HHS предлагает системам здравоохранения цели по повышению кибербезопасности

По данным Службы здравоохранения и социального обеспечения США, добровольные цели по повышению эффективности кибербезопасности могут помочь организациям здравоохранения создать многоуровневую защиту и адаптироваться к ней. Следующие шаги агентства включают разработку инвестиций и стимулов для организаций здравоохранения для реализации целей и стандартов обеспечения соблюдения.

ПОЧЕМУ ЭТО ВАЖНО

HHS опубликовало CPG чтобы помочь организациям здравоохранения расставить приоритеты по внедрению высокоэффективных методов кибербезопасности.

Состоящие из основных и расширенных целей, они соответствуют практикам кибербезопасности в отрасли здравоохранения Рабочей группы по кибербезопасности Рабочей группы по кибербезопасности Координационного совета по программам и сектору здравоохранения HHS 405(d), а также основам кибербезопасности NIST и Национальной стратегии кибербезопасности Агентства по кибербезопасности и безопасности инфраструктуры.

Издание HICP 2023 года, разработанное Целевой группой HHS по кибербезопасности. выпущен в апреле наряду с анализом ландшафта киберустойчивости больниц и образовательной платформой, включает в себя наиболее актуальные и экономически эффективные способы обеспечения безопасности пациентов и смягчения угроз кибербезопасности.

По словам Тай Гринхала, посла HHS 405(d) и директора отрасли здравоохранения в Claroty, компании по кибербезопасности, в преддверии CPG отраслевые группы обсуждали, какие из них должны попасть в «необходимую корзину», поскольку поставщики медицинских услуг получат финансирование для их соблюдения. фирме, обслуживающей здравоохранение и другие отрасли, в электронном письме, отправленном на адрес Новости ИТ в сфере здравоохранения после того, как CPG были опубликованы в среду.

HHS сообщило в своем концептуальный документ В прошлом месяце было опубликовано сообщение о том, что основные цели устанавливают «минимальный уровень мер безопасности», который позволит лучше защитить организации здравоохранения от кибератак, улучшить реагирование на инциденты и минимизировать риски, а расширенные цели могут помочь организациям здравоохранения усовершенствовать свои возможности в области кибербезопасности.

Затем агентство будет «работать с Конгрессом, чтобы получить новые полномочия и финансирование для управления финансовой поддержкой и стимулами для отечественных больниц для внедрения высокоэффективных методов кибербезопасности», говорится в сообщении.

HHS отметило, что оно предусматривает авансовые инвестиции, чтобы помочь остро нуждающимся поставщикам медицинских услуг, таким как больницы с ограниченными ресурсами, покрыть расходы, связанные с внедрением основных CPG, и программу стимулирования, чтобы побудить все больницы инвестировать в улучшенные цели.

БОЛЬШОЙ ТРЕНД

В октябре, CISA, HHS и HSCC выпустили набор инструментов по кибербезопасности в сфере здравоохранения в рамках усилий по устранению пробелов в ресурсах и кибервозможностях. Они рекомендуют анализ рисков в масштабах всего предприятия и ряд передовых методов, включая сканирование уязвимостей всех систем и устройств, чтобы снизить риски распространенных кибератак.

Расширенные цели в новых добровольных CPG, которые включают разработку инвентаризации активов, считаются основополагающими для киберзащиты здравоохранения. По данным CISA, инвентаризация активов является первым шагом по смягчению последствий.

«Знание того, какие активы находятся в сети вашей организации, имеет основополагающее значение для кибербезопасности: «вы не можете защитить то, чего не видите», — говорится в отчете CISA. Руководство по смягчению последствий по борьбе с широко распространенными киберугрозами, затрагивающими сектор здравоохранения и общественного здравоохранения, агентство опубликовало в ноябре.

Фрэнк Синатра, директор по информационной безопасности Университетской больницы Ньюарка, сказал, что каждый год он использовал несколько оценок рисков, включая HICP. Он процитировал много преимуществ соблюдения HICP, включая улучшение планирования непрерывности бизнеса. Но «это всегда вопрос расстановки приоритетов и того, куда вы собираетесь направить свои ресурсы», — поделился он на HIMSSTV в мае.

ПОД ЗАПИСЬ

«Мы несем ответственность за то, чтобы помочь нашей системе здравоохранения противостоять киберугрозам, адаптироваться к меняющемуся ландшафту угроз и построить более устойчивый сектор», — заявила заместитель министра здравоохранения Андреа Палм в своем заявлении.

«Обнародование этих целей в области кибербезопасности является шагом вперед для сектора, поскольку мы стремимся предложить новые обязательные стандарты кибербезопасности для политик и программ HHS, основанных на этих CPG».

Андреа Фокс — старший редактор журнала Healthcare IT News.
Электронная почта: [email protected]
Healthcare IT News — издание HIMSS Media.