Тереза Медоуз, старший вице-президент и директор по информационным технологиям, Cook Children’s Health Care System
Это довольно загадка.
По оценкам, 60 процентов утечек данных происходят от сторонних поставщиков, которые часто имеют доступ к важной информации о пациентах. И все же, «это то, что мы делаем не очень хорошо», — сказала Тереза Медоуз, старший вице-президент и ИТ-директор системы здравоохранения Cook Children’s Health Care System. До недавнего времени многие не рассматривали стороннее управление рисками как корпоративную проблему.
Это, как она отметила во время недавней панельной дискуссии, начинает меняться. «Вероятно, сейчас я трачу на это больше всего времени, потому что это такая большая задача». И это относится не только к ИТ, но и к кибербезопасности, соответствию требованиям и другим областям, особенно с организациями, которые передают кодирование или выставление счетов, например, третьим сторонам.
«Это одна из самых больших проблем, с которыми сталкиваются организации», — добавил Медоуз, который исследовал эту тему вместе с участниками дискуссии Марти Арвин (вице-президент, директор по соблюдению требований и конфиденциальности, Erlanger Health System), Джим Брэди (вице-президент по кибербезопасности и управлению рисками, директор по информационной безопасности). , Fairview Health Services) и Ник Калбертсон (соучредитель и генеральный директор Protenus). Они обнаружили, что по мере того, как все больше поставщиков вступают в борьбу и получают доступ к данным пациентов, требуется другой подход, чем лидеры использовали в прошлом.
Одна из причин заключается в том, что стороннее управление рисками — это совсем другое дело. По словам Арвина, например, соглашения, которые они заключают с нижестоящими поставщиками, часто не совпадают с условиями, которые сторонние поставщики заключают с системами здравоохранения. Как лидеры, «вы должны продумать, куда идут данные пациентов, куда они могут просочиться, и есть ли у вас некоторое утешение в том, что третья сторона делает то, что они должны делать, чтобы защитить ваши данные по мере их поступления». выдвинулся дальше. Эти вещи вызывают у меня изжогу».
Проблема усугубляется тем фактом, что многие системы здравоохранения, особенно такие крупные и сложные, как Fairview, работают с сотнями или даже тысячами поставщиков, что чрезвычайно затрудняет регулярную оценку рисков каждого из них.
Джим Брэди, доктор философии, вице-президент по информационной безопасности и инфраструктуре, директор по информационной безопасности, Fairview Health Services
По словам Брейди, именно здесь могут помочь такие компании, как Protenus, предоставляя сторонние услуги по управлению рисками. Предоставляя платформу для заполнения анкет, его команда может получить нужные ответы, не обращаясь к поставщикам индивидуально. Это также позволяет им видеть, были ли внесены какие-либо изменения в контракты. «Это действительно ускоряет процесс и помогает нам быть более эффективными», — добавил он. «Нам больше не нужна армия для борьбы с сторонними рисками».
Похожий подход у Cook Children’s, отмечает Медоуз. «У вас никогда не будет достаточно ресурсов для каждой оценки рисков. Было очень полезно иметь базу данных, в которой мы можем использовать краудсорсинговые данные».
Для ее команды стимулом для повышенного внимания к управлению рисками третьих сторон стала атака программы-вымогателя в 2021 году на поставщика решений для управления персоналом. Хотя в этой конкретной ситуации ePHI не подвергалась риску, потеря доступа к административным системам, таким как платежная ведомость, по-прежнему имела серьезные последствия.
«На мой взгляд, это большой красный флаг. Если мы собираемся сложить все яйца в одну корзину хостинга, нам нужно больше информации об их состоянии безопасности, чем если бы мы размещали их сами», — сказал Медоуз. «Нам нужно сотрудничество со стороны наших партнеров, чтобы делиться критически важными данными, которые нам нужны, чтобы чувствовать себя комфортно в том, что мы принимаем правильные решения».
Разговоры с поставщиками
Едва ли она одинока в этом мышлении. На самом деле, все четыре участника дискуссии подчеркнули критическую роль руководства поставщика в снижении рисков безопасности третьих сторон, а также необходимость установить прочные отношения с самого начала.
К счастью, большинство поставщиков «хотят сесть за стол переговоров, особенно на этапе заключения контракта», — сказал Брейди. «Они открыты для дискуссий и сделают все необходимое со своей стороны, чтобы клиенты были довольны». Это может показаться само собой разумеющимся, но крупные поставщики, особенно в области медицинского оборудования, часто приходят со своими собственными ожиданиями относительно того, как все работает, и не привыкли к гибкости. Вот почему он считает, что предварительные беседы представляют собой идеальную возможность «высказать опасения по поводу безопасности и конфиденциальности и убедиться, что они понимают последствия».
Мидоуз согласилась, добавив, что ее команда разработала контрольный список для ИТ-менеджеров, которым они могут поделиться с теми, кто хочет приобрести решение, в котором изложены их стандарты и ожидания в отношении оценки рисков. «Это позволяет нам увидеть, каким партнером может быть этот поставщик», — отметила она. «Потому что, если мы получим много возражений по поводу их безопасности, это приведет к другим вопросам, которые мы могли бы задать. Итак, мы пытаемся включить это в процесс заранее, чтобы заранее знать, с чем имеем дело. Средний покупатель не одобряет рискованного поведения, особенно в отношении медицинских устройств. Постоянное образование чрезвычайно полезно».
Возможности для оценки
Аналогичным образом, оценка рисков также должна быть постоянной. Но хотя большинство руководителей хотели бы иметь возможность ежегодно проверять все системы — даже те, которые не содержат ePHI — это просто невозможно. Более реалистичный подход? Оценка решений, когда они подходят для обновления, что обычно происходит каждые 3 года, или когда становится доступным обновление. «Мы пытаемся внедрить это в наш процесс», — сказал Медоуз. «Мы пытаемся решить столько, сколько мы можем в любой данный год. Вот почему краудсорсинг и правильные инструменты так важны. Без посторонней помощи невозможно справиться с объемом».
Хотя три года могут показаться долгим сроком, они могут пролететь быстро, сказал Брейди, который призвал руководителей «продолжать экономить», даже если прогресс кажется медленным. «Важно продвигаться вперед и продолжать сужать подмножество систем, которые еще не рассматривались. Вот что такое управление рисками. Это не устранение его до нуля; это снижает риск до приемлемого уровня».
Работа с бывшими
Марти Арвин, вице-президент, директор по соблюдению требований и конфиденциальности, Erlanger Health System
Значительная часть этого, по словам Арвина, связана с поставщиками, которые больше не являются партнерами, но все еще сохраняют некоторые данные о пациентах. «Это область, которая вызвала у меня некоторую тревогу», — отметила она, касается ли это возврата данных или, если это невозможно из-за нормативных обязательств, обеспечение уничтожения данных в течение согласованного периода времени.
По словам Калбертсона, Protenus стремится упростить этот процесс, встраивая в платформу политики хранения данных, основанные на потребностях клиентов. Таким образом, «если есть период хранения, мы следим за тем, чтобы по мере создания новых данных данные также извлекались из платформы». А поскольку потребности могут меняться с появлением новых версий или рабочих процессов, его команда рассылает анкеты и регулярно связывается с клиентами. «Мне нравится думать, что мы движемся в правильном направлении, встраивая безопасность и соответствие требованиям в нашу инфраструктуру, чтобы мы могли улучшить наш репозиторий».
Калбертсон добавил, что важно убедиться, что все стороны согласны друг с другом. «Если вы развертываете новую программу, в рамках партнерства должна проводиться какая-то постоянная перепроверка или перепроверка», которая охватывает несколько областей, в том числе когда следует удалять данные. «В конечном итоге все сводится к доверию, поэтому я считаю хорошей идеей стратифицировать поставщиков в зависимости от уровня риска. С некоторыми вам, вероятно, нужно немного больше проникнуть в сорняки и немного приблизиться к их операциям ». Однако в любом случае крайне важно проверить и понять, какие изменения были внесены, включая деятельность по слиянию и поглощению, и как они могут повлиять на вашу организацию.
И это нужно сделать до того, как разразится кризис, отмечает Медоуз, чья команда узнала после инцидента с программой-вымогателем, что поставщик сохранил свои данные за 10 лет. «Именно тогда мы начали тщательно изучать, сколько данных они должны хранить». Хотя она признала, что ее команда не всегда хорошо справляется с отслеживанием, они улучшаются, особенно когда речь идет о системах с более высоким риском с большим количеством ePHI. В этих случаях они точно указали, как долго данные могут храниться.
«Теперь мы ищем в контракте вещи, которые никогда не искали раньше, и думаем о том, сколько данных мы им предоставляем, чтобы иметь возможность проверять или задавать вопросы», — сказала она. Медоуз добавил, что, согласовывая эти пункты в контракте и подписывая поставщиками адаптацию того, как и когда они будут удалять данные, организации могут лучше позиционировать себя в будущем. «Очень важно начать думать об этом на начальном этапе, а не ждать момента ага».
Чтобы просмотреть архив этого вебинара «Управление и снижение рисков безопасности от сторонних поставщиков», нажмите здесь.
