Amerikan Hastaneler Birliği, sağlık sektörünü siber terörizmin ön saflarında desteklemek için, sağlık hizmetlerinde siber güvenlik hazırlığını koordine etme ve güçlendirme yolları konusunda federal yasa koyucuları aktif olarak bilgilendiriyor ve yanıt veriyor.
AHA, federal liderliğin güçlendirilmesi, tıbbi cihaz güvenlik açıklarının yeniden gözden geçirilmesi ve ABD Sağlık ve İnsan Hizmetleri Bakanlığı’nın genişletilmesi için fon sağlanması gibi destek mekanizmalarının oluşturulması çağrısında bulunuyor. 405(d) programı ve terör riskleriyle karşı karşıya olan ticari mağdurlara benzer şekilde mağdurları destekleyen bir reasürans programı oluşturmak.
Hastane organizasyonu bölüm bölüm ayrıntılı geri bildirimde bulundu. Siber güvenlik, Hasta Güvenliği politika belgesidir Geçen ay yayınlanan Senatör Mark Warner, D-Va.
Hastaneler ve sağlık sistemleri hasta güvenliğine ve ağlarını siber saldırılara karşı korumaya öncelik verirken NIST ve HICP, göre AHA’nın mektubukötüleşen bir iklim için hükümet desteğine ihtiyaç var.
Kuruluş tavsiyelerinde, sürekli siber saldırı girişimleri altındayken hasta bakımı ve operasyonları için gerekli olan tıbbi cihazlardan ve dijital programlardan kaynaklanan önemli bir iş akışını yönetmek için mücadele eden ülke çapındaki mali açıdan gergin ve sınırlı kaynaklara sahip hastanelere atıfta bulundu.
AHA’nın hükümet ilişkileri ve kamu politikasından sorumlu başkan yardımcısı Stacey Hughes, “Alan, sofistike siber düşmanların ve ulus devletlerin hedefleriyle yüzleşmeye devam ederken, federal hükümetin desteğine ihtiyaçları var” diye yazdı.
Siber terörizmin sağlık mağdurlarını desteklemek
AHA’nın siber güvenlik ve risk ulusal danışmanı John Riggi, “Hükümet son birkaç yılda bilgi paylaşımı konusunda iyi bir iş çıkardı” dedi.
“Hem teknik bilgileri hem de stratejik bilgileri paylaşma konusunda kesinlikle uzun bir yol kat ettik” dedi, ancak daha fazla gerçek zamanlı içgörü ihtiyacını vurguladı.
Daha önce FBI’da 28 yılını mali suçlar ve terörle mücadeleye odaklanarak geçiren Riggi, bu yıllarının ikisi Merkezi İstihbarat Teşkilatının terörle mücadele merkezini destekleyerek geçirdi. Sağlık Bilişim Haberleri düşman ulus devletlerin kötü aktörleri nasıl barındırdığı ve sağlık sistemlerine yönelik siber saldırıları nasıl başlattığı hakkında.
Bu ulus-devletler, ister istihbarat çalmak ister kesintiye yol açmak olsun, suçlu siber çeteleri kendi amaçları için destekliyor ve sıklıkla bunlardan yararlanıyor, dedi.
AHA adına Hughes, Senatör Warner’a yanıtında, “Bu tür saldırılara karşı savunma yapmak, ulusal güvenlik üzerindeki etkisi göz önüne alındığında, yalnızca özel sektör kuruluşları tarafından üstlenilmemesi gereken kritik bir halk sağlığı ve güvenliği sorunudur.”
AHA, HHS’yi uygun sektör risk yönetimi ajansı olarak desteklediğini ve 2015 Siber Güvenlik Yasası kapsamında oluşturulan 405(d) programını sürdürdüğünü teyit ederken, Riggi hükümetin paylaşma kapasitesini artırmak için yapılması gereken çok şey olduğunu söyledi. gerçek zamanlı otomatik tehdit göstergeleri.
Riggi, “Savunma konusunda ancak düşman ulus devletler tarafından korunan yabancı tabanlı düşmanlar bize saldırdığında bu kadar çok şey yapabiliriz. Bu denklemin diğer yarısı, ABD hükümetinin bu insanların peşine düşmesi için yaptığı sağlam bir saldırıdır.”
Saldırıdan kurtulmayı hızlandırmak hasta güvenliği için kritik öneme sahiptir
Hughes, mektubunda federal hükümeti, bir saldırının kurtarma bölümünde siber saldırı yaşayanlara rehberlik ve destek sağlamak için “terörist saldırı kurbanlarına sağlanan destek gibi” bir dizi ek yolu düşünmeye teşvik ediyor. .
Riggi, sağlık hizmetleri siber saldırılarının FBI’ın soruşturduğu hayatı tehdit eden suçlar olduğunu ve mali suçlar olmadığını söyledi.
Bir hastane fidye yazılımı veya kötü amaçlı yazılımın keşfedilmesi nedeniyle kapatıldığında, bazı durumlarda komşu hastaneler istila edilir. Yönleri değiştirilen hastaları absorbe ettikleri için bölgesel olarak hastanelere ve sağlık sistemlerine büyük bir yük biniyor.
Siber Güvenlik ve Altyapı Güvenliği Ajansı gösterebildi aşırı ölümlerle ilişkili hastane gerilimiRiggi kaydetti.
Sağlık sistemlerinin çevredeki hastaneler ve hizmetlerle nasıl çalışılacağını bulması gerektiğini, ancak bir saldırı meydana geldiğinde iyileşmeyi hızlandırmanın kritik bir endişe alanı haline geldiğini söylüyor.
Radyasyon onkolojisinde kullanılan ve bozulduğunda hasta ölümlerine yol açabilen ekipman gibi hayati önem taşıyan üçüncü şahısların siber riski buna bir örnektir.
170 sağlık sisteminde bulunan doğrusal hızlandırıcıları çalıştıran bulut tabanlı bir yazılım sağlayıcısı olan Elekta, bir fidye yazılımı saldırısına maruz kaldığında, sonuçta birçok kanser hastası tedavi için üç haftaya kadar beklemek zorunda kaldı. İsveçli şirket karşı karşıya toplu dava Northwestern Memorial HealthCare’in eski bir hastası adına açılmış.
Riggi, Electa’nın bulutuna erişim olmadan bu makinelerin çalışamayacağını söyledi.
“Glioblastoma gibi agresif bir kanser formunuz var, üç hafta kelimenin tam anlamıyla yaşam ve ölüm arasındaki fark anlamına gelebilir” dedi.
Üçüncü taraf görev açısından kritik bir sağlayıcıysanız ve vurulduysanız, Riggi “Plan nedir?”
“Tüm gerçekler olmadan, baskı altında, zaman kısıtlamaları altında, yaptıklarınıza göre rotasını değiştirecek bir düşmanın karşısında bir savaş alanı çağrısı yapmak zorunda kalacaksınız” dedi.
Hastane siber olayları için bir sağlayıcının olay müdahale planı, elektronik sağlık kayıtlarını korumanın ötesine geçmelidir. Riggi, tüm yaşam açısından kritik, görev açısından kritik ve iş açısından kritik işlevler için aksama süresini dikkate alması gerektiğini söyledi.
“Bölgesel bir etkiye sahip olacak yüksek derecede yıkıcı fidye yazılımı saldırıları için bölgesel olarak planlamamız gerekiyor. Bunu defalarca gördük” dedi.
Kasırgalar, kasırgalar, kitlesel kayıplar ve diğer acil durumlar için olaya müdahale planlarının acil müdahale planlamasından ayrı bir siloda geliştirilemeyeceğini söyledi.
Hughes, Warner’a sağlık hizmeti siber güvenlik politikası yanıt mektubunda, hastaneler ve sağlık sistemlerinin sistemlerini yeniden inşa ederken ve sistem bağlantılarını yeniden kurarken, genellikle dış satıcılardan gelen sayısız gereksinimle karşılaştıklarını söyledi:
“Bu gereksinimler, kurtarma sürecini gereksiz yere geciktirebilir. Saldırı kurbanlarıyla güvenli bir şekilde yeniden bağlantı kurmak için hafifletme prosedürleri ve protokolleri hakkında federal hükümet tarafından verilen rehberlik, kurtarma sürecini hızlandıracak ve hastaneleri daha verimli bir şekilde tekrar çevrimiçi hale getirecektir” dedi.
Üçüncü taraf riskini azaltma ve ödeme
Riggi, siber suçluların üçüncü taraf erişiminden yararlanma ve faturalama ve kodlama, laboratuvar ve maaş bordrosu gibi üçüncü taraf iş ortakları tarafından toplanan korumalı verilere erişim elde etme konusunda iyi olduğunu açıkladı.
Sağlık kuruluşları, kendi ağlarında korunan sağlık bilgilerinin, kişisel olarak tanımlanabilir bilgilerin ve ödeme bilgilerinin güvenliğini sağlamaya odaklanırken, bu kuruluşların bazı bölümleri toplu verileri çok daha az güvenli üçüncü taraf iş ortaklarıyla paylaşıyor dedi.
“Siber düşmanlar sektörümüzün haritasını çıkardılar. Kilit stratejik düğümlerin nerede olduğunu anladılar – ya toplu verilere erişimi olan ya da kendilerinin topladığı görev açısından kritik üçüncü taraflar” dedi.
Aldığı bazı örnekler arasında hasta bilgilerinin yazdırılması ve postalanması işlemlerini yapan OneTouchPoint ve karabaudbir bağış yönetim şirketi.
Riggi, görev açısından kritik bir sağlayıcıyı hacklerlerse yüzlerce hastanenin verilerine erişebileceklerini söyledi. “Ben buna tek noktadan bilgisayar korsanlığı diyorum.”
Siber suçluların sağlık hizmetleri ağlarına girmek için üçüncü taraflardan gelen elektronik yolları da kanal olarak kullanacaklarını açıkladı.
“Ağlarımızın haritasını çıkarıyorlar, tüm bağlantıların nerede olduğunu buluyorlar ve incelemeye başlıyorlar – zayıf nokta nerede, içeri girmek için kullanabileceğimiz güvenlik açığı nerede?” dedi.
Riggi, sağlık sektörünün teknolojiyi güvence altına almak için milyarlarca dolar harcadığını, ancak bir bilgisayar korsanlığı olduğunda kurbanların ihmalkar olarak görüldüğünü veya fail olarak görüldüğünü de sözlerine ekledi.
Hasta bakımını iyileştirmek ve gerekli operasyonları yönetmek için birlikte çalışabilirliği teşvik etmek üzere teknolojilerin kullanılması ve entegrasyonuna atıfta bulunarak, “şu anda bunun faturasını ödüyoruz” dedi.
Andrea Fox, Healthcare IT News’in kıdemli editörüdür.
E-posta: afox@himss.org
Healthcare IT News, bir HIMSS yayınıdır.