Безопасность медицинской информации. Мое интервью с Ричардом Кауфманном, директором по информационной безопасности компании Amedisys. Часть 1: Истории происхождения, экосистема безопасности и стартовая линия

«Если данные повсюду, как их защитить?»

Эта мысль уже давно приходила мне в голову хаки Change Healthcare (во множественном числе), с которыми все еще имеют дело заинтересованные стороны в сфере здравоохранения США, поскольку этот пост публикуется на сайте Здоровье народа блог.

Этот вопрос я задал в беседе с Ричардом Кауфманном, директором по информационной безопасности (CISO) Амедисис. Я благодарен за возможность вместе с Ричардом подробно изучить многие аспекты кибербезопасности в здравоохранении – растущие угрозы, влияние на поставщиков, состояние технологий и инноваций для управления рисками, а также его развивающуюся роль в качестве директора по информационной безопасности в этом вопросе. сложный контекст.

Наш разговор охватывал настолько обширную тему, что я разделил его на три поста: этот посвящен «истории происхождения» Ричарда в области информационной безопасности и подходу Amedisys к стратегии кибербезопасности предприятия; затем я буду публиковать части 2 и 3 каждый из следующих двух месяцев, чтобы изучить план Amedisys, реализацию ее текущей инфраструктуры и стратегии безопасности, а также уроки, извлеченные в этом процессе. Наконец, мы опубликуем последнюю треть нашего разговора. оглядываясь назад и с нетерпением жду будущего кибербезопасности в здравоохранении и немного мудрости, которая поможет нам управлять этим будущим миром рисков.

Отправляясь в путешествие по кибербезопасности здравоохранения вместе с Ричардом Кауфманном, подумайте о том, три тенденции, предложенные Palo Alto Networks, которые бросят вызов отрасли уделять больше времени и энергии устранению растущих рисков взломов и нарушений:

• Рост удаленной помощи, особенно актуальной для ухода на дому, телемедицины, паллиативной и хосписной помощи.
• Распространение подключенных устройств, таких как удаленный мониторинг состояния здоровья, Интернет вещей для здоровья (особенно дома) и другие приложения, которые могут подключаться к Интернету, центрам обработки данных и облаку, а также,
• Возрастающая сложность медицинских ИТ-сред в распределенных сетях оказания медицинской помощи и среди удаленных пользователей.

Учитывая развивающуюся ситуацию в сфере здравоохранения, связанную с киберрисками, я приглашаю вас к разговору с Ричардом Кауфманном, директором по информационной безопасности компании Amedisys. Часть 1: Истории происхождения, экосистема безопасности и линия старта…(Обратите внимание, что мои вопросы выделены курсивома голос Ричарда — обычным шрифтом).

ДСК: Какова ваша история происхождения медицинской информационной безопасности? Когда вы начали работать с Blue Cross и Blue Shield of Louisiana более десяти лет назад, думали ли вы о кибербезопасности?

РК: Я пойду на свидание здесь. Я родился в начале 80-х и вырос вместе с Интернетом. Когда я был подростком, Интернет был совсем другим опытом, и во многих отношениях он казался почти управляемым. Будучи подростком, выросшим в юго-восточной Луизиане, возможность общаться с другими людьми в чатах и ​​на форумах открыла мне мировоззрение, которое оказало невероятное влияние на меня, когда я стал взрослым.

Первые «хакеры» были идеалистами. Интернет-сообщества, которые нашли отклик у меня, были посвящены использованию этого нового инструмента под названием Интернет, чтобы сделать мир лучше. В то время хакерство считалось скорее вредным, чем преступным, и его легко было оправдать ради общего блага.

К тому времени, когда я пришел в BCBSLA в качестве молодого специалиста, беззаботность кибербезопасности уже давно угасла, а идеализм сменился спекуляцией. Делать что-то ради «лулзов»« был заменен работой за доллары; теперь удовлетворение, которое я получал от пребывания в сети, заключалось в том, что я использовал свои навыки, чтобы лучше понять, что делают «плохие парни».

Я как бы прошел через боковую дверь кибербезопасности как профессии. Моя карьера началась с должности сетевого инженера, а затем перешла на внутренний аудит во всех местах. Внутренний аудит занимает уникальное положение в организации, и возможность увидеть, как работает компания и, что наиболее важно, как высшее руководство расставляет приоритеты в решениях, было одним из лучших решений, которые я принял на пути к тому, чтобы стать директором по информационной безопасности.

ДСК: Вы перешли в компанию Amedisys в 2018 году на должность директора по информационной безопасности. Что изменилось в сфере кибербезопасности с тех пор, как вы заняли эту должность?

РК: Сотрудничество навсегда изменилось в мире после COVID. Одним из главных побочных продуктов этих изменений является то, что организационные данные стали окружающими. В таких строго регулируемых отраслях, как здравоохранение, кибербезопасность и защита данных идут рука об руку. Если данные повсюду, как их защитить? В Amedisys мы начинаем отвечать на этот вопрос, уважая происхождение данных.

По мере того, как пациент проходит этап оказания медицинской помощи, мы понимаем и ценим, что опыт наших пациентов является конфиденциальным. Люди имеют фундаментальное право диктовать, кто и когда будет использовать их медицинскую информацию.

Работа над сохранением конфиденциальности этой информации в новой парадигме Teams Meetings, отчетов PowerBI и децентрализованных данных является тяжелым бременем для современных директоров по информационной безопасности. Дополнительная сложность заключается в том, что директора по информационной безопасности не только пытаются скрыть информацию от злоумышленников, которые хотят обменять конфиденциальность на прибыль, но и от случайного раскрытия в ходе обычного ведения бизнеса.

ДСК: Расскажите нам, чем проблемы кибербезопасности могут отличаться для Amedisys в сфере домашнего здравоохранения, хосписной и паллиативной помощи по сравнению с другими сферами медицинских услуг, такими как стационарное лечение или групповая медицинская практика.

Amedisys — один из крупнейших поставщиков услуг хосписа и домашнего здоровья в Америке. Для сравнения: одна из крупнейших больниц имеет чуть более 2000 коек, а наша компания ежегодно обслуживает более 400 000 пациентов. У нас есть все проблемы традиционной больницы, поскольку мы предоставляем аналогичные услуги, но с дополнительной возможностью, заключающейся в том, что мы оказываем помощь пациентам на дому.

Обеспечение ухода на дому усложняет кибербезопасность, особенно когда вы думаете о таких вещах, как возможность подключения или его отсутствие. Мы делаем все возможное, чтобы увидеть мир глазами наших пациентов, а также обеспечиваем безопасность наших врачей. Представьте себе, что у вас есть любимый человек, страдающий деменцией, который может не помнить, почему опекун стучится к нему в дверь, чтобы посетить врача на дому. Наша организация процветает, обеспечивая безопасность наших врачей и одновременно обеспечивая лучший в отрасли уровень медицинской помощи.

ДСК: Когда вы оглядываетесь назад на «стартовую линию» планирования и реализации стратегии кибербезопасности Amedisys, какие ключевые соображения и проблемы стояли перед вами на первом плане вашего проекта?

РК: В Amedisys, независимо от вашей должности, каждый занимается уходом. Для нас это больше, чем просто жаргон корпоративной культуры. Каждый в нашей организации подходит к своей работе с точки зрения: «Как я могу улучшить чужой опыт своими действиями?» Наша стратегия безопасности основана на сострадании, сочувствии и помощи. Удивительно, чего вы можете достичь в рамках кибербезопасности, если ставите своих пациентов или клиентов на первое место.

Одним из самых впечатляющих событий в моей карьере была работа с медсестрами нашего хосписа в разгар COVID. Хоспис – это услуга, которая недостаточно развита в нашей стране. Это неудобная тема для обсуждения – переход от жизни к смерти. Медсестры нашего хосписа ежедневно преодолевают этот дискомфорт. Хоспис также является единственной службой здравоохранения, целью которой является не улучшение здоровья человека, а улучшение качества его жизни.

Во многих отношениях создается впечатление, что мы заблокировали то, насколько пугающими были первые дни COVID. До идеи «сгладить кривую» или даже поместить на карантин наши закваски и отвлечься от «Короля тигров» люди активно умирали от этой болезни.

Медсестры хосписа приходили каждый день только для того, чтобы их пациенты, некоторые из которых были носителями высокоинфекционных заболеваний, чувствовали себя комфортно в свои последние дни. Идти на работу означало подвергать себя опасности, и они все равно это делали. В целом медсестры хосписа Amedisys во время COVID были самыми смелыми и самоотверженными людьми, которых я когда-либо встречал.

Я помню, как вскоре после того, как наша организация завершила внедрение команд, я встретился с руководителем хосписа и спросил: что нужно вашей команде? Никогда не забуду ответ: «Нам нужны объятия».

COVID полностью изолировал группу наших сотрудников, которым требовалось сообщество. Им нужно было скорбеть. Им нужно было дать выход. Им нужно было место, где их человеческий опыт мог бы сохраниться даже после рабочего времени.

Возможность создавать онлайн-сообщества, а также каналы общения, где эта группа сотрудников могла утешать друг друга, была невероятно полезным опытом. Конечно, мы работали над тем, чтобы сделать эти вещи безопасными и чтобы данные и опыт, которыми обменивались, оставались конфиденциальными, но, что еще более важно, технологии действительно объединяли людей, когда они в этом нуждались больше всего.

ДСК: Я слышал, как вы говорили о важности экосистемы в вашем подходе к киберпространству. Вы можете объяснить?

РК: Как бы мы ни пытались превратить работу директора по информационной безопасности в разговор о безопасности, речь идет о согласовании целей компании с обеспечением конфиденциальности данных наиболее эффективным способом. Здесь существует баланс между стоимостью и ценностью.

Я еще не встречал директора по информационной безопасности, который представил бы план по повышению безопасности и имел 100% вероятность успеха в получении финансирования для этой идеи. Перед нами постоянно стоят задачи по сокращению затрат.

Я подхожу к технологическим экосистемам так же, как подхожу к ужину со своими детьми. У каждого из них будут разные требования и представление о том, что лучше для них в данный момент. Куриные наггетсы, пицца, тако (последнее, очевидно, только по вторникам). Для них нет предела доступным ресурсам. Однако моя роль как родителя и директора по информационной безопасности заключается в том, чтобы совместить то, что действительно необходимо, с имеющимися ресурсами. По моему опыту, лучший способ сделать это — пойти в одно место, которое предлагает наибольшее разнообразие.

Именно по этой причине в последнее время Amedisys вкладывает значительные средства в Microsoft Security Stack. Отдельные продукты не только отвечают нашим требованиям, но и обеспечивают дополнительную простоту в продуктах безопасности, имеющих встроенные функции нашего пакета повышения производительности. Кроме того, наша команда увлечена улучшением продуктов, которые мы используем, и наличие единой точки эскалации означает, что мы можем видеть улучшения во всем предприятии, даже если наши отзывы сосредоточены на конкретной возможности.

ДСК: Я где-то читал, что вы иногда вызываете Дэвида Гоггинса, спортсмена на выносливость, во время походов и других занятий фитнесом. Интересно, что Гоггинс в свободное время работает техником скорой помощи в Британской Колумбии, где он живет. Что вы можете почерпнуть из вдохновения Гоггинса в своем «марафоне» работы в области кибербезопасности с Amedisys?

РК: Есть две концепции, которые действительно резонируют со мной, когда я смотрю на таких людей, как Гоггинс. Во-первых, это способность к самоспасению. Никто не придет вам на помощь. Это трудный урок, и не все его понимают. Когда я тренирую других директоров по информационной безопасности, это один из краеугольных камней моего подхода к лидерству. Лучшие лидеры команд — это прежде всего отличные члены команды. Быть отличным членом команды — значит уметь нести ответственность. Если вы хотите сделать 100 подтягиваний, вы начинаете с 1 и понимаете, что остальные 99 никто за вас не сделает. Самодостаточность и подотчетность — это мягкие навыки, которые позволяют нашей команде безопасности Amedisys процветать даже при ограниченном количестве сотрудников.

Вторая концепция – это разница между мотивацией и дисциплиной. Мотивация колеблется. Бывают хорошие и плохие дни – это динамично. Когда в сфере безопасности все динамично, возникают дыры. Наличие дисциплины в решении задач, независимо от их размера или желания их выполнять, помогает нам поддерживать стабильную операционную среду, которую могут использовать наши оперативные команды. Дисциплина дает нам путь к тому, чтобы научиться чувствовать себя комфортно, чувствуя дискомфорт.

Итак, мы прошли путь от первых вредоносных дней хакерства до перехода на «другую сторону» киберуравнения, к специфическому ландшафту медицинской помощи, оказываемой на дому, в сотрудничестве с пациентами и лицами, осуществляющими уход – с технологиями лишь частью более долгого пути. Рецепт, основанный на сочувствии, общности и объятиях – в марафоне с вдохновляющей дисциплиной по ролевому моделированию от Дэвида Гоггинса.

Оставайтесь с нами, чтобы увидеть вторую часть этого трехчастного исследования кибербезопасности и здравоохранения с Ричардом Кауфманном, директором по информационной безопасности компании Amedisys, и мной, которая будет опубликована в середине июня…