Kasalxonangizda xavfsizlik madaniyatini yaratish

Bu haqiqat: Ma'lumotlar buzilishining 80% dan ortig'i odamga tegishli qandaydir tarzda. Bu kimningdir hisob ma'lumotlarini so'rash uchun mo'ljallangan nayza-fishing kampaniyasiga tushib qolishi, zararli havolani bosishi yoki yomon aktyorlar uchun xavfsizlik zaifligini ochiq qoldiradigan oddiy xatoni o'z ichiga olishi mumkin. Tashkilotingizda xavfsizlik madaniyatini yaratish operatsiyalardan tortib parvarishlashgacha bo'lgan hamma narsada xavfsizlikni birinchi o'ringa qo'yadi.

AT infratuzilmasi xavfsizligini nazorat qilish va qo'llab-quvvatlash kasalxonalar va sog'liqni saqlash tizimlarida ko'pincha ortiqcha ta'kidlanadi, xavfni kamaytirishning insoniy tomoni esa ko'pincha kam ta'kidlanadi. Va API, dasturiy ta'minot va texnologik uskunadan farqli o'laroq, xodimlarga yamoq qo'yib bo'lmaydi; ularni qayta sozlash mumkin emas; va xatoga yo'l qo'ygandan keyin ularni qayta tiklab bo'lmaydi.

Javob - bu sizning shifoxonangiz yoki sog'liqni saqlash tizimingizda xavfsizlik madaniyatini yaratishga yordam beradigan trening, doimiy trening. Ammo juda ko'p raqobatbardosh o'quv dasturlari bilan - HIPAA va qoidalarga muvofiqlikdan tortib qo'l yuvish va ish uchun maxsus treninggacha - shovqinni engib o'tish va tortishish qiyin. Ammo buzilishdan keyin sog'liqni saqlash tashkiloti uchun o'rtacha tiklanish qiymati sifatida endi 2022 yilda 10 million dollardan oshib ketdi2020 yilga nisbatan 40% ga o'sdi, aniq chora ko'rish vaqti keldi.

Agar shifokor, hamshira yoki boshqa shifoxona xodimi koridorda shubhali paketni ko'rsa, ular tegishli choralar ko'radigan jismoniy xavfsizlik bo'limiga xabar berishlari mumkin. Ammo shubhali elektron pochta haqida nima deyish mumkin? Ba'zi IT bo'limlari buni bilishni xohlamaydilar, chunki bu ular uchun ko'proq ishdir. Lekin hech qanday chora ko‘rmasdan o‘chirib tashlangan har bir potentsial zarar etkazuvchi xat uchun yana minglab xatlar kutilishi mumkin.

Xavfsizlik bo'yicha yetuk va mustahkam xabardorlik dasturini yaratishning kaliti rahbariyat tomonidan qo'llab-quvvatlashdan boshlanadi, so'ngra xavfsizlik xabarini mustahkamlash uchun doimiy treningdan iborat. Turli sohalarda ba'zi kompaniyalar xavfsizlik bo'yicha xabardorlik uchun alohida pozitsiyaga ega yoki mavjud IT xodimiga xavfsizlik bo'yicha mutaxassis sifatida qo'shimcha vazifalarni yuklaydi. Sog'liqni saqlash sohasida IT xodimlarining etishmasligi davom etayotganligi sababli, buning iloji bo'lmasligi mumkin, shuning uchun sog'liqni saqlashning o'ziga xos xususiyatini yaxshi biladigan sotuvchiga xavfsizlik bo'yicha xabardorlik va o'qitishni autsorsing qilishni ko'rib chiqing.

Ba'zi sog'liqni saqlash tashkilotlari bu etarli bo'lishiga umid qilib, o'z xodimlarini rioya qilishga minimal darajada o'rgatmoqda. Ammo yiliga bir marta o'tkaziladigan minimal treninglar doimiy ravishda rivojlanib borayotgan kibertahdidlarning dinamik tabiatini bartaraf eta olmaydi. Tashkilotlar muayyan tahdidlarga javoban o'zlarining xavfsizlik pozitsiyalarini kuchaytirar ekan, kompaniyalar bilmagan bo'lishi mumkin bo'lgan yangi tahdidlar paydo bo'ladi.

Yaqinda paydo bo'lgan ikkita tahdid:

1. O'tgan avgust, FQB sog'liqni saqlash tashkilotlarini ogohlantirdi firibgarlar huquq-tartibot idoralari yoki davlat xodimlari nomini o‘z zimmasiga oladigan, pul undirish yoki shaxsni aniqlash ma’lumotlarini o‘g‘irlash maqsadida aniq shaxslarga qaratilgan firibgarlik sxemasi haqida. Firibgarlar haqiqiy telefon raqamlarini aldaydilar va haqiqiy xavfsizlik xodimlarining ismlaridan foydalanadilar, maqsadlilarga ular sud kunini o'tkazib yuborganliklari va jarimaga tortilishlari yoki ularga rioya qilmasalar, hibsga olinishi haqida xabar berishadi.
   
2. Keyingi oy, yangi, murakkab fishing hujumi aniqlandi, foydalanuvchini aldash uchun bir nechta soxta elektron pochta akkauntlaridan foydalanib, o'zini hamkasblari o'rtasidagi suhbatning bir qismi ekanligiga ishontirish. Ko'p shaxsga taqlid qilish deb ataladigan, zararli havola yuborilishidan oldin maqsadni suhbatning haqiqiyligiga ishontirish uchun bir nechta o'zaro ta'sirlar amalga oshiriladi. Hackerlar ma'lumotni o'g'irlash uchun qancha vaqt ketishini ta'kidlab, "tiklash" jarayoni bir necha hafta davom etishi mumkin.

The SANS instituti, kiberxavfsizlik boʻyicha treninglar, sertifikatlar va resurslar boʻyicha yetakchi organ oylik trening oʻtkazishni tavsiya qiladi: “Oʻz ishchi kuchini har yili yoki maxsus asosda jalb qiladigan va oʻqiydigan tashkilotlar xatti-harakatini samarali oʻzgartira olmaydi va shu sababli muvofiqlik darajasida qolib, katakchani belgilab qoʻyadi. ”. Axborot xavfsizligi tashkiloti xodimlarga kiberxavfsizlikning muhimligini tushunishga yordam berish uchun “qiziqarli va ijobiy muloqotda bo‘ladigan, xulq-atvorni o‘zgartirishni rag‘batlantiradigan” oylik treningni tavsiya qiladi, shunda ular hodisalarni faol ravishda tan oladilar, oldini oladilar va hisobot beradilar.

Trening haddan tashqari rasmiy bo'lishi shart emas. Eng samarali treninglardan ba'zilari xayoliy shifoxona xodimlarining HIPAA xavfsizligini ta'minlashda muvaffaqiyatsizlikka uchragani yoki rasmiy ko'rinishdagi nishonga ega bo'lganligi sababli kimdir ma'muriy hududlar bo'ylab ochiq yurishiga ruxsat bergani tasvirlangan kulgili videolarni o'z ichiga oladi. Ushbu turdagi trening stajyorlar bilan bog'lanib, yaxshiroq saqlashni taklif qiladi va "a-ha!" keyinchalik ular xuddi shunday vaziyatga duch kelgan payt.

Buni yanada qiziqarli qilish uchun siz ma'lum vaqt oralig'ida yuzaga kelishi mumkin bo'lgan xavfsizlik hodisasi haqida xabar berganlar o'rtasida sovrinlar o'yinini o'tkazishingiz mumkin. Kalit - bu sog'liqni saqlash tashkilotlari uchun zarur bo'lgan xavfsizlik madaniyatini yaratishga yordam beradigan doimiy o'quv barabanidir.

Treningga asoslanish uchun tashkilotingizning xavfsizlik guruhi tomonidan o'tkaziladigan fishing mashqlari trening samaradorligini baholashga yordam beradi. Firibgarliklarni aniqlash bilan kurashayotgan foydalanuvchilar qo'shimcha treningdan o'tishlari kerak. Fishing treningi murakkab va ta'sirchan bo'lishi uchun mo'ljallangan ta'lim dasturlari kabi maqsadli vositalarni talab qiladi, lekin xodimlar qo'rqmaydigan narsadir. Fishing ta'lim dasturi, shuningdek, soxta elektron pochta xabarlarini yaratish uchun IT vositalarini ham berishi mumkin va ba'zi sotuvchilar xodimlar yoki bo'lim tomonidan samaradorlikni aniqlash uchun asboblar paneli yoki boshqa ko'rsatkichlarni taqdim etadilar. Uchinchi tomon sotuvchilari tashkilotlar nomidan fishing kampaniyalarini ham o'tkazishlari mumkin.

Har bir xodimga chorakda kamida bir marta fishing qilish tavsiya etiladi. Ba'zi sog'liqni saqlash tashkilotlari cheklangan vaqt ichida barchani fishing bilan shug'ullanadi, bu esa IT xodimlari uchun qiyinchiliklar tug'dirishi mumkin. Har chorakda har bir xodimga phishing o'tkazadigan haftalik yoki ikki haftalik elektron pochta xabarlaridan iborat tomchilatib yuboriladigan elektron pochta kampaniyasini ko'rib chiqing.

Xavfsizlik madaniyatini yaratish shifoxonalar va sog'liqni saqlash tizimlari uchun juda muhim, shu jumladan tarmoq infratuzilmasining jismoniy xavfsizligi, tarmoq trafigini monitoring qilish va mustahkam dasturiy ta'minotni tuzatish dasturini qo'llab-quvvatlash. Qattiqlikni hisobga olgan holda IT ishchi kuchi muhiti va mavjud IT xodimlariga raqobatdosh talablar, boshqariladigan xavfsizlik xabardorligi va o'qitish dasturini autsorsing qilish mantiqiy bo'lishi mumkin.

Don Kelli haqida

Don Kelli virtual axborot xavfsizligi dasturining menejeri Sog'liqni saqlashning mustahkamlangan xavfsizligi, sog'liqni saqlashning kiberxavfsizlik bo'yicha hamkori bemor ma'lumotlarini himoya qiladi va sog'liqni saqlash tashkilotlari uchun xavfni kamaytiradi. Boshqariladigan xizmatlar va texnik xavfsizlik yechimlari orqali sog'liqni saqlash tashkilotlari bilan hamkorlik qilish orqali.