LeadingAge 2025: Zabezpieczanie wrażliwej branży w obliczu pojawiających się zagrożeń
Wiele cyberataków i naruszeń bezpieczeństwa danych, o których donoszą media, ma na celu podkreślenie wpływu na tradycyjnych dostawców opieki zdrowotnej, jednak celem ataku stają się również organizacje zajmujące się opieką nad osobami starszymi.
W 2024 roku nowojorska organizacja zajmująca się opieką nad osobami starszymi poinformowała, że nieautoryzowany dostęp do systemu potencjalnie naraził na szwank dane ponad 104 000 osób . Według raportu „Wall Street Journal” , organizacja zajmująca się opieką nad osobami starszymi z południowej Kalifornii potrzebowała miesięcy, aby powiadomić ponad 26 000 osób o naruszeniu danych w 2023 roku.
Dlatego też kwestie bezpieczeństwa danych i zgodności z przepisami były priorytetem dla prelegentów na corocznym spotkaniu LeadingAge 2025 w Bostonie, a w szczególności dla liderów Elizy Jennings , organizacji zajmującej się opieką nad osobami starszymi z siedzibą w Ohio, która regularnie omawia te tematy podczas corocznej konferencji.
Wiceprezes i dyrektor ds. prawnych Jennifer Griveas podkreśliła znaczenie zaktualizowanej analizy ryzyka związanego z przepisami bezpieczeństwa HIPAA . Organizacje często pomijają ten fundamentalny element ochrony poufnych danych.
„Krok pierwszy: jeśli nie przeprowadzono analizy ryzyka związanego z przepisami bezpieczeństwa HIPAA , należy ją przeprowadzić” – powiedział Griveas.
Stwierdziła, że wiele kar nałożonych przez Biuro Praw Obywatelskich Departamentu Zdrowia i Opieki Społecznej USA na placówki opieki zdrowotnej, które doświadczyły naruszeń, wynikało często z braku konkretnej analizy ryzyka.
Mniejsze organizacje mogą być w stanie przeprowadzić taki projekt samodzielnie, korzystając z ogólnodostępnych zasobów, ale partnerstwo może okazać się przydatne dla tych, którzy nie dysponują wydzielonym personelem ds. bezpieczeństwa IT lub dla działów, które są już przeciążone innymi priorytetami.
To również coś, co wymaga regularnego nadzoru, ponieważ w obecnym krajobrazie bezpieczeństwa incydent cybernetyczny to scenariusz „kiedy, a nie czy”. Dodając do tego rozwój narzędzi i procesów opartych na sztucznej inteligencji, organizacje opieki nad osobami starszymi mają więcej do rozważenia, jeśli chodzi o ochronę danych osobowych dotyczących zdrowia .
„Jeśli masz taką sytuację, a potem dochodzi do naruszenia, a OCR chce przeanalizować twoją ocenę ryzyka związanego z regułami bezpieczeństwa, a ty mówisz: »Oto dane z 2019 roku«, nie ma mowy, żebyś był na bieżąco z oceną ryzyka, zwłaszcza przed pandemią, a teraz, po wprowadzeniu sztucznej inteligencji. Wszystko, co zrobiliśmy, ulega zmianie” – powiedział Griveas.
Ta analiza ryzyka to coś, czego organizacje wyższego szczebla nie powinny ignorować i stanowi pomocną bazę wyjściową w miarę dodawania nowych technologii do środowiska. Może pomóc członkom zespołu zrozumieć, co stanowi część ich środowiska IT i kto ma do niego dostęp.
„Myślę, że ludzie czasami myślą o przepisach bezpieczeństwa HIPAA jako o czymś bardzo technicznym, a tak nie jest. To kwestia struktur” – dodała.
Kliknij baner poniżej , aby zapisać się na cotygodniowy newsletter HealthTech.
Wiceprezes ds. IT i dyrektor ds. zgodności z przepisami Michael Gray podkreślił również wagę aktualizacji wiedzy na temat różnych cyberataków. Zauważył, że pięć lub sześć lat temu, gdy pytano uczestników, czy wiedzą, czym jest atak ransomware, unosiło się w górę tylko kilka rąk. Dziś są one bardzo dobrze znane w branży.
„Jeśli nie jesteśmy świadomi tych zagrożeń i nasi pracownicy nie wiedzą, na czym one polegają, nie będziemy w stanie się przed nimi skutecznie bronić” – powiedział.
Złośliwi atakujący będą teraz starali się pozostać w środowisku organizacji docelowej tak długo, jak to możliwe, a nawet mogą próbować przeprowadzać wielokrotne ataki . Istnieją również brokerzy dostępu początkowego , którzy po włamaniu się do sieci organizacji sprzedają dostęp innym. Wraz ze wzrostem wyrafinowania metod socjotechnicznych, uwierzytelnianie wieloskładnikowe ewoluuje , stając się bardziej odporne na phishing .
Nawet jeśli organizacja opieki nad osobami starszymi uważa, że jest gotowa na cyberataki, długi czas odzyskiwania danych jest nieunikniony, co oznacza, że zespoły w różnych działach muszą wiedzieć, jak utrzymać ciągłość działania, gdy systemy są offline. Podczas ćwiczeń symulacyjnych , w których uczestniczył, jednym z problemów, jak powiedział, była wiedza młodszych pracowników na temat umiejętności sporządzania wykresów na papierze, dlatego należało rozważyć, kto mógłby przeprowadzić szybkie szkolenie z zakresu sporządzania wykresów papierowych.
„Nawet jeśli jesteś doskonale przygotowany, przywrócenie działania systemów zajmuje dużo czasu. Twój ubezpieczyciel cyberzagrożeń i firma zajmująca się analizą kryminalistyczną, z której usług korzystają, muszą mieć 100% pewności, że twoje środowisko jest czyste, zanim przywrócą działanie twoich systemów” – powiedział Gray.
Nie chodzi tylko o posiadanie najlepszego zestawu narzędzi zapewniających bezpieczeństwo ; ludzie tworzący daną organizację muszą dobrze znać strategię bezpieczeństwa i regularnie uczestniczyć w szkoleniach .
„Jesteśmy wielkimi zwolennikami tego, aby przy stole negocjacyjnym zasiadali ludzie dysponujący odpowiednią wiedzą, którzy pełnią funkcje kierownicze lub współpracują z radą nadzorczą, doradzają kadrze kierowniczej wyższego szczebla lub są jej członkami, aby mogli w pełni ocenić, czy robimy to, co konieczne, aby zapewnić sobie potrzebną ochronę” – powiedział Griveas.
Dodaj tę stronę do zakładek, aby być na bieżąco z naszą relacją z dorocznego spotkania i targów LeadingAge 2025. Obserwuj nas na X @HealthTechMag i dołącz do dyskusji pod hashtagiem #LeadingAge25 .
healthtechmagazine
