Кибербезопасность стала первоочередной проблемой для высшего руководства здравоохранения. Распределенные модели оказания медицинской помощи, которые оказывают помощь пациентам виртуально или физически, за пределами традиционных медицинских учреждений, усложняют киберпространство. Хотя эта модель оказания медицинской помощи может значительно улучшить доступ пациентов к медицинской помощи, она также создает большую поверхность для атак киберпреступников и увеличивает риски кибербезопасности организации.
Хорошей новостью является то, что передовые методы ИТ-безопасности при правильном использовании могут помочь снизить этот дополнительный риск за счет снижения сложности системы и устранения неэффективности, обеспечивая более последовательный, безопасный и надежный цифровой опыт для клинического и неклинического персонала.
Обзор больницы Беккера недавно беседовал с двумя экспертами по кибербезопасности из Palo Alto Networks — Тони Дугласом, региональным вице-президентом US Enterprise Healthcare, и Ли Гарднером, архитектором безопасности здравоохранения — о важности использования лучших практик кибербезопасности в моделях распределенного медицинского обслуживания и ключевых моментах, которые руководители здравоохранения должны учитывать. знать.
Распределенная помощь расширяет доступ к пациентам, но также и поверхность атаки
Пандемия COVID-19 побудила сектор здравоохранения экспериментировать с различными подходами к лечению, используя различные технологии для связи врачей и пациентов. Больницы и системы здравоохранения подтвердили, что можно оказывать эффективную помощь нетрадиционными способами.
«Поскольку организации внедряют технологии для поддержки районных клиник или больниц на дому, они должны гарантировать, что кибербезопасность является главным приоритетом», — сказал г-н Дуглас. «Если мы не займемся этим, это увеличит риск для отрасли в целом».
Когда помощь перемещается за пределы медицинского учреждения, это означает, что периметр безопасности приближается к пациентам. Например, если пациенты взаимодействуют с онлайн-тренером или посещают удаленную всплывающую клинику, киберпреступники могут подслушивать их общение. Безопасность также является проблемой при передаче данных в центральную систему здравоохранения или их локальном хранении.
«Пациенты верят, что медицинские организации будут защищать их личную информацию», — сказал г-н Гарднер. «Основная задача систем здравоохранения и поставщиков медицинских услуг — не причинить вреда. Если система здравоохранения не может защитить данные пациента, это может нанести непоправимый эмоциональный и финансовый ущерб. По мере того, как вы распространяете помощь на сообщество, вам нужны правильные меры кибербезопасности для защиты информации отдельных лиц».
Чтобы оставаться на шаг впереди проблем кибербезопасности, ИТ необходим стратегический подход «сверху вниз»
Традиционно кибербезопасность в организациях продвигалась снизу вверх. Однако в современном мире ИТ и сетевая безопасность также должны осуществляться сверху вниз.
ИТ-руководителям необходимо занимать видное место за столом переговоров всякий раз, когда высшее руководство принимает решения, будь то инициатива по трансформации облака, изменение EHR или развертывание медицинских устройств, подключенных к сети.
«Это гарантирует, что организации будут применять передовые методы ИТ-безопасности во время принятия решений», — сказал г-н Дуглас. «Они могут устранить любые потенциальные риски или уязвимости на раннем этапе. Это крайне важно, учитывая растущее число нарушений кибербезопасности в здравоохранении».
Кибербезопасность должна быть интегрирована во все сферы деятельности организации, включая биомедицинские науки, исследовательские лаборатории, клиники и доклинические области. В то же время меры кибербезопасности должны быть согласованы с общими бизнес-целями организации.
ИТ-специалисты и бизнес-команды здравоохранения должны активно сотрудничать, чтобы обеспечить безопасный, хорошо связанный и последовательный цифровой опыт для пациентов и поставщиков услуг. Это может произойти только в том случае, если безопасность находится в центре внимания и полностью интегрирована в программы.
«Кибербезопасность должна быть частью каждого реализуемого проекта», — сказал г-н Гарднер. «Образование и осведомленность должны продвигаться сверху вниз, чтобы каждый понимал, что кибербезопасность — это его ответственность. Если вы сможете предотвратить хотя бы один киберинцидент посредством хорошего образования и общения, это победа».
Основанные на стандартах структуры должны определять платформенный подход
Чтобы постоянно оценивать свои ИТ-риски, больницам и системам здравоохранения необходимо принять стандартную систему безопасности. Например, организации могут решить использовать NIST Cybersecurity Framework (CSF) или HITRUST в качестве основы для измерения рисков и оценки соблюдения передовых методов ИТ-безопасности во всем технологическом ландшафте. «Используя структуру, вы можете выявить тенденции с течением времени и увидеть, в чем организация добивается прогресса и где требуется больше внимания», — сказал г-н Дуглас.
Эти структуры также помогают облегчить общение по вопросам кибербезопасности. Они позволяют специалистам в области ИТ последовательно объяснять программы и риски высшему руководству, используя понятные термины. «В конце концов, ключевым моментом является осведомленность», — сказал г-н Дуглас. «Вам необходимо заранее решать проблемы кибербезопасности и эффективно доводить их до сведения совета директоров и высшего руководства».
Г-н Дуглас объяснил, почему переход к платформенной программе безопасности также более эффективен, чем к архитектуре безопасности, основанной на многоточечных решениях. «Если бы мне пришлось дать какой-либо совет, я бы хотел избегать концепции точечного продукта», — сказал он. «Вам нужна платформа безопасности. Если вы защитите новые возможности, связав их с платформой, вы сможете обеспечить последовательную безопасность».
На фоне слияний в сфере здравоохранения важность кибербезопасности нельзя недооценивать
По мере того как слияния и поглощения в сфере здравоохранения продолжаются, зоны кибератак организаций растут. Крайне важно активно решать вопросы безопасности в рамках процесса слияний и поглощений. «Система здравоохранения, которая раньше имела надежную кибербезопасность, может унаследовать пробелы в результате слияний и поглощений», — сказал г-н Гарднер.
Г-н Дуглас согласился. «Если организации здравоохранения необходимо расти за счет приобретений, руководство должно активно проводить комплексную проверку, уделяя внимание ИТ-безопасности», — сказал он. «Если вы продолжите приобретение, а затем интегрируете организацию с плохой кибербезопасностью, сети всей организации теперь будут уязвимы».
Чтобы предотвратить утечку данных, больницам и системам здравоохранения важно иметь средства контроля для отслеживания аномалий безопасности и оповещения.
«Недавно мы работали с организацией здравоохранения, которая активно обнаруживала и предотвращала кибератаки», — сказал г-н Гарднер. «Недовольный сотрудник делового партнера удаленно получил доступ к оборудованию с намерением причинить вред. К счастью, организация развернула системы мониторинга. Это предотвратило доступ злоумышленника к другим сетевым устройствам. Когда инструменты увидели эту активность, были выданы предупреждения».
Надежная ИТ-безопасность может предотвратить сбои в уходе, соблюдении требований и бюджете
Когда организация здравоохранения подвергается кибератаке, это может иметь серьезные негативные последствия — и по мере того, как все больше систем здравоохранения становятся зависимыми от технологий, эти последствия возрастают в геометрической прогрессии, если меры безопасности не будут усилены соответствующим образом. Г-н Дуглас вспомнил недавний пример больницы на Среднем Западе, которая навсегда закрылась из-за финансовых последствий атаки программы-вымогателя.
«Если организация подверглась атаке и не имеет надлежащих процессов восстановления, ей, возможно, придется перенаправить пациентов в другие системы здравоохранения», — сказал г-н Дуглас. «Итак, теперь вы не только теряете доход от новых пациентов, но и потенциально теряете медицинский персонал в других больницах, которые не испытывают таких же проблем». Он подчеркнул, что нарушения также влияют на способность больниц нанимать и поддерживать лучшие кадры, что часто не признается. Как и в любой системе, сказал он, эти факторы взаимосвязаны.
Кроме того, кибератаки подрывают доверие пациентов и наносят ущерб бренду организации. «Пациенты не захотят посещать больницу или систему здравоохранения, где неоднократно происходили утечки данных», — сказал г-н Гарднер.
Palo Alto Networks помогает больницам и системам здравоохранения минимизировать риск кибератак
Palo Alto Networks — это компания, занимающаяся исключительно кибербезопасностью, что означает, что она обладает высокой компетентностью и сосредоточена на кибербезопасности, а также создала платформу, которая помогает организациям здравоохранения перейти к моделям распределенного медицинского обслуживания. Это позволяет организациям осуществлять безопасную трансформацию облака и приложения на базе SaaS с уверенностью и безопасностью.
«Наш платформенный подход к безопасности позволяет нам встретиться с поставщиками медицинских услуг и оценить их ИТ-ландшафт», — сказал г-н Дуглас. «Мы создаем решения, которые помогают организациям повышать эффективность за счет консолидации многих своих точечных технологий».
Растущие системы здравоохранения понимают, что платформа Palo Alto Networks представляет собой архитектуру, готовую к приобретению. «Мы работаем с организациями после того, как они приобрели объект, и руководствуемся уравнением «время окупаемости», — сказал г-н Дуглас. «В результате они могут интегрировать объекты максимально быстро, не ставя под угрозу безопасность».
Подразделение 42 Palo Alto Networks выступает в качестве советника по стратегической безопасности, активно помогая организациям здравоохранения избежать потенциальных атак. Unit 42 предоставляет больницам и системам здравоохранения соответствующие инструкции, чтобы команды могли быстро отреагировать в случае возникновения компромисса. Руководители здравоохранения также обращаются к подразделению 42 для проведения кабинетных учений, имитирующих кибератаку. Это позволяет командам применять меры по исправлению ситуации.
Прогресс в «новой нормальности»
В современном мире кибератаки являются печальной реальностью. Вопрос не в том, произойдет ли кибератака, а в том, когда она произойдет и подготовлена ли организация должным образом. Palo Alto Networks работает со многими организациями здравоохранения в США, чтобы гарантировать, что они хорошо подготовлены к отражению неизбежных кибератак и минимизации их последствий.
«Надежная кибербезопасность помогает больницам и системам здравоохранения выполнять свою миссию», — сказал г-н Гарднер. «Доверие к организациям и специалистам, оказывающим помощь, имеет важное значение, поэтому защита доверенных им данных пациентов имеет первостепенное значение для всех систем здравоохранения и лиц, осуществляющих уход. Ваши ИТ-команды и руководители высшего звена будут лучше спать по ночам, зная, что они провели комплексную проверку в области кибербезопасности».
Чтобы узнать больше о кибербезопасности в распределенных медицинских учреждениях, прочитайте тематическое исследование компании Palo Alto Networks по системе здравоохранения BayCare в Клируотере, штат Флорида, и их рекомендации по защите более 33 000 устройств в 160 филиалах компании, включая 15 больниц, в которых работают 25 600 сотрудников.
2023-08-22 19:12:59
1692774968
#Руководство #для #высшего #руководства #по #балансированию #расширенного #доступа #пациентам #повышенного #риска
