Healthcare Cybersecurity: Moving from Awareness to Action

em breve

Leitura de 5 minutos

Na assistência médica, as ameaças de segurança cibernética tendem a provocar um tipo de viés de normalidade em que os líderes que ainda não sofreram um ataque ou aqueles que enfrentaram ataques menos significativos, subestimam a probabilidade de que um evento desastroso afetará sua organização. Além disso, no passado, havia um nível de risco que as organizações estavam dispostas a tolerar quando se tratava de violações de dados. Em uma pesquisa com prestadores de serviços de saúde, os executivos nomearam a segurança dos dados como a principal tendência do setor que afeta sua organização agora e nos próximos três a cinco anos. Segurança

Recent Huron research reveals that attitudes may be changing. In a survey of healthcare providers, executives named data security as the top industry trend impacting their organization now and in the next three to five years.

Elevated Risk and Consequences

Cyberattacks and resulting data breaches hold devastating consequences for healthcare organizations, including massive financial payouts, disruption of business operations and the...

Thinking Differently About Security

Apesar do nível de ameaça e reconhecimento dos líderes de que a segurança é vital, bem como a existência de avaliações de risco de segurança exigidas pelo governo federal, organizações de saúde ... Cuidado de forma adequada e segura para os pacientes. Igualmente oneroso é a perda da confiança do consumidor e os danos à reputação da marca, pois as organizações lutam para competir em uma nova era do consumismo de saúde. O aumento nas violações de dados conhecidas pode ser devido em parte a relatórios mais precisos e à conscientização pública aumentada, mas não há dúvida de que a gravidade e a sofisticação dos ataques cibernéticos estão em um nível mais alto com o custo médio de recuperação, totalizando

Elevated Risk and Consequences

Cyberattacks and resulting data breaches hold devastating consequences for healthcare organizations, including massive financial payouts, disruption of business operations and the inability to adequately and safely care for patients. Equally as costly is the loss of consumer trust and damage to brand reputation as organizations struggle to compete in a new era of healthcare consumerism.

Recent reports found that 93% of healthcare organizations have faced a data breach in the last three years. The uptick in known data breaches may be due in part to more accurate reporting and heightened public awareness, but there is no doubt that the severity and sophistication of cyberattacks are at an all-time high with the average cost of recovery totaling $ 1,4 milhão por ataque. Os ataques cibernéticos e os dados violam difíceis, mas isso não significa que a segurança seja impossível. À medida que as organizações movem cuidados para fora do hospital, instalações menores podem ter pontos de vulnerabilidade, como servidores no local que poderiam ser facilmente acessados ​​ou roubados. Abaixo estão as etapas, as organizações podem tomar para melhor alinhar os recursos e mudar as mentalidades sobre a segurança da informação na assistência médica:

Thinking Differently About Security

Despite the threat level and acknowledgment from leaders that security is vital, as well as the existence of federally mandated security risk assessments, healthcare organizations remain highly susceptible to attacks.

The complexity of the healthcare environment makes defending against cyberattacks and data breaches difficult, but that doesn’t mean that security is impossible. As organizations move care outside the hospital, smaller facilities may have vulnerability points such as on-site servers that could easily be accessed or stolen. Below are steps organizations can take to better align resources and shift mindsets about information security in healthcare:

Segurança de tamanho direito. Desempenho de segurança cibernética com o de outros setores importantes, como serviços bancários e financeiros, que consistentemente superam os cuidados de saúde sobre segurança de TI. Ao mesmo tempo, organizações devem ter cuidado para não equiparar os gastos com proteção. Uma avaliação completa de risco e melhorias estrategicamente selecionadas podem ter um grande impacto no quão bem uma organização evita e responde a ataques. Budget constraints and competing lists of priorities make it hard for leaders to prioritize cybersecurity over adoption of new revenue-generating technology such as analytics platforms or robotics.

Critics are quick to compare healthcare’s cybersecurity performance with that of other major sectors such as banking and financial services, which consistently outspend healthcare on IT security. At the same time, organizations have to be careful not to equate spending with protection.

Leaders need to be aware of what best practices apply to organizations of their size and complexity and plan accordingly. A thorough risk assessment and strategically selected improvements can have a big impact on how well an organization avoids and responds to attacks.

Pense mais amplo sobre tecnologia-e riscos. Cada um cria vulnerabilidades que os atores maliciosos podem explorar. As maiores áreas de risco de risco para organizações, pois podem ser usadas para obter acesso a áreas de maior valor de uma rede. Os consumidores precisam saber que seus dispositivos são seguros e não podem ser comprometidos para prejudicá-los. Além disso, nem todos os fornecedores de serviços em nuvem de terceiros são iguais. Com o objetivo de roubar dados valiosos dos pacientes, as organizações de saúde agora lidam com ransomware cada vez mais sofisticado. No passado, os atacantes paralisavam as operações de um sistema de saúde e a prestação de cuidados assumindo o controle dos dados financeiros ou do paciente até que uma quantia em dinheiro fosse paga. Os mais recentes autores de ransomware alavancam dados roubados ao publicar Pequenos subconjuntos de dados publicamente para acelerar os pagamentos de organizações violadas com medo de exposição adicional. Agência de segurança ( New technology and third-party vendors are regularly added to the hundreds of applications already running on a health system’s network. Each creates vulnerabilities that malicious actors can exploit.

As healthcare organizations deploy more consumer-centric strategies, consumers will need assurances that the private information they share through wearables, mobile apps, virtual visits and patient portals is protected alongside their electronic health record.

Medical devices, which are often neglected information technology (IT) assets when evaluating risk strategy, present one of the largest-growing areas of risk for organizations as they can be used to gain access to higher-value areas of a network. Consumers need to know that their devices are safe and can’t be compromised to harm them.

Cloud-based systems allow organizations to scale their information security functions and offset security risks associated with local servers, but there are other considerations when migrating to the cloud, such as ensuring the organization can retrieve its data at any given time. Also, not all third-party cloud services vendors are equal.

Stratifying vendors according to risk — how much data is managed, the sensitivity of that data and how mission-critical the data is — helps to guide the type of business relationship and level of oversight required with each vendor.

Actively prepare for evolving threats. In addition to malware and phishing emails aimed at stealing valuable patient data, healthcare organizations now contend with increasingly sophisticated ransomware. In the past, attackers would paralyze a health system’s operations and care delivery by taking control of financial or patient data until a sum of money was paid. The latest ransomware perpetrators leverage stolen data by publishing small subsets of data publicly in order to accelerate payments from breached organizations fearful of additional exposure.

Information security and compliance officers should stay informed by following sources that monitor new and growing cyberthreats, such as the Office for Civil Rights (OCR) privacy and security group email list and the United States Department of Homeland Security’s Cybersecurity & Infrastructure Security Agency ( CISA), a agência responsável por proteger a infraestrutura do país contra ameaças de segurança cibernética. Uma cultura de segurança positiva é aquela em que as pessoas em todos os níveis da organização levam a segurança a sério. Os funcionários devem ter um mecanismo para relatar questões ou erros sem medo de retribuição, e deve haver confiança entre funcionários e liderança de que as preocupações serão abordadas uma vez relatadas.

Build the right culture — it matters.Technical security is not a substitute for culture. A positive security culture is one in which people at every level of the organization take security seriously. Employees should have a mechanism to report issues or mistakes without fear of retribution, and there must be trust between employees and leadership that concerns will be addressed once reported.

Invista em seus funcionários e líderes. Uma das etapas mais importantes que as organizações podem tomar é continuar educando os funcionários sobre os riscos ao seu redor, como phishing e -mails ou outras áreas comuns de infiltração. Muitas vezes, as organizações subestimam a importância desse papel na construção de um programa de segurança eficaz e designam um indivíduo sem o treinamento ou experiência adequada. As organizações de saúde devem investir na construção de uma descrição completa do trabalho para o seu CISO e alocar os recursos para preencher o trabalho com um candidato totalmente qualificado.

Federal regulations require that healthcare organizations designate a named individual for the role of chief information security officer (CISO). Too often organizations undervalue the importance of this role in building an effective security program and designate an individual without the proper training or experience. Healthcare organizations should invest in building out a full job description for their CISO and allocate the resources to fill the job with a fully qualified candidate.

Takeaways -chave

O setor de saúde está se defendendo contra níveis sem precedentes de ameaças cibernéticas. Para reduzir a suscetibilidade a ataques, as organizações devem:
  • Pense de maneira diferente.
    Não permita atitudes complacentes e comportamento reacionário para direcionar a estratégia de segurança cibernética; Os programas de segurança devem ser proativos e sempre evoluir como ameaças.
  • Planeje de maneira diferente.
    Faça avaliações de risco para o próximo nível, a fim de identificar o nível certo de investimento de segurança necessário para as organizações de seu tamanho e complexidade.
  • Agir de maneira diferente.
    Programas de segurança de recursos adequadamente com as ferramentas, informações, líderes qualificados e cultura necessários para proteger as organizações de assistência médica contra ameaças crescentes.

Entre em contato conosco

Eu quero conversar com seus especialistas em