng sự cố là khả năng xác định lưu lượng truy cập đáng ngờ hoặc các cuộc tấn công mạng trên mạng của bạn, cô lập và khắc phục để ngăn chặn vi phạm dữ liệu, thiệt hại hoặc mất mát. Thông thường, phản ứng sự cố được gọi là "chặn và xử lý" tiêu chuẩn của bảo mật thông tin. Nhiều loại sự cố bảo mật xảy ra thường xuyên trên khắp các tổ chức ở mọi quy mô. Trên thực tế, hầu hết các mạng đều bị tấn công liên tục từ các thực thể bên ngoài.

Hệ thống chăm sóc sức khỏe sử dụng nhiều thiết bị khác nhau như một phần của quá trình điều trị bệnh nhân thường quy. Chúng bao gồm từ hệ thống hình ảnh đến các thiết bị kết nối trực tiếp với bệnh nhân cho mục đích chẩn đoán hoặc điều trị. Các thiết bị như vậy có thể có cách triển khai đơn giản, chẳng hạn như máy theo dõi bên giường bệnh để theo dõi các dấu hiệu sinh tồn hoặc có thể phức tạp hơn, chẳng hạn như máy bơm truyền dịch cung cấp các liệu pháp chuyên biệt và yêu cầu cập nhật thư viện thuốc liên tục. Các thiết bị phức tạp và được kết nối này ảnh hưởng đến sự an toàn, sức khỏe và quyền riêng tư của bệnh nhân và chúng đại diện cho các vectơ tấn công tiềm ẩn trong dấu chân kỹ thuật số của tổ chức. Do đó, các thiết bị này nên bao gồm các biện pháp kiểm soát bảo mật trong thiết kế và cấu hình của chúng để hỗ trợ việc triển khai theo cách an toàn.

Thực hành an ninh mạng số 10: Chính sách an ninh mạng bao gồm các biện pháp thực hành tốt nhất, là tài liệu cụ thể để triển khai các chính sách và quy trình an ninh mạng trong tổ chức chăm sóc sức khỏe của bạn.