Ось новий стандарт кіберстійкості для медичних установ.
Ваші системи вийшли з ладу. Пацієнтам все ще потрібна допомога. Чи зможете ви впоратися з ситуацією протягом тридцяти днів? Не вікенду. Не тижні. Тридцяти повних днів. The Joint Commission і Американська медична асоціація (AMA) заявляють: це більше не просто рекомендація регулятора. Це мінімальна операційна вимога.
Більшість CIO не планували на такий сценарій.
Вони були зайняті боротьбою з поточним хаосом. Порушення даних вже спалюють гроші-середня вартість інциденту в охороні здоров’я сягає 7,42 мільйона доларів, і це ще тільки прямі втрати від крадіжки даних. Справжнє кровотеча відбувається через простоїв. Ручний білінг дає збої. Доходи зникають. Пацієнти не можуть потрапити до аварійних відділень, оскільки «цифрові ворота» заблоковані.
З чого ж почати? З програми **готовності до кіберстійкості * * (Cyber Resilience Readiness, CRR).
Вона починається з безкоштовної самооцінки. Вона прямолінійна. Вона задає одне головне питання: чи здатна ваша організація дійсно забезпечувати безпечну допомогу, якщо технології відмовлять? Опитування охоплює багато аспектів, але є чотири сфери, які мають найбільше значення. Якщо ви пропустите їх, решта буде лише шумом.
Роз’єднаність вбиває готовність
Самооцінка зачіпає болючі точки в цьому питанні. Клінічні команди, бізнес-операції, управління надзвичайними ситуаціями — всі вони знаходяться в окремих будівлях. Або на різних поверхах. Або в різних чатах.
Зазвичай ІТ-відділ відповідає за відновлення додатків. Управління надзвичайними ситуаціями керує реагуванням на інциденти. Клінічне керівництво відповідає за безпеку пацієнтів. Вони не спілкуються, поки не задзвонять тривоги.
Так стійкість не працює.
CIO повинні знести ці стіни до настання кризи. Ці департаменти повинні взаємодіяти проактивно. Не коли на екрані з’явиться записка з вимогою викупу. Прямо зараз.
Рада директорів-це не зал для глядачів
Чи розуміє рада директорів, що саме знаходиться під загрозою?
Самооцінка CRR розслідує це. Як часто ви їх інформуєте? Чи знають вони різницю між безперервністю клінічних процесів та безперервністю бізнесу? Вони пов’язані, звичайно, але це не одне і те ж.
Розумний CIO не просто звітує про час безвідмовної роботи ІТ-систем. Він безпосередньо пов’язує кіберризики з безпекою пацієнтів і фінансовою результативністю. Хочете, щоб Рада директорів всерйоз перейнялася стійкістю? Пов’яжіть це з їх репутацією та доходом.
Відповідність вимогам-це чек-лист. Стійкість-це рішення.
Паперові плани не витримують контакту з реальністю
Значення має тестування. Не щорічна вправа, де всі сидять у конференц-залі і кивають головою. Реальне тестування. У всі зміни. По всіх лініях обслуговування.
Ефективні навчання розтягуються в часі. Змоделюйте тридцятиденний блекаут. Нехай спостерігають старші керівники. Потім — і це ключовий момент-дійте за результатами.
Якщо ви проігноруєте підсумки навчань, ви витратили час даремно.
Лікарні виживають після атак завдяки інтуїції персоналу. Інтуїції, які ви формуєте, дозволяючи співробітникам багаторазово помилятися в безпечному середовищі.
Ви не можете захистити те, що не бачите
Ось заплутана реальність: жоден окремий підрозділ не володіє повним переліком всього, що підключено до мережі.
Ми говоримо про десятиліття накопичених технологій. Біомедичні пристрої. IOT-датчики. Системи управління будівлею. Застаріле програмне забезпечення. Для більшості лікарень інвентаризація-це чорна діра.
CIO повинен інтегрувати все це. Видимість активів, Класифікація даних, ризики постачальників — все це повинно базуватися на одній моделі. Йдеться не лише про сервери в підвалі. Це МРТ-апарат, інфузійний насос, пристрій, що управляє системою вентиляції, яке ніхто не пам’ятає, що підключив десять років тому.
Співвіднесіть всі активи з клінічними ризиками. Якщо ви не знаєте про існування активу, ви не можете його захистити.
Шлях вперед
Самооцінка CRR не дасть вам балів. Вона не зарахує і не не зарахує вас. Вона виявляє прогалини.
Тепер вам потрібно вирішити. Кому потрібно про це почути? Що зламається першим? Як швидко ми можемо це виправити? Ці вибору визначають вашу культуру.
** Що робити далі?**
Створюйте плани безперервності бізнесу на основі найгіршого сценарію. Ми говоримо про тижні простою, а не про години. Проводьте настільні навчання на 3-й, 10-й і 30-й день повного відключення. Практикуйте ручні робочі процеси. Звикайте персонал до роботи без екранів.
Забудьте про спроби миттєвого відновлення кожної системи. Зосередьтеся на MVP-відновленні після катастрофи (Minimum Viable Product). Мінімально життєздатний продукт, який тримає світло включеним і пацієнтів в безпеці. Це простіше. Це швидше. Повні резервні копії дорогі та складні; швидкість дешева, якщо у вас є план.
Мета-швидке відновлення до безпечного, мінімального рівня. Не ідеальне відновлення. Просто безпека.
Поєднайте цю оцінку з реальною стратегією MVP. Керівникам охорони здоров’я потрібно діяти прямо зараз. Оцінювати. Виправляти. Готуватися.
Тому що одного разу мережа замовкне. І вам доведеться продовжувати піклуватися про пацієнтів.
