الرعاية الصحية – التنقل في طريقك إلى العافية السيبرانية
يتقدم قطاع الرعاية الصحية نحو وضع أكثر نضجًا في مجال الأمن السيبراني. ومع ذلك، نظرًا لأنها لا تزال هدفًا شائعًا للهجوم، هناك حاجة إلى مزيد من الاهتمام. النتائج من تقرير تكلفة خرق البيانات 2023 ذكرت أن الرعاية الصحية لديها أعلى تكلفة للانتهاكات في الصناعة لمدة 13 عامًا متتاليًا، بقيمة تصل إلى 10.93 مليون دولار. وفي عام 2022، كشفت أكبر 35 اختراقًا أمنيًا عالميًا عن 1.2 مليار سجل، وضرب 34% من تلك الهجمات القطاع العام ومؤسسات الرعاية الصحية.
استجاب المنظمون من خلال طلب المزيد من التوجيه لصناعة الرعاية الصحية. قانون الأمن السيبراني لعام 2015 (CSA)، القسم 405 (د)، مواءمة مناهج أمن صناعة الرعاية الصحية، هو استجابة الحكومة لزيادة التعاون في ممارسات أمن صناعة الرعاية الصحية. تتمثل مهمة البرنامج 405 (د) بقيادة HHS في توفير الموارد والأدوات اللازمة للتثقيف ودفع التغيير السلوكي وتوفير أفضل ممارسات الأمن السيبراني لتعزيز وضع الأمن السيبراني في الصناعة.
بالإضافة إلى ذلك، تم تعديل القسم 13412 من قانون HITECH في يناير 2022 والذي يتطلب من HHS أن تأخذ “الممارسات الأمنية المعترف بها” في الاعتبار في أنشطة إنفاذ ومراجعة قواعد الأمان المحددة لقانون HIPAA عندما يكون الكيان الخاضع لرقابة HIPAA قادرًا على إثبات وجود ممارسات أمنية معترف بها في بشكل مستمر لمدة 12 شهرًا قبل وقوع حادث أمني. لا يعد هذا البرنامج التطوعي ملاذًا آمنًا، ولكنه يمكن أن يساعد في تخفيف الغرامات وحلول الاتفاقيات وتقليل الوقت والمدى لعمليات التدقيق.
الممارسات الأمنية المعترف بها
الممارسات الأمنية المعترف بها هي المعايير والمبادئ التوجيهية وأفضل الممارسات والمنهجيات والإجراءات والعمليات التي تم تطويرها بموجب:
- إطار عمل الأمن السيبراني للمعهد الوطني للمعايير والتكنولوجيا (NIST).
- القسم 405 (د) من قانون الأمن السيبراني لعام 2015، أو
- البرامج الأخرى التي تتناول الأمن السيبراني والتي يتم الاعتراف بها صراحة بموجب القانون أو اللوائح
من الواضح أن مؤسسات الرعاية الصحية يتم توجيهها وحتى تحفيزها لاتباع نهج برمجي للأمن السيبراني واعتماد إطار عمل معترف به.
كيف يمكن لإطار الأمن السيبراني أن يساعد؟
من خلال خلق لغة مشتركة: إن اعتماد إطار للأمن السيبراني ووضع استراتيجية لتنفيذه يسمح لأصحاب المصلحة الرئيسيين بالبدء في التحدث بلغة مشتركة لمعالجة مخاطر الأمن السيبراني وإدارتها. ستقوم الإستراتيجية بمواءمة أهداف الأعمال وتكنولوجيا المعلومات والأمن. يتم الاستفادة من الإطار كآلية لتنفيذ استراتيجية الأمن السيبراني عبر المنظمة، والتي سيتم مراقبتها، والإبلاغ عن التقدم المحرز والميزانية لكبار القادة ومجلس الإدارة، والتواصل والتآزر مع مالكي التحكم والموظفين. سيبدأ المستخدمون الأفراد وكبار المديرين التنفيذيين في التحدث بلغة مشتركة للأمن السيبراني، وهي الخطوة الأولى نحو إنشاء ثقافة مدركة للمخاطر السيبرانية.
من خلال الحفاظ على الامتثال: يضمن الالتزام بإطار الأمن السيبراني امتثال مؤسسات الرعاية الصحية للوائح ومعايير الصناعة ذات الصلة، مثل HIPAA. يمكن أن يساعد الامتثال المؤسسات على تجنب العقوبات القانونية والخسائر المالية والإضرار بالسمعة.
من خلال تحسين ممارسات إدارة مخاطر الأمن السيبراني: إن جوهر تنفيذ إدارة مخاطر الأمن السيبراني هو فهم الأصول الأكثر قيمة للمنظمة بحيث يمكن تنفيذ الضمانات المناسبة بناءً على التهديدات. يتمثل أحد التحديات الرئيسية التي تواجه وضع الأمن السيبراني في قطاع الرعاية الصحية في معرفة البيانات التي يجب حمايتها ومكان وجود تلك البيانات. الأطر المقبولة مبنية على مبادئ سليمة لإدارة المخاطر.
من خلال زيادة المرونة: يمكن أن تؤدي الهجمات الإلكترونية إلى تعطيل خدمات الرعاية الصحية الحيوية ويمكن أن تكون مكلفة، مع نفقات تتعلق بالاستجابة للحوادث واستعادة النظام والمسؤوليات القانونية. يمكن أن يساعد اعتماد إطار عمل للأمن السيبراني المؤسسات على تقليل التأثير المالي للاختراق أو الهجوم من خلال تحسين قدراتها على الاستجابة للحوادث، وتقليل تأثير الاختراق، والتعافي بسرعة أكبر.
من خلال إظهار الثقة: يعهد المرضى بمعلوماتهم الشخصية والطبية إلى مقدمي الرعاية الصحية. يُظهر تنفيذ إطار الأمن السيبراني الالتزام بحماية تلك المعلومات والحفاظ على ثقة المرضى.
خلاصة القول هي أن اعتماد إطار الأمن السيبراني يساعد على حماية البيانات الحساسة، والحفاظ على استمرارية الأعمال، والحفاظ على سمعة المنظمة، وتقليل التأثير المحتمل للهجمات، وخلق الشفافية في ممارسات الأمن السيبراني، مما يؤدي في النهاية إلى ثقافة الوعي بالمخاطر السيبرانية.
يبدو مفيدا، أليس كذلك؟ ولكن ما هو إطار الأمن السيبراني؟
إطار قابل للتكيف للرعاية الصحية
تم تطوير HITRUST CSF في الأصل خصيصًا لقطاع الرعاية الصحية، وهو يعتمد على ISO 27001 ويتضمن عددًا من أطر العمل المعترف بها، بما في ذلك NIST CSF. لدى معظم المؤسسات متطلبات امتثال متعددة ويجب عليها تعديل متطلبات الأمان بناءً على مشهد التهديدات الخاص بها ثم إدارة المخاطر وفقًا لذلك. تتطور المتطلبات الأمنية دائمًا وهناك حاجة ماسة إلى إطار عمل قابل للتكيف لتقليل العبء الواقع على عاتق كبار مسؤولي أمن المعلومات والموظفين في التحديث المستمر لأطر عملهم. مع تطور التهديدات، ومع تغير اللوائح والأطر، يتغير أيضًا HITRUST CSF.
تحقق HITRUST الفوائد المذكورة أعلاه، ولكن تنفيذ إطار عمل الأمن السيبراني هو رحلة. تحتاج المؤسسات إلى تحقيق مكاسب إضافية وتقليل المخاطر….يسمح HITRUST CSF باتباع نهج نقطة الانطلاق.
الجديد في CSF v. 11 هو تداخل التحكم في ثلاثة (3) أنواع مختلفة من التقييمات. أنواع التقييم هي:
- أساسيات HITRUST، الاستعداد لمدة عام واحد (e1) والتقييم المعتمد (40 عنصر تحكم أساسي)
- قامت HITRUST بتنفيذ تقييم جاهزية (i1) لمدة عام واحد (182 عنصر تحكم ثابت يعتمد على معلومات التهديد)
- تقييم جاهزية HITRUST القائم على المخاطر لمدة عامين (r2) والتقييم المعتمد * بناءً على عوامل تحديد النطاق)
وهذا يخلق رحلة تقدمية لتنفيذ إطار الأمن السيبراني مع السماح بالنجاح والتبني والشفافية.
من خلال مشاركتها مع HITRUST منذ إنشائها وأحد المقيمين الأصليين، يمكن أن تساعدك AT&T Cybersecurity في رحلتك إلى HITRUST.