Sağlık hizmeti kılavuzları, cihaz riski iletişimini ve içeriden öğrenilenleri, VPN güvenliğini ele alır
Geçen hafta, Gıda ve İlaç İdaresi, Siber Güvenlik ve Altyapı Güvenliği Ajansı ve Sağlık Sektörü Siber Güvenlik Koordinasyon Merkezi, sağlık sektörünün karşı karşıya olduğu önemli zorluklar hakkında üç ayrı görüş yayınladı: tıbbi cihaz risklerini hastalara iletmek, içeriden gelen tehditleri güvence altına almak ve sertleşme. sanal özel ağlar üzerinden uzaktan erişim.
HC3 uyarısı yaygın telesağlık teletıp, hasta erişimi ve diğer uygulamalar için kullanılan VPN erişim noktalarını, sertleşme üzerine CISA rehberlik sağlar. Ayrıca, CISA kısa süre önce kamu ve özel sektör kuruluşlarının kurum içindeki içeriden tehdit risklerini değerlendirmeleri için yeni bir araç tanıttı .
Son olarak, Gıda ve İlaç İdaresi’nin yeni kılavuzu , halk sağlığını etkileyebilecek siber güvenlik olayları da dahil olmak üzere, bağlantılı tıbbi cihaz güvenlik risklerinin hastalara ve bakıcılara nasıl açıklanacağı konusunda sağlık hizmeti sunan kuruluşları desteklemeyi amaçlıyor.
Birçok küçük ve orta ölçekli sağlayıcı bu alanlarda mücadele etmeye devam ederken, ücretsiz kaynaklar bu risklere ışık tutabilir ve en iyi uygulama önlemlerinin genel siber duruşu iyileştirmesi gerekir.
FDA, tıbbi cihaz risklerini hastalara iletme konusundaki görüşlerini paylaşıyor
Sağlık hizmetlerindeki en büyük, çözülmemiş sorunlardan biri tıbbi cihaz güvenliğidir. Sağlayıcılar, etkili yama yönetimi uygulamalarıyla ve eski cihazlara aşırı güvenmekle uğraşırken, bağımsız cihazlar yoktur. Devam eden COVID-19 salgını bu riskleri daha da artırdı.
Yeni FDA içgörüleri, bu çabaları daha da desteklemek için tasarlandı ve birleştirilmiş endüstri paydaş geri bildirimi ile daha önceki bir taslaktan güncellendi. FDA, iletişim stratejilerini geliştirmede endüstri paydaşlarını ve federal ortakları hedef alan kılavuzu açıkladı.
Kılavuza göre, “Açık, eyleme geçirilebilir iletişim, halk sağlığının korunmasına ve desteklenmesine yardımcı olmanın ve tıbbi cihazlarına bağımlı olan hastaların bilgilendirilmelerini ve korunmalarını sağlamaya yardımcı olmanın bir yoludur”.
“Güvenlik iletişimlerini geliştirirken, habercinin, hedef kitlenin iletilen mesajları alma ve anlama ihtiyacına uygun olarak karmaşık mesajları açık ve sade bir dille iletmesi gerekiyor” diye ekliyor. “Çeşitli izleyiciler için zamanlılık, alaka düzeyi, basitlik ve okunabilirlik gibi çeşitli faktörler, hastaların ve bakıcıların okuması ve anlaması için anahtardır.”
İçgörüler, yorumlanabilirliği, riskleri ve faydaları, bilinmeyen riskleri ele almayı, bilginin kullanılabilirliğini ve keşfini, iletişim materyallerinde bir arızayı ve sosyal yardım araçlarını içeren temel unsurlara bölünmüştür. 2019 Hasta Katılımı Danışma Komitesi (PEAC) toplantısında, bunların güvenlik iletişiminin en önemli unsurları olduğu kabul edildi.
Sağlayıcılar, bu unsurları daha iyi anlamak için rehberlikten ve zamanında, ilgili, basit iletişim stratejilerinin öneminden yararlanabilir.
FDA, riskleri ve faydaları iletenlerin, belirli konularda harekete geçip geçmeme konusunda hastaları desteklemek için yeterli bilgiyi içeren dengeli bir mesaj iletmesinin önemli olduğu konusunda uyarıyor.
Bu bilgiler, çevrimiçi aramalarda iletişimin kolayca bulunmasını sağlamak için hastalar için kolayca erişilebilir olmalıdır. Bunu başarmak için kuruluşlar, en iyi uygulama arama motoru optimizasyonu (SEO) taktiklerini kullanmalı ve hastalar iletişim başlığında güvenlik açığını ve tıbbi cihaz adını görmeyi tercih etmelidir.
İçeriden güvenlik açıklarını değerlendirme
Raporun başlangıcından bu yana neredeyse her yıl, yıllık Verizon Veri İhlali Soruşturma Raporunda, içeriden öğrenenler sürekli olarak sağlık sektörü için en büyük risk olarak adlandırılıyor. 2018 raporu, içeriden öğrenenlerle ilgili veri ihlallerini durdurma konusunda sağlık hizmetlerinin en kötü sektör olduğunu buldu.
CISA İçeriden Riski Azaltma Özdeğerlendirme aracı amaçları kuruluşlar da önleme ve hafifletme programları için gerekli adımları bilgilendirecektir birkaç soru, cevap vererek işletme genelinde içeriden riski potansiyelini analiz etmek izin vermek.
CISA Altyapı Güvenliği Yönetici Yardımcısı David Mussington, “CISA, tüm ortaklarımızı, özellikle sınırlı kaynaklara sahip olabilecek küçük ve orta ölçekli işletmeleri, bu yeni aracı içeriden gelen tehditlere karşı korunmak için bir plan geliştirmek için kullanmaya çağırıyor” dedi. “Bugün bazı küçük adımlar atmak, gelecekte içeriden gelebilecek bir tehdidin sonuçlarını önlemede veya hafifletmede büyük bir fark yaratabilir.”
VPN erişimini sağlamlaştırma
Geçen yıl sağlık hizmetleri, pandemi boyunca hasta bakımını desteklemek için telesağlık ve uzaktan teknolojilerin kullanımını hızla genişletti. Daha önce belirtildiği gibi, bu platformların kapsamı, istemeden devam eden sağlık risklerine eklendi. VPN’ler genellikle sağlık hizmetlerinde erişim için kullanılır, ancak aynı zamanda belirli güvenlik ihtiyaçları gerektiren doğal riskleri de beraberinde getirir.
HC3’e göre, “Uzlaşma, sağlık hizmetlerinin kesintiye uğramasına ve araştırmayla ilgili fikri mülkiyetin yanı sıra korunan çalışan ve hasta bilgileri de dahil olmak üzere hassas sağlık bilgilerinin sızdırılmasına, korunan sağlık bilgilerinin sızmasına ve potansiyel bir HIPAA ihlaline yol açabilir”. Alarm.
HC3, tüm sağlık hizmeti kuruluşlarını, risk yönetimi stratejilerini desteklemek için gerekli adımları atmak için VPN endişelerini ve en iyi uygulamaları ayrıntılandıran CISA ve NSA bilgi sayfasını incelemeye çağırıyor.
CISA-NSA anlayışlar saygın satıcılardan VPN seçerek ve saldırı yüzeyini azaltarak VPN bağlantılarını güçlendirmek için en iyi uygulamaları içerir. Ayrıca, aktif istismar altındaki güvenlik açıkları ve VPN trafiğini koruma ve izleme adımları hakkında bir bölüm de bulunmaktadır.
Metnin aslına ulaşmak için: