Отчет Группы обеспечения кибербезопасности в сфере здравоохранения: анализ и рекомендации. Часть 5

Monitor in the hospital ward in the background of doctors. Concept of cooperation with the international medical community

В рекомендации 4.1 Группа советует здравоохранительным организациям участвовать в мероприятиях National Cybersecurity Awareness Month, а также становиться партнерами этой кампании. Группа призывает индустрию здравоохранения развивать программы осведомленности по вопросам кибербезопасности.

В связи с этим стоит отметить, что HIMSS вот уже 4 года является лидером National Cybersecurity Awareness Month. HIMSS также разрабатывает материалы для популяризации темы кибербезопасности в сфере здравоохранения, предназначенные для современных здравоохранительных организаций. Одна из их последних инициатив была разработана для Международного дня паролей (5 мая), в рамках которой одной из рекомендаций была реализация мультифакторной аутентификации (во взаимосвязи с Положением Группы №2 и Рекомендацией 2.4.2).

Положение №6: Увеличить доступность информации об угрозах, рисках и последствиях в индустрии здравоохранения.

Индустрия здравоохранения уже находится не в той эпохе, когда возможно было «оставаться слепыми» к киберугрозам. Каждый (включая крохотные, маленькие, средние и большие здравоохранительные организации) должен иметь возможность получить информацию о киберугрозах, рисках и возможных последствиях. Как уже было сказано ранее, индустрия здравоохранения настолько надежна, насколько надежна ее самая слабая взаимосвязь. Поэтому осведомленность информацией важна для всех нас. Доступность информации позволяет увеличить ситуационную осведомленность, принятие угроз и рисков, а также дает нам типовое знание (другими словами, что нужно делать при возникновении инцидента, связанного с безопасностью).

Тем не менее, хотя доступность информации очень важна для всех нас, информация всё же должна создаваться для общественности. Как отмечает Группа, доступная информация должна создаваться для потребления малыми и средними организациями (Рекомендация 6.1). Такие организации могут попросту не иметь достаточно штатного персонала, который мог бы принимать и обрабатывать столь большие объемы информации. Вместо этого, нужно предоставлять информацию в доступной, емкой и понятной форме для этих организаций (Хоть это и не отмечено в Отчете Группы, но в качестве примера можно привести HIMSS Healthcare and Cross-Sector Cybersecurity Reports).

Группа также рекомендует представителям индустрии здравоохранения регулярно проводить мероприятия, проверяющие и повышающие их подготовленность в этом вопросе (Рекомендация 6.3). Группа отмечает, что такие мероприятия могут проводиться регулярно для проверки важных планов, а также создания и разрешения типовых сценариев инцидентов. В подобном моделировании можно проработать действия на случай атак регионального, национального и глобального уровней.

Заключение

Заглядывая в будущее, Группа призывает других представителей индустрии здравоохранения работать над созданием всевозможных решений. Среди рекомендаций к дальнейшей работе Группа отмечает необходимость дальнейших дискуссий в рамках специальных форумов по вопросу кибербезопасности в индустрии здравоохранения.