שירותי הבריאות פגיעים מאוד לאיומי אבטחה, בדיוק כמו כל תעשייה אחרת. כיום, התקפות סייבר בתחום הבריאות הן נפוצות מאוד ומובילות להרבה סיכונים, במיוחד לסיכוני אבטחה שיש לטפל בהם על ידי ארגוני בריאות.
אבטחת סייבר בתחום הבריאות כרוכה בהגנה על מידע ונכסים אלקטרוניים מפני גישה, שימוש וחשיפה בלתי מורשית. ישנן בעיקר שלוש מטרות של אבטחת סייבר: הגנה על סודיות, שלמות וזמינות המידע.
החשיבות של אבטחת סייבר בשירותי הבריאות
התאמת אבטחת הסייבר לבטיחות המטופל לא רק תסייע לארגון להגן על פרטיותם ובטיחותם של המטופלים, אלא גם תבטיח המשכיות באספקה יעילה של טיפול איכותי על ידי הפחתת ההפרעות שעלולות להשפיע לרעה על התוצאה הקלינית.
איומי שירותי בריאות סייבר
חשוב מאוד להיות מודעים לחלק מהאיומים שעלולים להזיק לעסקי הבריאות.
התקפה של איש-באמצע
הרעלת מטמון בפרוטוקול רזולוציית כתובת
תנועת רשת זדונית
זיוף HTTPS
כופר
דיוג
על מסגרת אבטחת סייבר של שירותי בריאות
מסגרת אבטחת הסייבר (CSF) היא מדריך המבוסס על הנחיות ושיטות עבודה קיימות. זה עוזר בהפחתת סיכון אבטחת הסייבר בשירותי הבריאות על ידי שמירה על תהליך הניהול. חוץ מזה, מתן גישה אדפטיבית ואפקטיבית, המסגרת מציעה למנהלים גם ניהול נתונים חשובים וחיזוי איומי אבטחת סייבר.
באופן כללי, מסגרות הן מפות הדרכים החשובות לאבטחת מערכות ה-IT.
ישנם בעיקר שלושה מרכיבים של כל CSF:
פרופילים - זה בעצם הסדר של הנחות, יעדים ונכסים של ארגון מול תוצאת הליבה של המסגרת. הם מיישרים את סדר העדיפויות של התמיכה, הסטנדרטים והנהלים בתעשייה והמדידה בהתאם לדרישות העסקיות.
ליבת מסגרת - היא מאפשרת תקשורת של כל סוגי סיכוני אבטחת הסייבר ברחבי הארגון.
שכבות יישום - זה עוזר למצוא את רמת היסודיות הנכונה עבור תוכנית אבטחה.
מטרות עיקריות של מסגרת אבטחת הסייבר של שירותי הבריאות
שיפור ללא הפסקה
תיאור תנוחת האבטחה של המטרה
תיאור המצב הביטחוני הנוכחי
הערכת ההתקדמות לקראת תנוחת המטרה
סיכון הקשור לתקשורת
דרישות תאימות עיקריות של אבטחת סייבר בתחום הבריאות
חשוב שפתרונות הבריאות יעמדו בדרישות שנקבעו על ידי הרגולטורים הלאומיים. חלק מדרישות התאימות העיקריות הן:
HIPPA
CCPA
GDPR
פיפדה
HITECH
מדוע מסגרת אבטחת סייבר בתחום הבריאות
תמיד היה צורך באבטחת מידע ופרטיות במגזר הבריאות. לכן חשוב לאבטח נתונים רגישים בתוך ארגון.
ישנן מספר סיבות לפרצת האבטחה אך טעות אנוש תורמת ביותר. עובדי שירותי בריאות עלולים לעשות שימוש לרעה בגישה שלהם למערכת הפנימית ולמידע המאוחסן בה. מסגרת אבטחת סייבר עוזרת לפתור את העניינים הללו על ידי זיהוי, זיהוי, תגובה, הגנה והתאוששות מההשפעות של איומי אבטחה והשלכותיהם. זוהי קבוצה של קווים מנחים של שיטות עבודה מומלצות של אבטחת IT שסקטור שירותי הבריאות ימלא אחריהם.
מסגרת אבטחת סייבר עוזרת לבעלי העניין להבין ולנהל את אבטחת הסייבר של שירותי הבריאות יחד כצוות. זה עוזר לארגוני שירותי בריאות להתאים את המדיניות העסקית והטכנולוגית, זה מביא לניהול טוב יותר של סיכוני אבטחה ברחבי הארגון.
יישום מסגרת אבטחת סייבר בשירותי הבריאות
תעדוף - אבטחת סייבר בתחום הבריאות מתחילה בהגדרת סדרי העדיפויות של הארגון. לשם כך ישנה דרישה לקבל החלטות אסטרטגיות בנוגע לאיומי אבטחה ומציאת המערכות והכלים התומכים בתהליך הנבחר.
מסגרת אבטחת הסייבר מתחילה בפיתוח אסטרטגיה להערכה, מסגור, ניטור ותגובה לסיכונים.
זיהוי גישות הניהול - הארגון הכרחי להבין אילו משאבים יש להם כמו כלים, אנשי נתונים וטכנולוגיות. הם גם צריכים לזהות את הגישה הרגולטורית המתאימה, לחפש מקורות סמכותיים כמו אמצעים ושיטות, הנחיות לניהול סיכונים, תקני אבטחה וכו'.
שנית, עליהם לחשב את גישת הסיכון הכוללת ולהגדיר נקודות תורפה שיכולות להיות לכלים ולמערכות שלהם.
התמקדות בפרופיל יעד - על הארגונים להגדיר שכבת-על כדי למנוע איומים והפרות אבטחה ייחודיות. ייתכן שהם גם פיתחו את הקטגוריות ותתי הקטגוריות שלהם עבור איומי האבטחה הייחודיים.
על הארגונים להגדיר פרופילי יעד עבור הקטגוריה ותת הקטגוריה של התוצאות שעליהן הם עובדים.
הערכת סיכון - המטרה העיקרית כאן היא להעריך את רמת הסיכון למערכת המידע. על ארגון הבריאות לנתח את האפשרות של פרצת אבטחה והשלכותיה. חשוב גם לחפש סיכונים מתעוררים כמו גם איומים ופגיעות כדי להבין טוב יותר את התוצאה.
יצירת פרופיל נוכחי - ארגוני שירותי בריאות צריכים לבצע הערכת סיכונים מפורטת ולהגדיר את מצבם הנוכחי. חשוב שהארגון יבין בבירור את סיכוני אבטחת הסייבר הנוכחיים של שירותי הבריאות. לכן חשוב לזהות ולתעד נכון את כל האיומים והפגיעויות.
לנתח, לקבוע ולתעדף את הפערים - לאחר הכרת הסיכונים וההשפעות שלהם, ארגון הבריאות צריך לעבור לניתוח פערים. המטרה העיקרית היא להשוות את הציונים בפועל עם אלו של היעד. עם גישה זו, קל יותר להדגיש את התחומים שבהם יש להתמקד.
ערכו את תוכנית הפעולה - לאחר קבלת תמונה ברורה של נושאי אבטחת סייבר בבריאות, יעדי יעד, אמצעי הגנה וניתוח פערים יסודי יחד עם רשימת הפעולות הנדרשות, ארגוני הבריאות מתחילים ליישם את המסגרת.
כיצד לשפר את אבטחת הסייבר בשירותי הבריאות
זה לא מספיק להשתמש רק במסגרת האבטחה כדי לשמור על בטיחות עסקי הבריאות. ניתן ליישם שלבים מסוימים כאמצעי מניעה לביסוס הגנה מרבית מפני איומי סייבר: חינוך צוות, בקרת שימוש בנתונים, יומן וניטור שימוש, יישום זכויות הערכה קפדניות, הצפנת נתונים, הפחתת הסיכון של מכשירים מחוברים וגיבוי נתונים.
הודות ל:
גוראב פראטפ
בלוגים קשורים
