Oto nowy standard cyberobezpieczeństwa dla placówek opieki zdrowotnej.
Twoje systemy uległy awarii. Pacjenci nadal potrzebują pomocy. Czy poradzisz sobie z sytuacją przez trzydzieści dni? Nie weekend. Nie tygodnie. Trzydziestu pełnych dni. The Joint Commission i American Medical Association (AMA) stwierdzają: nie jest to już tylko zalecenie regulatora. Jest to minimalny wymóg operacyjny.
Większość CIO nie planuje takiego scenariusza.
Byli zajęci walką z obecnym chaosem. Naruszenia danych już spalają pieniądze-średni koszt incydentu w opiece zdrowotnej sięga 7,42 miliona dolarów, a to tylko bezpośrednie straty spowodowane kradzieżą danych. Prawdziwe krwawienie występuje z powodu przestojów. Ręczne rozliczenia zawodzą. Dochody znikają. Pacjenci nie mogą dostać się do oddziałów ratunkowych, ponieważ “cyfrowa brama” jest zamknięta.
Od czego zacząć? Z programu * * Cyber Resilience Readiness (CRR).
Zaczyna się od darmowej samooceny. Jest prosta. Zadaje jedno główne pytanie: czy Twoja organizacja jest w stanie zapewnić bezpieczną opiekę, jeśli Technologia się nie powiedzie? Badanie obejmuje wiele aspektów, ale są cztery obszary, które mają największe znaczenie. Jeśli ich przegapisz, reszta będzie tylko hałasem.
Brak jedności zabija gotowość
Samoocena dotyka bolesnych punktów w tej sprawie. Zespoły kliniczne, operacje biznesowe, Zarządzanie kryzysowe-wszystkie znajdują się w oddzielnych budynkach. Lub na różnych piętrach. Lub na różnych czatach.
Zwykle dział IT jest odpowiedzialny za przywracanie aplikacji. Zarządzanie kryzysowe kieruje reagowaniem na incydenty. Wytyczne kliniczne są odpowiedzialne za bezpieczeństwo pacjentów. Nie komunikują się, dopóki nie zadzwonią alarmy.
Więc odporność nie działa.
CIO muszą zburzyć te mury przed nadejściem kryzysu. Działy te muszą współpracować proaktywnie. Nie wtedy, gdy na ekranie pojawi się notatka z żądaniem okupu. Teraz.
Zarząd to nie audytorium
Czy zarząd rozumie dokładnie, co jest zagrożone?
Bada to samoocena CRR. Jak często ich informujesz? Czy znają różnicę między ciągłością procesów klinicznych a ciągłością działania? Są ze sobą powiązane, oczywiście, ale to nie to samo.
Inteligentny CIO nie tylko raportuje czas działania systemów informatycznych. Bezpośrednio łączy ryzyko cybernetyczne z bezpieczeństwem pacjentów i wynikami finansowymi. Chcesz, aby Zarząd poważnie dbał o zrównoważony rozwój? Połącz to z ich reputacją i dochodami.
Zgodność to lista kontrolna. Zrównoważony rozwój To rozwiązanie.
Papierowe plany nie wytrzymują kontaktu z rzeczywistością
Testowanie ma znaczenie. Nie coroczne ćwiczenie, w którym wszyscy siedzą w sali konferencyjnej i kiwają głową. Prawdziwe testy. Na wszystkie zmiany. Na wszystkich liniach serwisowych.
Skuteczne ćwiczenia rozciągają się w czasie. Symuluj trzydziestodniowy blackout. Niech obserwują starsi liderzy. Następnie-i to jest kluczowy punkt — działaj na podstawie wyników.
Jeśli zignorujesz wyniki ćwiczeń, zmarnowałeś czas.
Szpitale przeżywają ataki dzięki intuicji personelu. Intuicji, którą kształtujesz, pozwalając pracownikom wielokrotnie popełniać błędy w bezpiecznym środowisku.
Nie możesz chronić tego, czego nie widzisz
Oto zagmatwana rzeczywistość: żadna pojedyncza jednostka nie posiada pełnej listy wszystkiego, co jest podłączone do sieci.
Mówimy o dziesięcioleciach zgromadzonej technologii. Urządzenia biomedyczne. Czujniki IoT. Systemy zarządzania budynkiem. Przestarzałe oprogramowanie. W przypadku większości szpitali inwentaryzacja jest czarną dziurą.
CIO musi to wszystko zintegrować. Widoczność aktywów, klasyfikacja danych, ryzyko dostawców-wszystko to powinno opierać się na jednym modelu. Nie chodzi tylko o serwery w piwnicy. To maszyna MRI, pompa infuzyjna, urządzenie sterujące systemem wentylacji, którego nikt nie pamięta, że podłączył dziesięć lat temu.
Skoreluj wszystkie aktywa z ryzykiem klinicznym. Jeśli nie wiesz o istnieniu zasobu, nie możesz go chronić.
Droga naprzód
Samoocena CRR nie da ci wyniku. Ona cię nie policzy ani nie policzy. Identyfikuje luki.
Teraz musisz zdecydować. Kto musi o tym usłyszeć? Co się najpierw zepsuje? Jak szybko możemy to naprawić? Te wybory określają Twoją kulturę.
** Co dalej?**
Twórz plany ciągłości działania w oparciu o najgorszy scenariusz. Mówimy o tygodniach przestoju, a nie o godzinach. Wykonaj ćwiczenia na stole w dniu 3, 10 i 30 całkowitego wyłączenia. Ćwicz ręczne przepływy pracy. Przyzwyczaj personel do pracy bez ekranów.
Zapomnij o próbach natychmiastowego przywrócenia każdego systemu. Skoncentruj się na odzyskiwaniu MVP po katastrofie (Minimum Viable Product). Minimalnie opłacalny produkt, który utrzymuje włączone światła i pacjentów w bezpiecznym miejscu. To łatwiejsze. Jest szybszy. Pełne kopie zapasowe są drogie i skomplikowane; prędkość jest tania, jeśli masz plan.
Celem jest szybkie przywrócenie do bezpiecznego, minimalnego poziomu. Nie idealne odzyskiwanie. Tylko bezpieczeństwo.
Połącz ten wynik z rzeczywistą strategią MVP. Menedżerowie opieki zdrowotnej muszą działać teraz. Oceniać. Naprawiać. Przygotowywać się.
Ponieważ pewnego dnia sieć zamilknie. I będziesz musiał nadal opiekować się pacjentami.
