به ویژه سال گذشته ، حوادث مختلف امنیتی در بخش مراقبت های بهداشتی توجه رسانه ها را به خود جلب کرد. به عنوان مثال ، ما در اکتبر سال 2019 ارتباطات دیجیتالی ایمن را در مراقبت های بهداشتی گزارش دادیم. WannaCry در سال 2017 غوغا بود ، مطالعات نشان می دهد رمزگذاری ضعیف در سیستم مراقبت های بهداشتی و هک شدن باعث شده است که بیمارستان ها متوقف شوند. آژانس امنیت سایبری اروپا (Enisa) نگرانی هایی دارد: تنها در سال 2019 ، دو سوم سازمان ها در بخش مراقبت های بهداشتی دچار حوادث امنیت سایبری شدند. اینها شامل حملات هکرها با استفاده از باج افزارهایی مانند Emotet و نقض اطلاعات است. Trojan همچنین مؤسسات آلمانی مانند کلینیک Fürth را گرفتار کرد. همانطور که مشاهده می کنید ، امنیت سایبری در بیمارستان مطلوب بسیاری را می گذارد.
Enisa دستورالعمل های بیمارستان را در 24 فوریه 2020 منتشر کرد. یک آژانس اتحادیه اروپا متقاعد شده است که امنیت سایبری در حال تبدیل شدن به یک موضوع مهم و مهم در بیمارستان ها است. امنیت فناوری اطلاعات باید با فرآیندهای مختلف ، مؤلفه ها و مراحل مختلف کاملاً یکپارچه شود.
ضمیمه دستورالعمل های KRITIS برای بیمارستان ها
دستورالعمل منتشر شده توسط Enisa تکمیل دستورالعمل های قبلی KRITIS. مقامات مسئول تجهیزات بیمارستان ، بلکه برای CISO / CIO ، باید یک ابزار جامع با این راهنما و همچنین بهترین روش ها دریافت کنند. دستورالعمل ها به گونه ای طراحی شده اند که بیمارستان ها بتوانند آنها را با روند تهیه شخصی تطبیق دهند. هدف این است که بیمارستانها با تمام ابزارها برای دستیابی به اهداف امنیت سایبری در بیمارستانها تجهیز شوند. علاوه بر استانداردهای رایج در صنعت ، دستورالعمل ها رویه ها و توصیه هایی را ارائه می دهند که به امنیت سایبری در بیمارستان ها خدمت می کنند.
دستورالعمل های Enisa: سه مرحله برای امنیت سایبری بیشتر در بیمارستان ها.
دستورالعمل های Enisa به سه مرحله تقسیم می شوند که مربوط به امنیت سایبری در بیمارستان ها هستند. ده نوع سفارش ارائه شده است ، از جمله دارایی ها ، محصولات ، خدمات و غیره. این سه مرحله عبارتند از:
مرحله برنامه ریزی
در مرحله برنامه ریزی ، تجزیه و تحلیل نیازهای بیمارستانی برنامه ریزی شده است و همچنین نیازهای داخلی بخش جمع آوری می شود. به عنوان مثال ، سفارش سرویس ابری جدید را در نظر بگیرید: CTO نه تنها نیازها را شناسایی می کند بلکه مزایای این سرویس را نیز می فهمد و انتقال می دهد. این مراحل متعلق به مرحله برنامه ریزی است:
- انجام ارزیابی ریسک
- الزامات پیش از برنامه ریزی
- شناسایی خطرات
- تقسیم شبکه
- طراحی ضوابط واجد شرایط بودن برای تأمین کنندگان
- اختصاصی RfP (استعلام ؛ درخواست )) ایجاد برای Cloud
مرحله تهیه
در مرحله تهیه ، الزامات موجود به مشخصات فنی ترجمه می شود. تهیه منابع می تواند به عنوان مثال با انتشار پیشنهاد مربوطه از طریق دفتر تهیه آغاز شود. پس از دریافت پیشنهادهای مربوطه ، آنها توسط کمیسیون (از جمله CTO / CISO یا اعضای تیم IT) ارزیابی می شوند و مناسب ترین محصولات در لیست کوتاه قرار دارند. مذاکره با پیمانکاران پس از واگذاری کل قرارداد به شرکت انجام می شود. سپس زمان آن فرا رسیده است:
- توصیه ها یا بازنویسی گواهینامه ها
- ارزیابی ارزیابی اثرات حفاظت از داده ها را انجام دهید (DPIA) و مراقبت از سیستم های قدیمی تر
- ارائه آموزش امنیت سایبری در بیمارستان ها
- تهیه برنامه های پاسخ به حوادث
- تامین کنندگان را در این برنامه ها و مدیریت حوادث عمومی قرار دهید
- سازماندهی کار تعمیر و نگهداری
- دسترسی از راه دور ایمن
- نیاز به وصله
مرحله اداری
در مرحله اداری بعدی ، قراردادها به صاحب مشاغل بیمارستانی اختصاص می یابد – از جمله مدیریت و نظارت شرایط. علاوه بر نهایی شدن مناقصه ، افسر همچنین مسئول بازخورد کاربر در مورد عملکرد واقعی تجهیزات / سیستم / خدمات است. اقدامات لازم: افزایش آگاهی از امنیت سایبری در بیمارستان ها
زمان آن رسیده است که امنیت سایبری در بیمارستان ها به روز شود
رهنمودهای مرتبط Enisa در ابتدا شالوده خوبی برای امنیت سایبری در بیمارستان ها فراهم می کند و نشان می دهد که حفاظت از فناوری اطلاعات در این منطقه بسیار حساس چقدر اهمیت دارد. پس از طبقه بندی فرآیندهای تهیه ، راهنما الزامات امنیت سایبری مرتبط با هر مرحله را تعریف می کند. به لطف پیشنهاداتی که نشان می دهد تأمین کنندگان چگونه می توانند الزامات را برآورده کنند ، کل فرایند بسیار ساده شده است.
Enisa هرگز خستگی ناپذیر را یادآوری نمی کند که افراد مسئول در مورد داده های بهداشتی تحت GDPR قابل اجرا هستند. بیمارستان ها برای درک خطرات باید ارزیابی تأثیر حفاظت از داده ها را انجام دهند. هرگونه نقض امنیتی باید ظرف 72 ساعت به مقامات مربوط به حفاظت از داده ها گزارش شود. یک نهاد اتحادیه اروپا از مسئولان نه تنها می خواهد که یک نقشه احتمالی را برای حملات سایبری تهیه کنند ، بلکه باید آن را نیز آزمایش کنند. این طرح اضطراری باید محصولات و سیستم های تازه سفارش یافته را پوشش دهد ، بنابراین باید مرتبا مورد بازبینی و به روزرسانی قرار گیرد.
حوزه بیمارستانهای دولتی و خصوصی با درجه بالایی از استاندارد سازی از یک طرف مشخص می شود. از طرف دیگر ، با این حال ، به دلیل سطح بالای ریسک امنیتی داده ها. دستورالعمل های Enisa هر دو عنصر را در نظر می گیرند – "دستورالعمل های تأمین امنیت سایبری در بیمارستان ها" ابزاری با ارزش است که بهینه سازی منظم را امکان پذیر می کند و امنیت داده ها را تضمین می کند. با شروع مراحل تهیه ، دستورالعمل ها می توانند دستورالعمل KRITIS را برای بهینه سازی امنیت داده های سلامت در طول چرخه عمر سیستم های IT مورد استفاده ، تکمیل کنند.
