البودكاست: العب في نافذة جديدة | تحميل (المدة: 37:11 — 34.0 ميجابايت)
الاشتراك: أبل بودكاست | سبوتيفي
يرسم فيل إنجليرت من Health-ISAC كيف ستتغير عقود البائعين وطلبات تقديم العروض للمعدات وأدوات المراقبة مع دخول تفويضات أمان HIPAA الجديدة حيز التنفيذ. شاهد أدناه أو على يوتيوب.
فيل إنجلرت، نائب رئيس أمن الأجهزة الطبية في Health-ISAC
هناك اثنان من التفويضات المحتملة لـ HIPAA ستشكل تحديًا كبيرًا لرؤساء أمن المعلومات في مجال الرعاية الصحية: جرد الأجهزة ورسم خرائط PHI. كلاهما يأتي مع تحديث قاعدة الأمان المتوقع في وقت لاحق من هذا العام. يجب أن يتم تنفيذ اختبارات القلم وتقييمات المخاطر والمصادقة متعددة العوامل بسهولة أكبر.
فيل إنجلرت، نائب رئيس أمن الأجهزة الطبية في الصحة-ISACقال إن هذين المتطلبين سيختبران حتى أنظمة الرعاية الصحية ذات الموارد الجيدة. وفي حديثه في معرض healthsystemCIO، ناقش ما يمكن توقعه وأين يجب أن يبدأ التخطيط الأصعب.
تضم Health-ISAC ما يقرب من 1300 منظمة عضو، بما في ذلك الشركات المصنعة والموردين وشركات الأدوية ومنظمات الصحة العامة وشركات التأمين والدافعين. تقود المجموعة أكثر من 26 مجموعة عمل يقودها الأعضاء، بما في ذلك مجموعات عمل تركز على إدارة الهوية والوصول والكم والذكاء الاصطناعي. يقود إنجليرت سير عمل أمان الأجهزة الطبية ويدعم ثلاثة مجالس إقليمية في الأمريكتين وأوروبا وغرب المحيط الهادئ.
سوف تتولى أدوات المراقبة الناضجة جزءًا كبيرًا من عبء المخزون
تشمل ولاية المخزون أكثر من مجرد الأجهزة الطبية. يجب أن تأخذ أنظمة الرعاية الصحية أيضًا في الاعتبار التكنولوجيا التشغيلية التي تدعم الرعاية السريرية. إنهم بحاجة إلى جرد التطبيقات السريرية وواجهاتهم مع شركاء الأعمال. ووفقا لإنجليرت، فقد نضجت الأدوات بشكل كبير في السنوات الأخيرة.
وقال: “لقد كان هناك نضج كبير في قدرات المراقبة النشطة والسلبية في صناعة الرعاية الصحية، وأصبحت هذه الأدوات السلبية جيدة جدًا في تحديد الأجهزة”. “إنهم لا ينظرون فقط إلى الأجهزة الطبية، بل ينظرون أيضًا إلى أجهزة التكنولوجيا التشغيلية. هناك شركات وجدت القدرة على إدارة حتى بعض المخاطر الأمنية المرتبطة بالتقنيات المدمجة، سواء كانت تحديثات البرامج الثابتة أو تناوب كلمات المرور أو حظر ومعالجة إدارة الأجهزة الكبيرة المصممة لهذا الغرض والتي تعتبر شائعة في العديد من الصناعات، وليس فقط الرعاية الصحية.”
إن النضج مهم لأن القواعد ستنقل عدة بنود من الموصى بها إلى الإلزامية. سيتعين على أنظمة الرعاية الصحية التعامل مع أعمال الجرد بالإضافة إلى اختبار القلم المنتظم وتجديد تقييمات المخاطر. بالإضافة إلى ذلك، قال إنجليرت إن منصات الحوكمة والمخاطر والامتثال الحالية تلتقط المخاطر بشكل جيد. ومع ذلك فإنهم يقصرون في التعرف عليهم. وتنعكس هذه الفجوة في الركائز الثلاث للرعاية الصحية: سلامة المرضى، وخصوصية البيانات، واستمرارية الرعاية.
سوف يؤدي رسم خرائط PHI إلى إعادة تشكيل العلاقات بين شركاء الأعمال
يتطلب رسم خرائط PHI عضلة مختلفة. يجب أن تقوم أنظمة الرعاية الصحية بتتبع المعلومات الصحية المحمية منذ وقت إنشائها ومكان وجودها ومكان مغادرتها للمؤسسة. يبدأ الكثير من هذه المعلومات على الأجهزة الطبية. يمكن لأدوات المراقبة السلبية أن تحل جزءًا مهمًا من اللغز لأنها تقوم بالفعل بتحليل حركة مرور الشبكة. ومع ذلك، فإن حركة المرور المشفرة والتطبيقات السريرية المستضافة على السحابة ستتطلب نهجًا مختلفًا.
وقال: “بينما ندفع نحو التطبيقات السريرية التي نستخدمها لدعم الرعاية الصحية، سواء كانت السجلات الصحية الإلكترونية الخاصة بك، أو نظام PACS الخاص بك، سواء كانت أنظمة PACS هذه محلية أو في السحابة، فقد يصبح الأمر أكثر تعقيدًا بعض الشيء”. “سيتعين علينا أن نفكر في التواصل مع شركائنا التجاريين للقيام بهذا الأمر نيابةً عنا وإعلامنا بما سيأتي. لذلك أعتقد أن هذا يمثل إعادة هيكلة لما نقوم به وكيفية تفاعلنا مع العديد من شركاء الأعمال الذين نعتمد عليهم.”
ولإعادة الهيكلة عواقب مباشرة على العقود وتوثيق تدفقات البيانات. وعلى وجه الخصوص، ستحتاج المنظمات إلى رؤية أوضح للعقود. إنهم بحاجة إلى معرفة مكان وجود البيانات، وكيفية تحركها، وما هي الضوابط التي تحميها. وأشار إنجليرت أيضًا إلى أنه تتم مناقشة الجدول الزمني لتنفيذ بعض الأحكام لمدة 60 يومًا. ولن تترك هذه النافذة مجالاً كبيراً لإعادة التفاوض البطيء.
تصبح طلبات تقديم العروض المدركة للإنترنت هي الرافعة لاستبدال الأنظمة الحالية
وهناك تحول آخر طويل الأمد يكتسب زخما. تقوم أنظمة الرعاية الصحية بكتابة المتطلبات السيبرانية مباشرة في طلبات تقديم العروض الخاصة بمعداتها. وهي تستبعد المعدات التي لا يمكنها دفع المنظمة إلى الأمام. ووفقا لإنجليرت، فإن هذا النهج هو المسار الأكثر واقعية لسحب البنية التحتية القائمة. إنه يعمل بشكل جيد بشكل خاص مع الأجهزة المصممة لهذا الغرض والمقاومة للتصحيح.
عادةً ما تظل الأجهزة الطبية قيد الاستخدام لمدة 10 أو 12 أو حتى 20 عامًا. ونتيجة لذلك، فإن قرارات الشراء هذه تكون بمثابة أعمال إشراف طويلة الأجل. على سبيل المثال، تشير تقارير جمعية المستشفيات الأمريكية إلى أن الحد الأدنى المتوقع لعمر الجهاز الطبي هو سبع سنوات تقريبًا، في حين أن العديد منها يدوم لفترة أطول بكثير. سيحدد الوضع السيبراني للمعدات التي تم شراؤها اليوم ملف تعريف المخاطر الخاص بالمؤسسة بما يتجاوز فترة ولاية أي رئيس أمن معلومات حالي.
وقال إنجليرت إن سلوك المصنعين يعزز هذا التحول. يقوم العديد منهم الآن بدمج ممارسات تطوير البرمجيات الآمنة في أنظمة الجودة الخاصة بهم. وينبغي للأجهزة الجديدة أن تخفف العبء عن كاهل الجهات التنظيمية في الولايات المتحدة، وأوروبا، والفلبين، وأماكن أخرى. ونتيجة لذلك، يمكن لأنظمة الرعاية الصحية التي تلتزم بالمتطلبات السيبرانية وقت الشراء تقديم تحسينات إضافية على الأجهزة بمرور الوقت. ويجب عليهم أيضًا الاستعداد لقدرات المسح المعتمدة على الذكاء الاصطناعي لتصبح معيارًا لكل من المهاجمين والمدافعين. وفقًا لإنجليرت، فإن هذا التحول سيجبر الفرق على إعادة التفكير في الطريقة التي تعمل بها الإنترنت بسرعة الآلة.
خذها بعيدا
- قم بالتخطيط لمخزون كامل من الأجهزة الطبية والتطبيقات السريرية الآن، قبل تطبيق قاعدة أمان HIPAA الجديدة.
- استفد من أدوات المراقبة النشطة والسلبية الناضجة لتسريع اكتشاف الجهاز وتقليل عبء العمل اليدوي.
- توقع أن يؤدي تعيين PHI إلى إعادة تشكيل العقود ورؤية تدفق البيانات مع السجلات الصحية الإلكترونية وPACS وشركاء التطبيقات السريرية الآخرين، خاصة في السحابة.
- الانتقال من تقييم المخاطر إلى تقييم الأثر، وتحقيق التوازن بين سلامة المرضى وخصوصية البيانات واستمرارية الرعاية.
- قم بدمج المتطلبات السيبرانية مباشرة في طلبات تقديم العروض للمعدات لإيقاف البنية التحتية القديمة على مدار دورة حياة المعدات التي تتراوح من 10 إلى 20 عامًا.
- فكر في شراء المعدات الطبية باعتباره قرارًا إشرافيًا طويل المدى والذي سيستمر لفترة أطول من معظم فترات العمل الإدارية.
وقال إنجليرت إن أكبر تحول ثقافي هو نقل الأمن السيبراني من مكتب رئيس أمن المعلومات إلى الأعمال الأوسع، حيث تكمن المخاطر بالفعل. وقال: “المنظمات التي تدرك ذلك، تطلب من قادة الأعمال التوقيع على المخاطر، ومن ثم حملهم على الالتزام بتقليل تلك المخاطر داخل وحدات أعمالهم الفردية، وهذا هو ما يفعلونه بالأساس”.
