Sağlık hizmetleri hükümeti ve endüstri liderleri, sağlık hizmetleri siber saldırılarına karşı mücadelede ulusal standartların, federal kurumların katılımının ve teknolojinin yıldız rol oynadığını görüyor. İşte son haftalarda bildirdiğimiz ve okuduklarımıza dayanan bu fikirlerden bazılarının kısa bir özeti.
‘Anlamlı Koruma’ sağlık hizmetlerinde siber güvenlik dönüşümünü sağlayabilir
Yazmak ForbesCensinet’in CEO’su ve kurucusu ve Sağlık Sektörü Koordinasyon Konseyi üyesi Ed Gaudet, sağlık sektörü koordinasyon konseyi üyesi olarak adlandırdığı şeyi öneriyor ve açıklıyor. “Anlamlı Koruma” 2010’ların başlarında elektronik sağlık kayıtlarının benimsenmesini teşvik eden federal anlamlı kullanım programına benzer bir sağlık hizmeti siber güvenliği standardı. Hedefin, “kadife çekiç” yaklaşımıyla hasta güvenliği risklerini azaltmak ve operasyonel dayanıklılığı artırmak olacağını söyledi.
Gaudet, “ABD’nin hastaları ve sağlık altyapımızı koruyan süreçlerin ve teknolojilerin anlamlı bir şekilde benimsenmesini sağlamak için teşvike dayalı bir program uygulama zamanı geldi” diye yazdı.
bazılarına rağmen çekişme Gaudet, federal teşvik dolarının etkin kullanımını sağlamak için HITECH Yasasının bir parçası olarak uygulanan anlamlı kullanım programının ayrıntıları hakkında, 27 milyar dolarlık programın sağlık hizmetlerini kağıttan EHR’lere taşıma üzerindeki etkisini çürütmenin zor olduğunu söylüyor.
“Sağlık hizmetlerinde siber güvenliği gerçekten dönüştürmek için ABD hükümeti, Anlamlı Kullanımdan sonra bir siber güvenlik yatırım programı modellemeyi düşünmelidir – yani, zaman içinde teşvikler ve cezaların bir kombinasyonu yoluyla gerçekleştirilen hasta güvenliği, veri ve bakım sağlama operasyonlarının ‘anlamlı koruması’.” Gaudet yazdı.
Sağlık kuruluşlarının, hasta güvenliği, veri ve bakım sağlama operasyonlarının korunmasını ölçebilecek şekilde sertifikalı uygulamalar, süreçler ve teknolojiler kullandığını göstermesini sağlamak için tasarlanmış üç aşamalı bir program sunuyor.
Gaudet ayrıca, böyle bir programın Sağlık ve Halk Sağlığı Sektörü Koordinasyon Konseyi siber güvenlik çalışma grubunun trompetle çağrıda bulunduğu “siber sürü bağışıklığını” hızlandıracağını da öne sürüyor. Kolektif bir sorumluluk olarak siber hazırlık.
“Çözümün ilk adımı şudur: Bir sorununuz olduğunu kabul edin. Bu sorunumuz olduğunun farkındayız. Şimdi herkes güvertede tezahür etmeye başlıyor. Bunu görüyorum ve bu bana enerji veriyor,” Greg Grubun yönetici direktörü Garcia, son HIMSS 2022 Sağlık Hizmetleri Siber Güvenlik Forumu’nda katılımcılara şunları söyledi.
Boston merkezli Mass General Brigham’ın eski CIO’su James Noga da aynı fikirde. Bugün, üzerinde paylaşmayı kabul ettiği bir LinkedIn gönderisinde, “Anlamlı Koruma, benimsendiği takdirde sağlık kuruluşlarını ve hastaları siber güvenlik saldırılarından korumada iğneyi olumlu yönde hareket ettirecektir” diye yazdı. Sağlık Bilişim Haberleri. “Bir sonraki adım, milletvekillerimizle lobi yapmaktır.”
FTC rapor verebilir sınır ötesi fidye yazılımı şikayetleri
Yıl sonu Kongre omnibus paketinin bir parçası olarak, Enerji ve Ticaret Başkanı Frank Pallone, Jr., D-New Jersey ve Tüketiciyi Koruma ve Ticaret Alt Komitesi Başkanı Jan Schakowsky, D-Illinois, aşağıdakileri içeren tüketici korumalarını duyurdu: Federal Ticaret Komisyonu, “belirli yabancı kişiler, şirketler ve hükümetler tarafından işlenen fidye yazılımı veya diğer siber bağlantılı saldırıları içeren sınır ötesi şikayetler” hakkında rapor verecek.
Göre duyuruFTC özellikle Rusya, Çin, Kuzey Kore veya İran’ın yanı sıra bu ulus devletlere bağlı bireyler veya şirketler tarafından gerçekleştirilen saldırılara odaklanmalıdır.
Haziran ayında, Temsilciler Meclisi Enerji ve Ticaret alt komitesi, Gözetim İçin Seçilmiş Ülkelerden Gelen Saldırıları Bildirme ve Web Saldırılarını ve Düşmanlardan Fidye Yazılımlarını İzleme Yasasını tüm komiteye iletti. SonrakiGov bildirildiğine göre, Senato Liderliğinin desteğinin olmaması nedeniyle bocaladı.
RANSOMWARE Yasası, FTC’nin, federal komisyonun yabancı kolluk kuvvetleriyle kanıt paylaşmasına ve talepleri üzerine soruşturmalara yardımcı olmasına izin veren Sınırların Ötesinde Uygulayıcılarla İstenmeyen Posta, Casus Yazılım ve Dolandırıcılık Yaptırımı Taahhütnamesi Yasası’ndan gelen verileri Kongre’ye rapor etmesini gerektiriyordu.
Komite üyeleri, devletin önalımını ve hükümet kuruluşlarının aksine bireylerin ihlal edenlere dava açma hakkını tartışmıştı. bildiri. Ancak Pallone, 2017’den beri “birçok oyuncunun uzun vadeli taahhütlerini” savunuyor. sağlık hizmetlerinin siber güvenlik duruşunu güçlendirmek.
American Hospital Association gibi birçok sağlık kuruluşu, gerçek zamanlı içgörüler de dahil olmak üzere ulus devlet siber terörizminin kurbanları için daha fazla federal destek çağrısında bulunuyor.
Ulusal Danışman John Riggi, “Savunma konusunda ancak düşman ulus-devletler tarafından korunan yabancı tabanlı düşmanlar bize saldırdığında bu kadar çok şey yapabiliriz. Bu denklemin diğer yarısı, ABD hükümetinin bu insanların peşine düşmesi için yaptığı sağlam bir saldırıdır.” Daha önce Federal Soruşturma Bürosu’nda çalışan AHA için siber güvenlik ve risk Sağlık Bilişim Haberleri hakkında yakın zamanda yapılan bir sohbette sağlık hizmetleri siber saldırılarına karşı devlet suçu.
Otomasyon stratejileri, bağlantılı sağlık cihazı güvenliğini iyileştirebilir
Sektör, hükümetin PATCH Yasası ve önerilen bir yazılım malzeme listesi üzerinde harekete geçmesini beklerken, yakın zamanda yönetilen siber güvenlik hizmetleri konusunda Sodexo ile ortaklık yapan Ordr CEO’su Greg Murphy hastanelere teklifler sunuyor. altı acil adım tıbbi cihaz güvenliğini iyileştirmek için alabilirler.
için yazmak SC DergisiMurphy, güncel bir cihaz envanterini sürdürmek, riskleri belirlemek ve cihaz iletişimlerini izlemek için eksiksiz görünürlük sağlamaya yönelik otomasyon önerir.
“Tehdide karşı koymak ve hasta güvenliğini sürdürmek, günümüzde hastanelerde kullanılan çok sayıda bağlı cihazın sürekli izlenmesini ve güvenliğini sağlamayı gerektirir” diye yazdı.
“Doktorları, hemşireleri ve ön cephedeki hastane personelini saldırıların ardından hizmete sokmaya zorlayan Code Dark olaylarından kaçınmak çok büyük bir iş.”
Northwell Health’ten Kathy Hughes CISO, risk analizinin “hala çok manüel ve emek yoğun bir süreç” olduğunu bir panelde paylaştı. üçüncü taraf siber güvenlik son HIMSS Healthcare Siber Güvenlik Forumunda.
Murphy, gerçek zamanlı ve doğru cihaz verileri ve envanteri sağlamak için cihazların keşfini ve sınıflandırılmasını otomatikleştirmeyi önerir.
İlk olarak, “eski işletim sistemlerine sahip cihazları veya yanlış yapılandırma ve yetkisiz veya savunmasız yazılım gibi diğer riskleri tanımlayın” dedi.
Hastane BT ekipleri, bilinen siber saldırı konumlarına sahip ülkelerden gelen iletişimi de izlemelidir; yüksek riskli ayrıcalık protokollerine sahip cihazları tanımlayın ve izleyin; yama uygulanamayan eski işletim sistemlerini çalıştıran segment cihazları; yalnızca cihaz işlemleri için gerekli olan onaylanmış iletişimleri etkinleştirin ve tüm bağlı cihaz iletişimlerini temel alın.
Murphy, “Fidye yazılımı bir cihazı ele geçirdiğinde, internet tabanlı bir komuta ve kontrol sitesiyle iletişim kurulur ve kuruluş genelinde yanal hareket etme potansiyeli vardır” dedi.
“Temel iletişimden tespit edilen herhangi bir sapma, uzlaşmanın bir göstergesidir.”
Andrea Fox, Healthcare IT News’in kıdemli editörüdür.
E-posta: afox@himss.org
Healthcare IT News, bir HIMSS yayınıdır.