Inilah standar baru untuk ketahanan siber rumah sakit.
Sistem Anda mati. Pasien masih memerlukan perawatan. Bisakah kamu mengatasinya selama tiga puluh hari? Bukan akhir pekan. Bukan seminggu. Tiga puluh hari penuh. Komisi Gabungan dan AHA mengatakan ini bukan lagi sekedar saran regulasi. Ini adalah persyaratan operasional minimum.
Kebanyakan CIO belum merencanakan hal ini.
Mereka sibuk menangani kekacauan yang terjadi saat ini. Pelanggaran data telah menghabiskan banyak uang—biaya rata-rata layanan kesehatan mencapai $7,42 juta—dan itu hanyalah harga yang harus dibayar untuk pencurian itu sendiri. Pendarahan sebenarnya berasal dari downtime. Penagihan manual gagal. Pendapatan hilang. Pasien tidak bisa masuk ke UGD karena gerbang digital terkunci.
Jadi dari mana Anda memulai? Dengan program Kesiapan Ketahanan Siber (CRR).
Ini dimulai dengan penilaian mandiri gratis. Itu blak-blakan. Hal ini menimbulkan satu pertanyaan besar: apakah organisasi Anda benar-benar dapat memberikan layanan yang aman jika teknologinya gagal? Survei ini menyentuh banyak hal, namun ada empat bidang yang paling penting. Jika Anda melewatkan ini, sisanya adalah kebisingan.
Silo Membunuh Kesiapan
Penilaiannya sangat menegangkan di sini. Tim klinis, operasi bisnis, manajemen darurat—semuanya tinggal di gedung terpisah. Atau lantai terpisah. Atau obrolan terpisah.
Biasanya, TI memiliki pemulihan aplikasi. Manajemen darurat menjalankan respons insiden. Kepemimpinan klinis menjaga keselamatan pasien. Mereka tidak berbicara sampai alarm berbunyi.
Bukan itu cara kerja ketahanan.
CIO perlu merobohkan tembok tersebut sebelum krisis terjadi. Departemen-departemen ini harus berkolaborasi secara proaktif. Tidak ketika catatan ransomware mendarat. Sekarang.
Dewan Bukanlah Audiens
Apakah dewan benar-benar memahami risiko apa yang ada?
Penilaian CRR menyelidiki hal ini. Seberapa sering Anda memberikan pengarahan kepada mereka? Apakah mereka mengetahui perbedaan antara kelangsungan klinis dan kelangsungan bisnis? Tentu saja keduanya berkaitan, tetapi keduanya tidak sama.
CIO yang cerdas tidak hanya melaporkan waktu aktif TI. Mereka menghubungkan risiko dunia maya secara langsung dengan keselamatan pasien dan keuntungan. Anda ingin dewan cukup takut untuk peduli terhadap ketahanan? Kaitkan dengan reputasi dan pendapatan mereka.
Kepatuhan adalah sebuah daftar periksa. Ketahanan adalah sebuah keputusan.
Paket Kertas Tidak Bertahan dari Kontak
Pengujian itu penting. Bukan latihan setahun sekali di mana setiap orang duduk di ruang konferensi dan mengangguk. Pengujian nyata. Di semua shift. Di semua lini layanan.
Latihan yang efektif adalah peregangan. Simulasikan pemadaman listrik selama tiga puluh hari. Mintalah para pemimpin senior mengawasi. Kemudian—dan ini kuncinya—bertindaklah berdasarkan apa yang Anda temukan.
Jika Anda mengabaikan hasil latihan, Anda membuang-buang waktu.
Rumah sakit selamat dari serangan karena stafnya mempunyai naluri. Naluri yang Anda bangun dengan gagal berulang kali di lingkungan yang aman.
Anda Tidak Dapat Melindungi Apa yang Tidak Dapat Anda Lihat
Inilah kenyataan yang berantakan: tidak ada satu departemen pun yang memiliki semua hal di jaringan.
Kita berbicara tentang akumulasi teknologi selama puluhan tahun. Perangkat biomedis. Sensor IoT. Kontrol bangunan. Perangkat lunak warisan. Inventaris merupakan lubang hitam bagi sebagian besar rumah sakit.
CIO harus mengintegrasikan semuanya. Visibilitas aset, klasifikasi data, risiko vendor—semuanya memerlukan satu model. Ini bukan hanya tentang server di ruang bawah tanah. Itu adalah mesin MRI, pompa infus, benda yang mengendalikan HVAC yang tidak seorang pun ingat pernah memasangnya sepuluh tahun yang lalu.
Petakan semua aset ke risiko klinis. Jika Anda tidak mengetahuinya, Anda tidak dapat mengamankannya.
Jalan ke Depan
Penilaian mandiri CRR tidak akan memberi Anda nilai. Itu tidak akan berhasil atau mengecewakan Anda. Ini menyoroti kesenjangan yang ada.
Sekarang Anda harus memutuskan. Siapa yang perlu mendengar ini? Apa yang rusak duluan? Seberapa cepat kita bisa memperbaikinya? Pilihan-pilihan ini menentukan budaya Anda.
Apa yang harus Anda lakukan selanjutnya?
Bangun rencana kesinambungan bisnis yang mengasumsikan kemungkinan terburuk. Kita berbicara tentang pemadaman berminggu-minggu, bukan berjam-jam. Jalankan latihan meja untuk Hari ke-3, Hari ke-10, dan Hari ke-30 dari penghentian total. Latih alur kerja manual. Buat staf merasa nyaman melakukannya tanpa layar.
Lupakan mencoba memulihkan setiap sistem secara instan. Fokus pada pemulihan bencana MVP. Produk minimum yang layak yang membuat lampu tetap menyala dan pasien tetap aman. Ini lebih sederhana. Ini lebih cepat. Pencadangan penuh itu mahal dan rumit; kecepatannya murah jika Anda punya rencana.
Tujuannya adalah pemulihan yang cepat ke tingkat yang aman dan minimal. Bukan pemulihan yang sempurna. Hanya keamanan.
Gabungkan penilaian tersebut dengan strategi MVP yang nyata. Para pemimpin layanan kesehatan harus bertindak sekarang. Menilai. Memperbaiki. Mempersiapkan.
Karena akhirnya jaringan menjadi sepi. Dan Anda harus terus peduli.
