Zde je nový standard kybernetické odolnosti pro zdravotnická zařízení.
Vaše systémy selhaly. Pacienti stále potřebují pomoc. Dokážete situaci zvládnout do třiceti dnů? Ne víkend. Ne týdny. Třicet celých dní. The Joint Commission a americká lékařská asociace (AMA) tvrdí: už to není jen doporučení regulátora. To je minimální provozní požadavek.
Většina CIO takový scénář neplánovala.
Byli zaneprázdněni bojem proti současnému chaosu. Úniky dat už spalují peníze-průměrná hodnota incidentu ve zdravotnictví dosahuje 7,42 milionu dolarů a jde zatím jen o přímé ztráty z krádeží dat. Skutečné krvácení je způsobeno prostoji. Ruční fakturace způsobuje poruchy. Příjmy mizí. Pacienti se nemohou dostat na pohotovostní oddělení, protože” digitální brána ” je uzamčena.
Kde začít? Cyber Resilience Readiness (Cyber resilience Readiness, CRR).
Začíná to sebevědomím zdarma. Je přímočará. Klade jednu hlavní otázku: je vaše organizace schopna skutečně poskytnout bezpečnou pomoc, pokud technologie selže? Průzkum pokrývá mnoho aspektů, ale existují čtyři oblasti, které mají největší význam. Pokud je vynecháte, zbytek bude jen hluk.
Rozkol zabíjí připravenost
Sebeúcta se v této věci dotýká bolestivých bodů. Klinické týmy, obchodní operace, nouzové řízení-všechny jsou v samostatných budovách. Nebo v různých patrech. Nebo v různých chatech.
IT oddělení je obvykle zodpovědné za obnovu aplikací. Krizový management řídí reakci na incidenty. Klinický Management je zodpovědný za bezpečnost pacientů. Nekomunikují, dokud nezazvoní alarm.
Takhle udržitelnost nefunguje.
CIO musí tyto zdi zbourat, než přijde krize. Tato oddělení musí komunikovat proaktivně. Ne, když se na obrazovce objeví výkupné. Právě teď.
Představenstvo není hlediště
Uvědomuje si představenstvo, co je v ohrožení?
Sama CRR to vyšetřuje. Jak často je informujete? Znají rozdíl mezi kontinuitou klinických procesů a kontinuitou podnikání? Jsou samozřejmě propojené, ale není to stejné.
Chytré CIO se nehlásí jen k době bezproblémového fungování IT systémů. Přímo propojuje kybernetická rizika s bezpečností pacientů a finanční efektivitou. Chcete, aby se představenstvo vážně zabývalo udržitelností? Spojte to s jejich pověstí a příjmem.
Splnění požadavků je check-list. Udržitelnost je řešení.
Papírové plány nevydrží kontakt s realitou
Důležité je testování. Není to každoroční cvičení, kde všichni sedí v konferenční místnosti a pokyvují hlavou. Skutečné testování. Ve všech směnách. Na všech servisních linkách.
Efektivní učení se protahuje v čase. Simulujte třicetidenní blackout. Ať je sledují vedoucí. Pak-a to je klíčový bod-jednejte podle výsledků.
Pokud ignorujete výsledky cvičení, promarnili jste čas.
Nemocnice přežívají útoky díky intuici personálu. Intuice, kterou vytváříte, umožňuje zaměstnancům opakovaně chybovat v bezpečném prostředí.
Nemůžete chránit to, co nevidíte
Zde je matoucí realita: žádná samostatná jednotka nevlastní úplný seznam všeho, co je připojeno k síti.
Mluvíme o desetiletích nashromážděných technologií. Biomedicínská zařízení. IoT senzory. Systémy řízení budovy. Zastaralý software. Pro většinu nemocnic je inventura černá díra.
CIO by to všechno mělo integrovat. Viditelnost aktiv, klasifikace dat, rizika dodavatelů — to vše by mělo být založeno na jednom modelu. Nejde jen o servery ve sklepě. Je to MRI přístroj, infuzní čerpadlo, zařízení, které řídí ventilační systém, který si nikdo nepamatuje, co připojil před deseti lety.
Porovnejte všechna aktiva s klinickými riziky. Pokud nevíte o existenci aktiva, nemůžete ho chránit.
Cesta vpřed
Sebevědomí CRR vám body nedá. Nebude vás počítat ani počítat. Odhaluje mezery.
Teď se musíte rozhodnout. Kdo to potřebuje slyšet? Co se zlomí jako první? Jak rychle to můžeme napravit? Tyto volby určují vaši kulturu.
** Co dělat dál?**
Vytvořte plány pro zajištění kontinuity podnikání na základě nejhoršího scénáře. Mluvíme o týdnech nečinnosti, ne o hodinách. Provádějte stolní cvičení na 3., 10. a 30. den úplného vypnutí. Procvičte si manuální pracovní postupy. Zvykněte si na práci bez obrazovek.
Zapomeňte na pokusy o okamžité obnovení každého systému. Zaměřte se na obnovu MVP po katastrofě (Minimum Viable Product). Minimálně životaschopný produkt, který udržuje světlo zapnuté a pacienty v bezpečí. Je to jednodušší. Je to rychlejší. Plné zálohy jsou drahé a složité; rychlost je levná, pokud máte plán.
Cílem je rychlé zotavení na bezpečnou, minimální úroveň. Ne dokonalé zotavení. Jen bezpečnost.
Zkombinujte toto hodnocení se skutečnou strategií MVP. Vedení zdravotnictví musí jednat hned. Hodnotit. Opravovat. Připravovat se.
Protože jednoho dne síť umlčí. A budete se muset i nadále starat o pacienty.
