Četiri strategije za zaštitu medicinskih podataka iz NHS-a

Ako zdravstvene ustanove uspostave bolje prakse zaštite, mogu efikasnije obezbediti svoje sisteme i visoko osetljive podatke koje poseduju

Napadi na sajber bezbednost zdravstvenih ustanova mogu imati ozbiljne posledice po život pacijenata. Zdravstvene organizacije moraju obezbediti zaštitu privatnosti i fizičkog blagostanja pacijenata u svakom trenutku, a britanska vlada radi na postizanju toga kroz sprovođenje nove NHS strategije za sajber sigurnost.

Strategija za sajber sigurnost u zdravstvu ima za cilj postizanje otpornosti na sajber napade u sektoru do 2030. godine, ugrađujući sigurnost koja podržava nove tehnologije i smanjuje uticaj i vreme oporavka od incidenata. Ali kako se ovi ciljevi najbolje mogu postići?

Ako zdravstvene organizacije uspostave bolje prakse zaštite, mogu efikasnije obezbediti svoje sisteme i visoko osetljive podatke koje poseduju. Četiri načina za postizanje toga su:

1. Prihvatanje principa minimalnih privilegija

Započnite primenom principa minimalnih privilegija – ključnog načela Zero Trust koncepta. Ovo je suštinsko jer osigurava da korisnici imaju pristup samo softveru, sistemima i aplikacijama koji su im potrebni za obavljanje posla, a ne celokupnoj korporativnoj mreži. Ovaj pristup ne samo da pomaže u zaštiti podataka, ograničavajući potencijalnu štetu koju napadi mogu izazvati, već takođe može unaprediti produktivnost tako što će pojednostaviti digitalne portfolije svakog zaposlenog.

2. Eliminisanje uređaja koje ne kontrolišete

Princip minimalnih privilegija treba upotpuniti efikasnim upravljanjem uređajima koji se koriste za pristup mrežama. Neupravljani uređaji mogu smanjiti vidljivost, narušiti sigurnosne protokole i proširiti površinu napada organizacije, omogućavajući sajber kriminalcima da lakše iskoriste krajnje tačke korisnika. Važno je osigurati da samo uređaji odobreni od strane IT sektora dobijaju pristup mreži.

3. Enkripcija podataka kao standard

Svi podaci bi trebali biti šifrovani na upravljanim uređajima kao standard, posebno u hardveru gde je to moguće, jer to općenito pruža veću sigurnost od softverske enkripcije. Na primer, USB uređaji za skladištenje sa hardverskom enkripcijom i autentifikacijom PIN-om mogu ponuditi najviši nivo zaštite podataka, istovremeno eliminišući rizik od beleženja tastature i snimanja ekrana, kao i uklanjanje određenih operativnih sistema. Ovo je jednostavan način za umanjivanje ljudske greške i osiguranje usklađenosti sa modernom zakonodavstvom o sigurnosti.

4. Uspostavljanje pouzdane strategije za rezervne kopije

Iako je otpornost na sajber napade važna, ona mora biti praćena efikasnim praksama oporavka, kako bi zdravstvene organizacije mogle efikasno i brzo odgovoriti u slučaju napada. U tu svrhu, treba implementirati strategiju za rezervne kopije, uz poželjno korištenje pravila 3-2-1, koje preporučuje da organizacije čuvaju najmanje tri kopije podataka na najmanje dva različita medijuma, pri čemu se najmanje jedna kopija čuva van objekta. Održavanje fizičkih rezervnih kopija čak i ako se koristi skladištenje u oblaku je ključno u slučaju da pružalac usluga u oblaku doživi prekid rada ili se suoči s napadom. Pokrivanjem svih aspekata, organizacije će biti dobro postavljene za brz i pouzdan oporavak.

Naravno, postoji još mnogo drugih aspekata nove Strategije sajber sigurnosti u zdravstvu i važno je naglasiti da je svest, edukacija i obuka takođe snažan alat za smanjenje potencijalnih propusta povezanih s povredama sigurnosti. Takvi napori moraju takođe biti podržani pravilnim protokolima, procesima i tehnologijama kako bi se ograničila odgovornost zaposlenih, minimizirala ljudska greška i podstakle najbolje sigurnosne prakse.

Usvajanjem pravih alata, stručnosti i rešenja, organizacije mogu preduzeti jednostavne, ali izuzetno važne korake kako bi se osigurale da su usklađene sa najboljim praksama sigurnosti.

Prateći ova četiri koraka, zdravstvene ustanove će biti dobro postavljene da postignu efikasnu, višeslojnu sigurnost sposobnu da umanji savremene sajber pretnje.