BOSTON – Intermountain Health, Northwell Health ve Renown Health’in baş bilgi güvenliği görevlileri içgörülerini paylaştı ve rehberlik 2022 HIMSS Siber Güvenlik Forumu sırasında üçüncü taraf yönetiminin nasıl bir öncelik haline getirileceği hakkında.
Intermountain Healthcare’de başkan yardımcısı ve CISO olan Erik Decker, üçüncü taraf risklerinin tamamen verilere özgü görünümüne odaklanmak yerine, bir hipotez öne sürerek ve katılımcıları görev açısından kritik yapıya odaklayarak üçüncü taraf risk yönetimi panelini açtı. sağlık hizmeti sağlayıcılarının üçüncü taraf hizmetleri.
“Çok gelişmiş değil [advanced persistent threats], ulus devlet aktörleri organizasyonunuza girmek için fahiş miktarda kaynak harcıyorlar” dedi.
“Aslında, temel kontrollerin eksikliği, bazı temel hijyen ve ele aldığımızı düşündüğümüz bazı temel sorunlar, ancak gerçekte ele almamış olabiliriz.”
Decker’a Northwell Health’ten Kathy Hughes CISO ve Renown Health’ten Steven Ramirez CISO katıldı.
Pivot ve düşünceler
Sağlık hizmetlerinin sunumunda kritik önem taşıyan üçüncü taraf sağlayıcıların kapanması, sağlık hizmetlerinin işlevini ciddi şekilde etkileyebilir.
Decker, “Sanırım sorun durumu hakkında da düşünmemiz gerekiyor,” dedi.
Süre elektronik sağlık kayıtları, bariz bir şekilde kritik bir üçüncü taraf sistemidirbulutta hesaplamalar gerektiren ve bu sistemlerde uzlaşmanın klinik sonuçları olacağı tıbbi cihazlar var.
Şırınga, çamaşırhane, tıbbi ekipman ve daha fazlası gibi temel hizmetleri sağlayan üçüncü taraflar da vardır.
“Eğer düşerlerse, bu sizin hastanenizi nasıl etkiler?” O sordu.
Decker ayrıca, saldırıya uğradıklarında bakımı etkileyebilecek büyük tedarikçilerin yakınsaması olan “Kronos etkisinden” alıntı yaptı.
Bu büyük tedarikçiler, operasyonları iyileştiren yenilikçi hizmetler sundukları için, “maksimum hasara ve maksimum etkiye neden olmak için çok hedef açısından zengin hale geliyorlar” dedi.
Saldırı yüzeyini artıran arka uç erişimi olan bağlı kuruluşlar da vardır.
İşlemden sürekli izlemeye
Hughes, bir risk profili elde etmek için uygun soruları soran satıcı risk yönetimi analizinin olağan sürecinin “zamanın anlık görüntüsü” olduğu konusunda uyardı.
Bir üçüncü tarafın risk yönetimi programı hakkında bilgi toplamak, veri miktarı, kullanıcı sayısı, verilerin nerede bulunacağı, kullanım durumunun ne olduğu, hangi cihazların veya sistemlerin dahil olduğu vb.
Risk analizi sürtüşmeye neden oluyor çünkü “bunu çok fazla zaman alıyor” ve boşlukları tespit ediyor, “hala çok manuel ve emek yoğun bir süreç” dedi.
Ramirez’e göre değerlendirmenin işlemsel doğasını ele almak için iş etki analizi diliyle uyumlu daha bütünsel bir yaklaşım sermaye planlamasıyla başlar.
“Masanın önüne geçebilir ve yüksek riskli satıcıya, yüksek riskli süreçlere önceden bakabilirsek, domino etkisinden kaçınmak için bu ek kontrolleri devreye sokmaya başlayabiliriz” dedi.
Bu tartışmalarda bir veya iki veya üç potansiyel satıcının olması, iş etki analizi sürecinde sürekliliğin sağlanmasına yardımcı olabilir.
Hughes, departmanlar arası ilişkiler kurmanın riskleri iletmek için gerekli olduğunu söyledi, “çünkü risksiz diye bir şey yoktur, her zaman kabul edilmesi gereken bir seviye vardır.”
İşbirliği, herkesin risklerin ne olduğunu anlamasına yardımcı olur, dedi.
“Gerçekten bu süreci olabildiğince sorunsuz hale getirmeye çalışmakla ilgili.”
Ramirez, kilit paydaşlarla tartışmaları canlı tutmanın, satıcılar, yeni satıcılar ve karşılıklı bağımlılıklar ile zaman içinde gelişen değişikliklerin nabzını tutmaya yardımcı olduğunu da sözlerine ekledi.
Risk değerlendirme süreçlerinin ölçeklendirilmesi
Decker, “Bu değerlendirmeleri yüzbinlerce yaparken, gördüğümüz ve bulduğumuz yüzbinlerce soruna karışıyor, bu da yönetmeniz gereken yüzbinlerce farklı şey anlamına geliyor” dedi.
Hughes, risk analiziyle ilgili bir şey çıkarsa, kuruluşun, standartlarına uyma taahhüdü almak ve bunu sözleşme diline koymak için o satıcıyla müzakere edeceğini söyledi.
“Genel olarak, bu, söz konusu taahhütleri yerine getirirlerse, kalan riski orta veya yüksekten düşüğe indirecektir” dedi ve satıcının, kuruluşun takip ettiği ve takip ettiği belirli tarihlere kadar taahhütleri yerine getirmesi gerektiğini de sözlerine ekledi. .
“Genellikle tedarikçilerin çok anlayışlı olduğunu görüyoruz çünkü tüm sağlık kuruluşlarının aynı soruları sorduğunu ve gerçekten sistemleri ve verileri korumaya çalıştıklarını biliyorlar.”
Ramirez, bir sağlık kuruluşunun çevre siber güvenliğini inceleyen ve içerideki kontrolleri anlayan sigorta şirketlerinin dışa dönük puan kartlarını da izleyen güvenlik açığı yönetim ekiplerinin olgunluğu artırmak için bir başlangıç noktası sağladığını söyledi.
“Genel olarak daha büyük resmin bir bileşeni”, ancak bu risk puanları daha fazla optimizasyon sağlamak için bir fırsat sunuyor, dedi.
Hughes, siber sigorta taşıyıcılarının güvendiği risk kartlarının, onlara bakan tehdit aktörleri tarafından da incelendiğini belirtti.
“Belki de o kadar güvenli olmayan kuruluşları hedef alacaklar” dedi.
Decker, kuruluşların satıcı hatalarını düzeltmek için kaynak ayırıp ayırmadığını sordu, bu gerçekten katma değerli zaman mı?
Sağlık kuruluşlarının binlerce satıcıyı paylaştığını ve risk değerlendirmeleri sırasında aynı sorulardan bazılarının olacağını söyledi.
Decker, sağlık kuruluşları kritik satıcılarını kaydedebilirse ve bu satıcıların risk değerlendirmesini yürüten diğer sağlık kuruluşlarının “pop” bir şeye sahip olması durumunda, böyle bir “kitle kaynaklı” sistemin risk değerlendirme boru hatlarını en aza indirebileceğini öne sürdü.
Siber güvenlik kültürü oluşturmak
Klinik bakımı iş operasyonlarıyla uyumlu hale getiren Hughes, ayrı bir iş sürekliliği kriz yönetimi ekibinin, arıza süresi prosedürlerini inceleyen çeşitli departmanlara sahip olduğunu söyledi.
“Haftalarca ve aylarca düşünmüyorlar” dedi.
Planların yürürlükte olduğundan ve alternatif satıcıların belirlendiğinden emin olun ve bunları uygulayın, tavsiyesinde bulundu.
Ramirez dedi masa üstü egzersizler önemlidirve ders almak için boş zamanlardan yararlanmayı seviyor – “neden bir şeyler yolunda gitmiyor?” – ve ardından başarısızlık noktalarını vurgulayın.
Decker, “Başlamak için bir yer arıyorsanız, laboratuvar görüntüleme, eczane ve EMR’nizin ana hatlarını çizmenizi öneririm,” dedi. “Ve bir aydan fazla bir süre boyunca bunların dışında nasıl kalacağınızı ve bunun neye benzediğini ve ayağa kalkmaya hazır olmanız gereken çözümlerin neler olduğunu düşünün.”
Katılımcılara da işaret etti Sağlık Sektörü Siber Güvenlik Tedarik Zinciri Risk Yönetimi Rehberi daha fazla üçüncü taraf risk yönetimi rehberliği için başkanı olduğu Sağlık Sektörü Koordinasyon Konseyi tarafından.
Andrea Fox, Healthcare IT News’in kıdemli editörüdür.
E-posta: afox@himss.org
Healthcare IT News, bir HIMSS yayınıdır.