آیا مقررات امنیت سایبری Hochul برای آینده مراقبت های بهداشتی نیویورک کافی است؟

از


4 ژانویه
2024

آیا مقررات امنیت سایبری Hochul برای آینده مراقبت های بهداشتی نیویورک کافی است؟

تاد مور

توسط تاد مور، معاون محصولات امنیت داده، تالس.

در 13 نوامبر 2023، کتی هوچول، فرماندار نیویورک مجموعه جدیدی از قوانین امنیت سایبری را برای بیمارستان های دولتی پیشنهاد کرد. این شامل دستوری است که بیمارستان‌ها باید برنامه‌ها و طرح‌های واکنش خود را توسعه دهند و افسران ارشد امنیت اطلاعات (CISOs) را منصوب کنند. این مقررات بخشی از یک استراتژی سایبری در سراسر ایالت است که هوچول در ماه آگوست برای بهبود انعطاف پذیری سایبری با ادامه افزایش حملات راه اندازی کرد.

این استراتژی بر اساس سه اصل اصلی ساخته شده است: آمادگی، انعطاف پذیری و یکپارچگی. همچنین این اولین نقشه راه نیویورک برای کاهش تهدیدات و حملات سایبری است و راه طولانی برای مبارزه با حملات فزاینده فیشینگ و باج افزار در سراسر ایالت در پیش دارد.

آیا مقررات در حد وظیفه است؟ بیا یک نگاهی بیندازیم.

آمادگی

مقابله با چندین تهدید امنیت سایبری در سال‌های اخیر ممکن است ظرفیت مراقبت‌های بهداشتی برای دفاع از خود را کاهش داده باشد. اما این صنعت هنوز هم آسیب پذیرتر از سایرین است. بر اساس گزارش تالس 2023 بهداشت و درمان و علوم زندگی (HLS)، 71 درصد از سازمان های مراقبت های بهداشتی به افزایش حملات باج افزار در سال جاری اشاره کرده اند که در مقایسه با سایر صنایع با 49 درصد بسیار بیشتر است. فراوانی بالاتر عمدتاً به دلیل داده های شخصی گسترده ای است که آنها ذخیره می کنند (سوابق پزشکی، PII، و غیره) که معدن طلایی برای سرقت هویت است.

بر اساس پیشنهاد هوچول، آمادگی شامل ارائه مشاوره و راهنمایی برای اطمینان از اینکه نیویورکی ها قدرت دارند تا مسئولیت امنیت سایبری خود را بر عهده بگیرند، خواهد بود. مراکز مراقبت های بهداشتی باید برنامه های سایبری خود و طرح های واکنش به حوادث را با خط مشی ها، رویه های مکتوب و آزمون های ارزیابی ریسک و پاسخ به طور منظم ایجاد کنند.

از یک نگاه، این امکانات پایه خوبی برای ایجاد استراتژی‌های امنیت سایبری خود، به‌ویژه برای افرادی که با فناوری کمتر آشنا هستند، فراهم می‌کند. اما در حالی که مقررات نقطه شروع خوبی هستند و ممکن است به طور گسترده توسعه یابند، در حال حاضر ما فقط به اهداف سطح بالا دست یافته ایم. هیچ جهت روشنی برای مدیریت منابع حیاتی در حال استفاده، مانند ابر، وجود ندارد، که می‌تواند تلاش‌های هوچول برای تقویت انعطاف‌پذیری و اتحاد را تضعیف کند.

تاب آوری

ما در یک واقعیت چند ابری زندگی می کنیم. تقریباً 90٪ از پاسخ دهندگان مراقبت های بهداشتی دو یا چند ارائه دهنده ابر را برای مدیریت بهتر داده ها مستقر می کنند. در طول سال گذشته، امنیت داده ها در فضای ابری به طور فزاینده ای پیچیده شده است (از 44٪ به 55٪). متأسفانه، این باعث می شود که منابع ابری به یک هدف اصلی برای مهاجمان، به ویژه برای مراقبت های بهداشتی (78٪) نسبت به سایر صنایع (67٪) تبدیل شود.

بر اساس اصل انعطاف‌پذیری، فرماندار نیویورک دامنه مقررات امنیت سایبری، حداقل استانداردهای امنیتی، الزامات و توصیه‌ها را گسترش خواهد داد تا از زیرساخت‌های حیاتی نیویورک بهتر محافظت شود.

همه چیز خوب و خوب است، به جز اهداف، توضیح کمی در مورد آنچه که “زیرساخت های بحرانی دولت” را تشکیل می دهد، ارائه می دهد. آیا ابر در این دسته قرار می گیرد؟ تا چه حد؟ اگر فقدان شفافیت ادامه یابد، عواقب شدیدی در پی خواهد داشت که حداقل «تغییر» صرفاً «تغییر» برای همسویی با مقررات سایبری ایالتی را برای مراکز درمانی دشوار می‌کند و داده‌ها را در برابر حمله آسیب‌پذیر می‌سازد.

از طرف دیگر، ستون های استراتژیک هوچول استعداد و رهبری را به حساب می آورند. به گفته پاسخ دهندگان مراقبت های بهداشتی، خطای انسانی (76٪) علت اصلی گزارش شده برای نقض داده های ابری است که اغلب به دلیل کمبود دانش امنیت سایبری برای کارمندان عادی است. نیویورک در تلاش است تا با ادامه آموزش امنیت سایبری و توسعه نیروی کار، استعداد خود را افزایش دهد. همچنین مستلزم این است که CISOها برای هدایت رهبری و بازنگری/به‌روزرسانی سیاست‌ها سالانه استخدام شوند. با آموزش، استعداد و رهبری بیشتر، خطر خطاهای انسانی ممکن است کاهش یابد.

اتحاد

یکی از چالش های اصلی در امنیت مراقبت های بهداشتی، دسترسی نابرابر به منابع کلیدی، مانند استعداد، بودجه و اطلاعات است که به طور غیرمستقیم بر تلاش های امنیت سایبری صنعت تأثیر می گذارد.

مقررات Hochul قصد دارد به رفع این مشکل کمک کند و دسترسی به منابع امنیت سایبری را افزایش دهد تا پیشرفته‌ترین دفاعیات ایالت در اختیار نهادهای دارای کمترین منابع آن باشد و صنعت بتواند یک جبهه متحد در برابر مهاجمان ارائه دهد. به عنوان بخشی از این تلاش، Hochul به همکاری با سهامداران کلیدی ادامه خواهد داد و به تسهیلات مراقبت های بهداشتی بودجه 500 میلیون دلاری برای ارتقای سیستم های فناوری خود اعطا خواهد کرد تا آنها با ابزارهای پیشرفته و سوابق دیجیتالی برای بهبود مراقبت، دسترسی و تجربه از بیمار مطابقت داشته باشند.

این یک گام بزرگ رو به جلو در ایجاد استانداردهای امنیت سایبری در سطح دولتی در سراسر مراکز بهداشتی است. اما این پیشنهاد سرمایه گذاری های کلیدی آن را محدود نمی کند. گزارش تالس، مدیریت هویت و دسترسی (IAM) را به عنوان یک کنترل کاهش دهنده برای نقض داده ها شناسایی کرده است. در سال گذشته، پذیرش قوی تأیید هویت چند عاملی (MFA) به سختی 1٪ در بین سازمان های مراقبت های بهداشتی افزایش یافت.

علاوه بر این، به طور متوسط، تنها 45 درصد از داده های حساس در سراسر سازمان های مراقبت های بهداشتی رمزگذاری شده است. احراز هویت مدرن و دسترسی به رمزگذاری برای رسیدگی به خطرات احراز هویت امروزی حیاتی است. با رایج‌تر شدن اشتراک‌گذاری داده‌ها بین بیمارستان‌ها، سرمایه‌گذاری در رمزگذاری برای داده‌ها در حالت استراحت و داده در حرکت می‌تواند به تسهیلات کمک کند تا یکپارچه‌سازی ایمن را پیش ببرند.

اما همه چیز در اینجا جای نگرانی نیست. برای یک، اجباری کردن MFA احتمالاً پذیرش آن را در بیمارستان ها تسریع می کند. برای دیگری، فرماندار قول داده است که بودجه مطابق با دستورالعمل های او باشد. این بسیار بهتر از سایر مقررات است، جایی که به ندرت راهنمایی های سطح بالا برای اجرای آن بودجه داده می شود. 500 میلیون دلار کافی خواهد بود و بازه زمانی 1 ساله تهاجمی است، اما بودجه گامی رو به جلو در تلاش های ایالتی برای ایمن سازی مرزهای مراقبت های بهداشتی مجازی نیویورک است.

آیا مقررات هوچول کافی است؟

مقررات پیشنهادی فرماندار نیویورک در حال حاضر توسط شورای برنامه ریزی بهداشت عمومی و سلامت نیویورک در دست بررسی است. در صورت تایید، مراکز مراقبت های بهداشتی یک جدول زمانی یک ساله خواهند داشت که طی آن از انطباق اطمینان حاصل می شود. از وضعیت فعلی امنیت سایبری مراقبت های بهداشتی، ممکن است این زمان کافی برای اطمینان از دسترسی و اجرا در سراسر کشور نباشد. رشد استعدادهای تخصصی و استقرار موثر ابزارها برای جایگزینی سیستم های موجود زمان می برد. مقررات مثبت اما گسترده و فاقد وضوح هستند.

واضح است که اگر می‌خواهد از حملات و خسارات بزرگ‌تر در آینده جلوگیری کند، مراقبت‌های بهداشتی باید سریع عمل کند. تمرکز Hochul بر پیشرفت استعدادها، اطلاعات سازی و دسترسی، و بودجه برای سرمایه گذاری نقطه شروع بسیار خوبی است. اما ارتقاء ابزارها اگر محدود نشوند، می‌توانند طاقت‌فرسا شوند. برای مؤثر بودن این ارتقاها، هوچول باید بر سه حوزه کلیدی – رمزگذاری، کنترل مدیریت دسترسی و حاکمیت دیجیتال تمرکز کند. یک استراتژی هدفمند به مقررات کمک می کند تا عملیات امنیت مراقبت های بهداشتی را بهینه کرده و در نهایت موانع آن را بدون به خطر انداختن رشد ایمن کند.

توسط اسکات روپ
برچسب ها: امنیت سایبری مراقبت های بهداشتی، قوانین امنیت سایبری نیویورک، تالس، تاد مور



Source link

  • تشدید بحران امنیت سایبری بخش مراقبت های بهداشتی را فرا گرفته است: حملات باج افزار در سران صنعت افزایش یافته است
  • ارائه دهندگان مراقبت های بهداشتی، مراقب باشید! چرا ربات های بد یک تهدید امنیت سایبری هستند؟
  • آنچه شما باید در مورد امنیت سایبری در مراقبت های بهداشتی بدانید
  • انجام فشارهای فشاری سخت {به اندازه‌ی کافی} کافی است – این حتی بادوام‌تر انجام رژیم کتوژنیک استاندارد