برای ایمن سازی زیرساخت های فناوری اطلاعات موسسات مراقبت های بهداشتی، به بودجه ای برای سرمایه گذاری در راه حل های مناسب نیاز دارید، اما به مهارت نیز نیاز دارید. طرح France Relance اولین گام با حمایت از جنبه مالی است. با این حال، بدون نیروی انسانی، پروژه ها نمی توانند به طور موثر انجام شوند. بنابراین باید بر استخدام و همچنین بر آگاهی و آموزش برای همه حرفه های بیمارستانی تاکید شود. امنیت سایبری اکنون یک موضوع حاکمیتی است.

 

François Lancereau، کارشناس مراقبت های بهداشتی در WALLIX، یک شرکت نرم افزاری امنیت فناوری اطلاعات اروپایی که متخصص در دسترسی دیجیتال و مدیریت هویت است، در یک مصاحبه اختصاصی با Health & Tech Intelligence، مسائل و چالش های امنیت سایبری در موسسات مراقبت های بهداشتی را مورد بحث قرار می دهد.

اتحادیه اروپا تمام منافع خود را در تحمیل قوانین خود دارد

 

 عناصر کلیدی بحث :

– فرانسوا لانسرو معتقد است که بودجه‌های فعلی امنیت سایبری بیمارستان‌ها «کافی نیست» اما اشاره می‌کند که طرح بازیابی فرانسه نجات دهنده زندگی تعداد زیادی از مؤسسات مراقبت‌های بهداشتی بوده است: آنها را قادر می‌سازد تا راه‌حل‌هایی را به دست آورند که قبلاً نمی‌توانستند به دست آورند.

– او اصرار دارد که دستیابی به منابع انسانی شایسته در علوم کامپیوتر نیز ضروری است.

– وی خاطرنشان می کند: «موضوع امنیت فناوری اطلاعات باید در سطح جهانی در سازمان مورد بررسی قرار گیرد (مسائل حاکمیتی) و به عنوان مثال نه فقط توسط CISO، وی خاطرنشان می کند: «لازم است همه افراد در سازمان مالکیت موضوع را در اختیار بگیرند تا از نقض آن جلوگیری شود;

– یکی از مشکلات این است که همه کارکنان از اقدامات خوب آگاه شوند: “بدون مدیریت واقعی تغییر، پروژه امنیت سایبری ممکن است با شکست مواجه شود”.

– در گذشته، برخی از تولیدکنندگان آمریکایی یا ژاپنی می‌توانستند از کنترل‌ها یا قوانین خاصی اجتناب کنند، اما امروزه دیگر این امکان وجود ندارد. این همان جایی است که مقررات اروپایی کمک می کند: ما به سمت اصل “آنها دیگر انتخابی ندارند” حرکت می کنیم. این دیگر امکاناتی نیستند که با تولیدکنندگان تطبیق می‌دهند، این تولیدکنندگان هستند که با نیازهای امکانات سازگار می‌شوند.» WALLIX قبلاً بحث‌هایی را با بسیاری از آنها آغاز کرده است تا «این تغییر را آغاز کنند.

– فرانسوا لانسرو همچنین بر اهمیت یکپارچه‌سازی جنبه‌های امنیتی «با طراحی» تأکید می‌کند: «ما باید بر هر چیزی که قرار است وارد بیمارستان شود نظارت کنیم، مطمئن شویم که تجهیزات می‌توانند ایمن و/یا ایمن شوند».

– برای فرانسوا لانسرو، پرداخت باج «یک انحراف» است.

– در نهایت، او بر اهمیت ایجاد رفلکس‌های امنیتی خوب رایانه در میان نسل‌های جدید، از دوران دبستان تأکید می‌کند.

 

همه دسترسی های کاربر را «طبق اصل حداقل امتیاز» ایمن کنید

 

آیا می توانید در چند کلمه WALLIX و به ویژه فعالیت های خود را در بخش بهداشت معرفی کنید؟

فرانسوا لانسرو: تخصص ما ایمن سازی دسترسی و هویت دیجیتال است. ما در بیش از 90 کشور با بیش از 2000 مشتری در سراسر جهان حضور داریم. ما در فرانسه حضور پررنگی داریم، اما در 20 سال گذشته توانسته ایم در سطح بین المللی گسترش پیدا کنیم (این شرکت در سال 2003 تاسیس شد). این به ما امکان می دهد تا با تفاوت های متفاوتی که از نظر مقررات در بازار وجود دارد مقابله کنیم: با یک محصول، ما لزوماً بسته به منشاء مشتری خود کاربردهای یکسانی نداریم (برای مثال ایالات متحده یا فرانسه).

راه حل ما، WALLIX PAM4ALL (PAM: مدیریت دسترسی ممتاز)، با هدف ایمن کردن تمام دسترسی های کاربران – انسان یا ماشین – یک سازمان، مطابق با اصل حداقل امتیاز است. این امر به شما امکان می دهد تشخیص دهید چه کسی چه کاری، کجا، چه زمانی و چگونه انجام می دهد.

بخش های ترجیحی ما صنعت، مراقبت های بهداشتی و خدمات مالی، با تخصص قوی در اینترنت اشیا صنعتی (تجهیزات متصل / نمونه ها: ماشین های تولید کارخانه، اسکنر، روبات ها در آزمایشگاه ها، MRI و غیره): فناوری های حیاتی که اغلب بر روی نسخه های بسیار قدیمی اجرا می شوند. پنجره ها.

برخی از بیمارستان‌هایی که طی چند سال گذشته با آنها قرارداد بسته‌ایم – زمانی که WALLIX PAM4ALL را نصب کردند – متوجه رفتار کاربرانشان، به‌ویژه ارائه‌دهندگان خدماتشان شدند: گزارش دوره‌های اتصال، شناسایی تجهیزاتی که معمولاً دچار خرابی‌های منظم می‌شوند. از آنجایی که سنگر در جای خود قرار دارد، متوجه شده اند که این دستگاه ها دیگر هیچ خرابی ندارند، همه چیز خوب است. با راه حل خود، ما افراد را مسئول می کنیم: ما از کار کردن آنها جلوگیری نمی کنیم، هدف این است که آنها را ایمن کنیم.

 

آگاهی از نیاز به استخدام پروفایل های خبره

 

حملات سایبری در بخش مراقبت های بهداشتی در حال افزایش است، آخرین مورد حمله بسیار تبلیغاتی در مرکز بیمارستان Sud Francilien (CHSF) است. به نظر شما آیا تخصیص بودجه بیمارستان ها برای تضمین حفاظت سایبری آنها کافی است؟

بودجه فعلی بیمارستان کافی نیست همچنین درک این نکته مهم است که زمانی که در ابتدا انتصاب CIO در بیمارستان ها ضروری بود، این نقش اغلب به طور خودکار به پزشکانی که کم و بیش تمایل زیادی به فناوری اطلاعات داشتند، واگذار می شد. این سازمان از آن زمان تاکنون تغییرات زیادی کرده است: یا برخی از این پزشکان متخصص فناوری اطلاعات شده اند یا این سمت به افرادی واگذار شده است که کارشان بوده است. این روند قبل از همه گیری کووید آغاز شد و سپس به دلیل حملات مختلفی که در طول بحران و پس از آن در این بخش رخ داده است، ما موفق شده ایم در ناخودآگاه جمعی ادغام کنیم که لازم است این نقش را به افراد متخصص واگذار کنیم. بدانند در مورد چه چیزی صحبت می کنند.

پیش از این، CISO ها به عنوان یک نابودگر تلقی می شدند و درباره نیاز به داشتن بودجه اختصاصی امنیت سایبری، اجرای این یا آن رویه، افزایش آگاهی کارکنان و غیره هشدار می دادند. . معمولا به آنها گفته می شد که نه بودجه و نه زمانی برای اجرای توصیه های آنها وجود دارد. تا اینکه فاجعه رخ داد و درستی آنها ثابت شد. اگر از ابتدا به آنها گوش داده می شد، می شد از برخی موقعیت ها اجتناب کرد یا حداقل مهار شد.

امکانات مالی این امکان را به ما می دهد که از امکانات مادی و انسانی برخوردار شویم. طرح France Relance به مؤسسات با جنبه «سرمایه» کمک می کند، اما آنها باید درک کنند که برای مقابله با این مسائل نیز باید منابع انسانی داشته باشند.

بنابراین مسئله فقط مربوط به بودجه نیست، بلکه جنبه «وسائل» به معنای وسیع آن است: داشتن افراد شایسته و آموزش دیده… مزیت امروز این است که ما اکنون گوش واقعی برای مسائل امنیت سایبری داریم، توجهی که به آن توجه نکردیم. قبلا داشته باشید همه می دانند که یک حمله سایبری می تواند اثرات فاجعه باری بر خدمات بیمارستانی داشته باشد. برای مثال، اگر هکرها سیستم تهویه اتاق‌های عمل را از بین ببرند، باید فوراً سالن را ببندند، زیرا سالن بدون تهویه دیگر استریل نیست: اگر بیمار در زمان حمله روی میز عمل باشد و همه چیز متوقف شود. ، عواقب آن می تواند چشمگیر باشد.

 

نیاز به حاکمیت واقعی تا موضوع رایج شود

 

به نظر شما چه کسی باید این موضوع را در مراکز بهداشتی و درمانی برای جلوگیری از چنین حملاتی در اختیار بگیرد؟

مشکل این نیست که “چه کسی”، در غیر این صورت همه پول را می گذرانند تا زمانی که یکی از آنها آن را بگیرد، برای مثال CISO: و اگر اتفاقی بیفتد، او باید مسئولیت کامل را بپذیرد. موضوع باید با یک موضوع حاکمیتی واقعی گرفته شود تا به یک موضوع رایج تبدیل شود. دیگر امکان ندارد هرکسی در گوشه خودش عمل کند.

موضوع باید به صورت جهانی مطرح شود. CISO نقشی در ارائه توصیه‌ها خواهد داشت، زیرا وظیفه او تامین امنیت حرفه‌های مختلف است، اما او به حمایت بخش فناوری اطلاعات و کارکنان (پرستاران، پزشکان، افرادی که در آزمایشگاه کار می‌کنند و غیره) نیاز دارد. .

چیزی که پیچیده است این است که همه را همراهی کنیم. تغییر عادات کاری دشوار است. بنابراین آگاهی و آموزش هنگام اجرای پروژه های امنیت سایبری ضروری است. بدون مدیریت واقعی تغییر، پروژه ممکن است شکست بخورد. همه افراد در سازمان باید مالکیت موضوع را در اختیار بگیرند تا از تخلف جلوگیری شود.

با توجه به پیش بینی حملات، تعداد معینی از مؤسسات وجود دارد که در حال حاضر می توانند از راه حل هایی مانند VPN (شبکه خصوصی مجازی) برای اطلاع از ورود و خروج چه کسانی استفاده کنند. به عنوان مثال، وقتی شخصی برای تمیز کردن می آید، می تواند نشان را وارد کند و نشان دهد. اما چه تضمینی داریم که این شخص است که تمیز می کند؟ به خصوص که با این نوع نشان، این شخص می تواند به هر جایی از مؤسسه برود. این یکی از مشکلات اصلی است: ما نمی دانیم که افراد واقعاً در سازمان چه می کنند. هیچ بازخوردی وجود ندارد به عنوان مثال، اوبر در اواخر سال 2016 (و همچنین سپتامبر گذشته …) هک شد. این یک شرکت بزرگ آمریکایی است، با منابع زیادی، اما 2 سال طول کشید تا بدانند هک شده اند. هیچ مدرکی نداشتند.

امروز باید بتوانیم تمام نقاط ورود بالقوه هکرها را ایمن کنیم. تا زمانی که انسان وجود دارد، خطراتی نیز وجود خواهد داشت. مسئله «اگر» قرار است مورد حمله قرار بگیرم نیست، بلکه «چه زمانی» است.

 

“قوانین خوب هستند، اجرای آنها بهتر است”

 

آیا باید مقررات خاصی وضع شود؟ آیا فکر می کنید قانون مقاومت سایبری که در حال حاضر در سطح اروپا برای اشیاء متصل در حال تدوین است، باید تمدید شود؟

مقررات خوب است، اجرای آنها بهتر است. اگر از شما بخواهم 50 کار را در یک روز انجام دهید، امکان پذیر نیست. اما در واقع مواردی وجود دارد که باید قانون گذاری شود. به عنوان مثال، بسیاری از دستگاه های زیست پزشکی تولید شده توسط ناشران خارجی وجود دارد که تابع قوانین متفاوتی نسبت به ما هستند. برخی از آنها باید قوانین فرانسه را رعایت کنند: آنها دیگر نمی توانند آنطور که می خواهند عمل کنند، اما یک دوره عدم اطمینان وجود دارد.

برخی از مشتریان ما در حال حاضر دقیقاً با ما (WALLIX) در تماس هستند تا ما ببینیم که چگونه راه حل های خود را با هم ارتباط برقرار کنیم تا بتوانیم کارهایی که انجام می دهند را ردیابی کنیم زیرا امروزه هر موسسه بهداشتی قرار است بداند در چه چیزی در حال وقوع است. خانه

تا به حال، این تولید کنندگان این امکان را داشتند که از کنترل ها یا قوانین خاصی فرار کنند. امروز دیگر این امکان وجود ندارد. اینجاست که مقررات اروپایی کمک می کند: ما به سمت اصل “آنها دیگر انتخابی ندارند” همگرا می شویم. دیگر این موسسات نیستند که خود را با تولیدکنندگان تطبیق می دهند، بلکه تولیدکنندگان هستند که با نیازهای موسسات سازگار می شوند. به همین دلیل است که ما قبلاً با بسیاری از آنها برای شروع این تغییر گفتگوها را آغاز کرده ایم. در این زمینه است که قوانین فرانسه و اروپا بسیار مهم است.

از سوی دیگر، در داخل، برای بیمارستان ها، همانطور که گفتم، بیش از هر چیزی که نیاز دارند، است.

 

طرح بازیابی فرانسه برای تعداد زیادی از بیمارستان ها نجات بخش بوده است

 

نسخه به روز شده استاندارد گواهی HDS در دست ساخت است و نقشه راه جدید فرانسه برای سلامت دیجیتال 2023-2027 باید امنیت سایبری را در میان اولویت ها قرار دهد: انتظارات شما در مورد این تغییرات نظارتی چیست؟

شما باید در مورد امنیت “با طراحی” فکر کنید: وقتی راه حلی را ایجاد می کنید، باید از همان ابتدا از خود بپرسید که چگونه از ایمن بودن آن اطمینان حاصل کنید، یا حداقل چگونه ایمن سازی آن را آسان کنید. در اتاق عمل، اگر یک دوربین نصب کنید و آن را به زیرساخت فناوری اطلاعات وصل کنید، چگونه متوجه می شوید که از کجا آمده است و آیا سیستم امن است؟ شما باید هر چیزی را که وارد بیمارستان می شود کنترل کنید، مطمئن شوید که تجهیزات “ایمن” و/یا ایمن هستند.

به عنوان مثال، در WALLIX، ما جلسات افزایش آگاهی را در مدارس اصلی برای کسانی که رهبران کسب و کار فردا، مدیران فنی و اداری آینده خواهند بود، ایجاد کرده ایم. وقتی شخصی وارد ایمیل خود می شود و ایمیل عجیبی می بیند، اولین غریزه او باید این باشد که آن را باز نکند، به بخش فناوری اطلاعات خود بگوید و آن را حذف کند. وقتی در سازمان‌ها تست فیشینگ را انجام می‌دهیم، متوجه می‌شویم افرادی که به فیشینگ پاسخ می‌دهند همیشه آن‌هایی نیستند که ما به آنها فکر می‌کنیم. این می تواند یک مدیر یا یک مسئول پذیرش باشد: تأثیرات بسته به مشخصات یکسان نیست.

هدف ما این است که با فراتر رفتن از یادگیری اصول اولیه، این رفلکس ها را در نسل های جوان جدید توسعه دهیم. ایده این است که از سنین پایین، از دوران دبستان به بعد، آگاهی را افزایش دهیم، زیرا کودکان خیلی زود شروع به استفاده از ابزارهای دیجیتال می کنند. اقدامات خوب امنیت سایبری باید به یک بازتاب تبدیل شود، مانند آموزش به کودکان برای عبور از خیابان با نگاه به راست و چپ.

آیا احساس می کنید که قبلاً تحولی در آگاهی عمومی در مورد موضوع امنیت سایبری وجود داشته است؟

علاوه بر این، تا به حال، همه فکر می کردند که راه حل های PAM (مدیریت دسترسی ممتاز) واقعا مفید هستند، اما هیچ آگاهی واقعی از ضرورت آنها وجود نداشت. این دیگر مسئله نیست: اکنون واضح است که شما به این راه حل ها برای مدیریت هویت و دانستن آنچه در داخل می گذرد، نیاز دارید، اما همچنین ارائه دهندگان خدمات در حال انجام چه کاری هستند، زیرا یک بیمارستان چند صد ارائه دهنده خدمات دارد که هر روز وارد سیستم می شوند. این یک کندوی مردمی است که وارد و خارج می شوند. داشتن این نوع راه‌حل‌ها به ما امکان می‌دهد دوربین‌ها، کنترل‌های دسترسی، تشخیص رفتارهای عجیب و غریب و قرار دادن مکانیسم‌های مسدودکننده داشته باشیم.

از این نظر، طرح France Relance واقعا کمک می کند: بیمارستان ها را قادر می سازد راه حل هایی را که قبلاً به دلیل کمبود منابع مالی نمی توانستند خریداری کنند، به دست آورند. تنها اشکال این است که امکان تامین مالی در لحظه T را فراهم می کند. یک عنصر تکرار شونده وجود دارد که در سال های آینده قابل انتظار است.

در هر صورت، طرح France Relance برای تعداد زیادی از موسسات مراقبت های بهداشتی نجات بخش بوده است. شرم آور است که این همه طول کشید، اما اکنون اینجاست، این یک قدم به جلو است.

 

پرداخت‌های باج: «نهی عظیم در سراسر اتحادیه اروپا» مورد نیاز است

 

نظر شما در مورد پرداخت دیه چیست؟

شخصاً فکر می کنم پرداخت باج درخواستی هکرها یک انحراف است. به محض اینکه دولت اصل پرداخت باج توسط شرکت های بیمه را تأیید کند (این ممکن است مورد علاقه این شرکت ها باشد)، از دیدگاه یک مهاجم سایبری، این یک موهبت الهی است. همه هکرهای دنیا به فرانسه روی می آورند!

اینجاست که مقررات اروپایی ضروری است. ما در فرانسه در این زمینه بسیار پیشرفته هستیم، اما در طرف دیگر غول های آمریکایی (GAFAM) را داریم که تا به حال هر کاری می خواستند انجام داده اند. اروپا بیش از هر چیز دیگری علاقه دارد که خود را برای دیکته کردن قوانینش تحمیل کند. فرانسه به تنهایی نمی تواند کاری انجام دهد: یک “نه” عظیم در سطح کل اتحادیه اروپا مورد نیاز است.

 

 

در صورتی که این مقاله امنیت سایبری و سلامت: “چالش نه تنها مالی بلکه انسانی است” برای شما مفید و آموزنده بود، پیشنهاد می‌شود برای اطلاع از سایر مقالات مستر لایسنس به صفحه وبلاگ مستر لایسنس مراجعه نمایید.

small_c_popup.png

استعلام قیمت

لطفا درخواست لایسنس مورد نیاز خود را با تکمیل فرم انجام دهید.

small_c_popup.png

مشاوره تخصصی

برای شروع امروز با یک متخصص صحبت کنید!