LeadingAge 2025: Защита уязвимой отрасли на фоне возникающих угроз
Многие кибератаки и утечки данных, которые попадают в заголовки газет, как правило, направлены прежде всего на традиционных поставщиков медицинских услуг, однако организации по уходу за пожилыми людьми также подвергаются атакам.
В 2024 году одна из нью-йоркских организаций по уходу за пожилыми людьми сообщила, что несанкционированный доступ к системе потенциально мог привести к утечке данных более 104 000 человек . А, согласно отчёту Wall Street Journal , организации по уходу за пожилыми людьми из Южной Калифорнии потребовались месяцы, чтобы уведомить более 26 000 человек об утечке данных в 2023 году.
Вот почему безопасность данных и соответствие требованиям были в центре внимания докладчиков на ежегодной встрече LeadingAge 2025 в Бостоне, особенно руководителей базирующейся в Огайо организации по уходу за пожилыми людьми Eliza Jennings , которые регулярно обсуждают эти темы на ежегодной конференции.
Нажмите на баннер ниже , чтобы прочитать последний отчет CDW по исследованию кибербезопасности.
Вице-президент и главный юрисконсульт Дженнифер Гривеас подчеркнула важность анализа рисков, связанных с обновлёнными правилами безопасности HIPAA . Организации часто упускают из виду этот важный фундамент для защиты конфиденциальных данных.
«Шаг первый: если вы не проводили анализ рисков, связанных с правилами безопасности HIPAA , вам необходимо провести анализ рисков, связанных с правилами безопасности HIPAA», — сказал Гривеас.
Она сказала, что многие штрафы, наложенные Управлением по гражданским правам Министерства здравоохранения и социальных служб США на поставщиков медицинских услуг, которые столкнулись с нарушениями, часто были обусловлены отсутствием конкретного анализа рисков.
Небольшие организации могут выполнить такую задачу самостоятельно, используя общедоступные ресурсы, но партнерство может быть полезным для тех, у кого нет выделенного персонала по ИТ-безопасности, или для отделов, которые уже перегружены решением других приоритетных задач.
Это также требует регулярного обслуживания, поскольку в нынешней ситуации с безопасностью киберинцидент — это сценарий «когда, а не если». Добавьте к этому развитие инструментов и процессов на базе искусственного интеллекта, и станет понятно, что организациям по уходу за пожилыми людьми нужно учитывать больше, когда речь идёт о защите личной медицинской информации .
«Если у вас такая ситуация, а затем происходит нарушение, и OCR хочет проверить вашу оценку риска, связанного с правилами безопасности, а вы говорите: „Вот она от 2019 года“, вы никак не можете быть в курсе последних данных о рисках, особенно до пандемии и сейчас, после внедрения ИИ. Всё, что мы делали, меняется», — сказал Гривеас.
Такой анализ рисков не следует игнорировать руководящим организациям, поскольку он служит полезной отправной точкой по мере внедрения новых технологий в ИТ-среду. Он помогает членам команды понять, что входит в их ИТ-среду и кто имеет к ней доступ.
«Мне кажется, люди иногда считают правила безопасности HIPAA сугубо техническими, но это не так. Это всего лишь структура», — добавила она.
Нажмите на баннер ниже , чтобы подписаться на еженедельную рассылку HealthTech.
Вице-президент по ИТ и директор по соблюдению нормативных требований Майкл Грей также подчеркнул важность обновления знаний о различных кибератаках. Он отметил, что пять-шесть лет назад лишь немногие поднимали руки, когда участников спрашивали, знают ли они, что такое атаки программ-вымогателей. Сегодня же они широко известны в отрасли.
«Если мы не знаем об этих рисках и наши сотрудники не знают, в чем заключаются эти риски, мы не сможем по-настоящему защититься от них», — сказал он.
Злоумышленники теперь будут стараться оставаться в среде целевой организации как можно дольше и могут даже попытаться провести несколько атак . Существуют также посредники, предоставляющие первичный доступ, которые, взломав сеть организации, продают доступ другим. По мере того, как методы социальной инженерии становятся всё более изощрёнными, многофакторная аутентификация становится всё более устойчивой к фишингу .
По словам Грея, даже если организация, предоставляющая услуги по уходу за пожилыми людьми, уверена в своей готовности к кибератаке, длительное время восстановления неизбежно, а это значит, что командам разных отделов необходимо знать, как поддерживать работу в условиях отсутствия систем. По его словам, на настольных учениях , которые он посетил, одной из проблем было то, умеют ли молодые сотрудники составлять бумажные графики, поэтому необходимо было продумать, кто сможет быстро обучиться составлению бумажных графиков.
«Даже если вы очень хорошо подготовлены, восстановление работы систем занимает много времени. Ваша страховая компания по кибербезопасности и компания, предоставляющая услуги криминалистической экспертизы, должны быть на 100% уверены в чистоте вашей среды, прежде чем возвращать системы в строй», — сказал Грей.
Речь идет не только о наличии лучшего набора инструментов безопасности ; люди, из которых состоит организация, должны хорошо разбираться в стратегии безопасности и регулярно проходить обучение .
«Мы действительно являемся ярыми сторонниками того, чтобы за столом переговоров присутствовали люди с необходимыми знаниями, которые либо занимают руководящие должности, либо взаимодействуют с вашим управляющим советом, консультируют высшее руководство или входят в его состав, чтобы иметь возможность в полной мере оценить: «Делаем ли мы все необходимое, чтобы обеспечить себе необходимую защиту?» — сказал Гривеас.
Сохраните эту страницу в закладках, чтобы не пропустить наши материалы о ежегодной встрече и выставке LeadingAge 2025. Следите за нами в X: @HealthTechMag и присоединяйтесь к обсуждению по хэштегу #LeadingAge25 .
healthtechmagazine
