چرا آموزش آگاهی از امنیت در مراقبت‌های بهداشتی باید بخشی از راهبرد امنیتی شما باشد؟

آموزش آگاهی از امنیت چیست؟

حوزه سلامت شاید یکی از صنایع دارای بیشترین اطلاعات باشد. اطلاعات سلامت شخصی بخشی از مسیری حیاتی است که بر زندگی روزمره و سلامت ما اثر می‌گذارد.

صحت و محرمانگی این اطلاعات نه‌تنها برای تندرستی فرد بلکه برای ادامه نوآوری در این صنعت مهم‌ترین مسئله است.

اینکه حوزه سلامت بخشی از انقلاب عظیم داده‌هاست، در دورانی که چشم‌انداز جرائم سایبری هنوز آن‌چنان تهدیدکننده نیست، بدین معناست که این صنعت یکی از اهداف اولیه برای حملات سایبری است. در سال ۲۰۱۴ FBI اخطاری را مطرح کرد مبنی بر اینکه حوزه سلامت در نگرش خود نسبت به تهدیدات امنیت سایبری در قیاس با دیگر بخش‌های صنعت غافل بوده است. پیامد این غفلت در شواهدی که گروه تحقیقاتی نیروی X IBM پیدا کرد اثبات شد. این شواهد نشان می‌دهند که حوزه سلامت در سال ۲۰۱۵ بیشترین هدف حملات بوده است. این شاید به‌واسطه موضع منحصربه‌فردی باشد که حوزه سلامت خود را در آن می‌یابد: حوزه سلامت با شکافی میان مدیریت اطلاعات عظیم تولیدشده توسط صنعتی گسترده‌تر و درک و کاهش تهدیدات تحمیل‌شده از سوی جرائم سایبری مواجه است.

این وضعیت با سرعت تغییر فناوری پیچیده‌تر می‌شود. روش‌های جدید تولید اطلاعات حساس در حال ورود به عرصه اطلاعات هستند. طبق تحقیقی که توسط موسسه تحقیقات بهداشتی PWC انجام شد، ۸۶ درصد از متخصصان بالینی معتقدند که دستگاه‌های تلفن همراه بخش مهمی از مدیریت سلامت بیمار طی چند سال آینده خواهند بود؛ و ورود اینترنت اشیاء (IoT) به حوزه حوزه سلامت لایه جدیدی از حفاظت اطلاعات را اضافه می‌کند که قبلاً تجربه نشده است.

با تمام این متغیرهای اثرگذار جدید ما باید موضعی واکنشی اختیار کنیم و برنامه‌ای را برای آگاهی از امنیت تدوین کنیم. آگاهی از امنیت، از آموزش و دانش برای مهار کابوس تهدیدات امنیتی در تمام اشکال آن استفاده می‌کند. آگاهی از امنیت کل حوزه امنیت را پوشش می‌دهد و بر مبنای دانش نیروی کار شما حول مسائل امنیتی که با آن مواجه می‌شوند می‌افزاید تا در کاهش خطرات به آن‌ها کمک کند. آموزش آگاهی از امنیت تمام افراد یک سازمان را زیر چتر آموزش گرد هم می‌آورد و تضمین می‌کند که حیطه دانش فعال حول تهدیدات امنیت سایبری یکنواخت است. آگاهی از امینت به مسائل زیر می‌پردازد:

-خلق فرهنگ شناخت واکنشی امنیت که در چشم‌انداز امنیتی وسیع‌تری در حال وقوع است مثل اهمیت حملات فیشینگ (pishing).
-احترام به محرمانگی افراد
-اطلاع ماهیت اطلاعات بهداشتی حفاظت‌شده (PHI) و دلیل لزوم حفاظت از آن‌ها
-درک این مسئله که امنیت بخشی از کل سازمان است و بر هر فردی اثرگذار است
-اطلاع قوانین امنیتی و محرمانگی که برای حوزه سلامت به کار می‌روند و آثار آن‌ها

آموزش آگاهی از امنیت اگر به‌خوبی انجام شود می‌تواند به‌اندازه فناوری که شما برای پیشگیری از حملات سایبری به کار می‌گیرید بخشی حیاتی از راهبرد امنیتی کلی شما باشد.

چرا به آموزش آگاهی از امنیت در حوزه سلامت نیاز داریم؟

امنیت و محرمانگی در تعدادی از چارچوب‌های قانونی آمریکا نفوذ است. حجم خوبی از قانون‌گذاری‌ها و دستورالعمل‌های کلی وجود دارند که حفاظت از اطلاعات و محرمانگی را پوشش می‌دهند و برخی از آن‌ها بیشتر بر مراقبت‌های بهداشتی متمرکز هستند. آمریکا رویکردی موزاییکی را در قبال حفاظت از اطلاعات اتخاذ کرده است و هیچ قانون فدرال فراگیری برای پوشش مسائل امنیتی پیرامون اطلاعات شخصی نداده‌ است. دو حوزه اصلی در قانون‌گذاری حوزه سلامت وجود دارند که حفاظت از اطلاعات شخصی یا اطلاعات بهداشتی حفاظت‌شده (PHI) را پوشش می‌دهند: قانون قابلیت انتقال بیمه سلامت و پاسخگویی (HIPPA) و فناوری اطلاعات بهداشتی برای سلامت اقتصادی و بالینی (HITECH). این دو قانون در کنار هم برای پوشش انتظارات امنیتی از کل جامعه حوزه سلامت کار می‌کنند و در حال گسترش رو به بالا به سمت انجمن‌های تجاری تأمین‌کنندگان مراقبت‌های بهداشتی هستند.

این دو قانون همراه باهم پیش‌نیازهای افشای تخلف‌های اطلاعاتی را تعیین می‌کنند که عبارت‌اند از:

مقررات برای اطلاع‌رسانی نقض HIPPA: این قانون مقرر می‌کند که هرگونه نقض PHI باید برای هر دو طرف بیماران و دولت افشا شود (نقض به معنای استفاده و افشای اطلاعات بدون کسب مجوز است). اختلافاتی جزئی در مورد طبقه‌بندی رسمی یک تخلف وجود دارند اما با ورود مقررات عمومی HIPPA که ارزیابی خطر را برای تعیین «احتمال پایین» افشای تخلف الزامی می‌کند شما فرصت‌هایی برای اعلام تخلف دارید.

HITECH، بخش ۱۳۴۰۷ توسط کمیسیون تجارت فدرال (FTC) اعمال می‌شود. این قانون امکان بسط مقررات حفاظت از اطلاعات را به تمام نهادهایی که تحت پوشش ویژه HIPPA نیستند، به‌طور مثال، انجمن‌های تجاری تأمین‌کنندگان مراقبت‌های بهداشتی، انجمن‌های تجاری شامل تمام افراد مثل پیمانکاران و پیمانکاران جزء که در هرگونه مدیریت اطلاعات مرتبط به بهداشت و سلامت دخیل هستند، فراهم می‌کند. یکی از شروط این قانون این است که برای یک تخلف شامل بیش از ۵۰۰ کاربر باید رسانه‌ها را مطلع کنید.

تخلف‌های شامل ۵۰۰ نفر و بیشتر روی یک تارنمای عمومی قرار می‌گیرند که به طنز «دیوار شرم » نامیده می‌شود و می‌توانید آن را در این آدرس مشاهده کنید.

جرائم ناشی از تخلف‌های HIPPA و HITECH می‌توانند پرهزینه باشند. برخی نمونه‌های آن عبارت‌اند از:

جریمه ۴.۸ میلیون دلاری تحمیل‌شده توسط بیمارستان نیویورک و پرس بایترین و دانشگاه کلمبیا که شامل نقض PHI برای ۶۸۰۰ نفر است.
جریمه ۴ میلیون دلاری HIPPA در کلینیک و بیمارستان استنفورد برای نقض اطلاعات ۲۰۰۰۰ بیمار که توسط انجمن تجاری که اطلاعات را به یک وبگاه در دسترس عموم ارسال می‌کردند صورت گرفت.
جریمه ۱۷۲۵ میلیون دلاری وضع‌شده برای مرکز خدمات بهداشتی کانسنترا که با سرقت یک لپ‌تاپ رمزنگاری نشده حاوی اطلاعات بیماران از خودرو یکی از کارمندان متحمل یک تخلف شد.
آگاهی از امنیت در حوزه سلامت از لایه‌های زیادی عبور می‌کند. علاوه بر محرک‌های قانون‌گذاری که آگاهی از امنیت را الزامی می‌کنند، رویکرد یک گروه مراقبت‌های بهداشتی در قبال امنیت با عوامل زیر هدایت می‌شود:

اخلاق: طبق تعریف حوزه سلامت لایه‌ای از اخلاق متصل به اقدام دارد. اطلاعات حوزه سلامت و به‌ویژه PHI بخشی از لایه اخلاقی هستند که تمام ما انتظار داریم رعایت شوند. همه ما گاهی اطلاعات بهداشتی را در اختیار کارورزان پزشکی قرار می‌دهیم بنابراین یک عنصر شخصی برای اخلاق حفاظت از اطلاعات و نیز یک منفعت سازمانی وجود دارد.

رفتار پرخطر بسیار شایع است: تحقیقی توسط شرکت Cisco پی برد که رفتار امنیتی پرخطر تقریباً دریک سازمان نوعی هنجار است و بسیاری از پاسخ‌دهندگان قرار دادن اطلاعات در معرض خطر در محیط کار را پذیرفتند. بهبود رفتار نسبت به امنیت به‌عنوان یک مسئله یک نکته مهم برای فروش است به‌ویژه برای مدیران اجرایی سطح C که باید راهبرد امنیتی شرکت را پیش‌بینی کنند.

مزیت‌های آگاهی از امنیت: کل سازمان و افراد از آگاهی از امنیت سود می‌برند. کارکنان جزء می‌توانند سهم خود را با خنثی کردن حملات سایبری انجام دهند. با شایع‌ترشان تهدیدات سایبری علیه حوزه سلامت، درگیرکردن تمام افراد در معادلات امنیتی نیز اهمیت بیشتری پیدا می‌کند.

فضای تهدیدات فزاینده علیه مراقبت‌های بهداشتی در کنار لزوم رعایت قوانین مراقبت‌های بهداشتی را به صنعتی مهم برای آموزش آگاهی از امنیت تبدیل می-کند. خلق یک نیروی کار آموزش‌دیده که آثار امنیت سایبری را بر خود و این صنعت درک می‌کند بخشی از راهبرد کلی امنیت در مراقبت‌های بهداشتی است. این با حضور عنصر انسانی در اغلب تهدیدهای امنیتی موفق که بر اساس مهندسی اجتماعی مثلاً حملات فیشینگ است، پیچیده‌تر می‌شود.

دست‌اندرکاران امر آموزش چه کسانی هستند؟

امنیت برای مردم است. نقطه تماس انسان غالباً عنصری ضعیف در یک زنجیره است. همان‌گونه که در افزایش حملات فیشینگ به‌عنوان یک روش حملات دیده می‌شود، تهدیدات سایبری با استفاده از مهندسی اجتماعی از این ویژگی بهره می‌گیرند. آگاهی از امنیت ابزار شما در مبارزه علیه مهندسی اجتماعی است؛ اما آگاهی از امنیت چیزی فراتر از این است. آگاهی از امنیت یک زمین‌بازی مسطح را برای کل نیروی کار شما و فراتر از آن فراهم می‌کند و فرهنگ امنیت را خلق می‌کند.

با افزودن HITECH بخش ۱۳۴۰۷، تعداد دست‌اندرکارانی که باید به محیط آگاهی از امنیت بپیوندند توسعه‌یافته است به‌طوری‌که همه انجمن‌های تجاری که با اطلاعات شخصی و PHI تعامل دارند را دربرمی گیرد. این گروهی بسیار متنوع یا اکوسیستمی از دست‌اندرکاران را خلق می‌کند که باید درکی مناسب از چشم‌انداز امنیت حوزه سلامت داشته باشند. این مبنای دانش امکان پیروی از اصول مقررات امنیتی HIPPA و HITECH را فراهم می‌کند. نتیجه نهایی یک برنامه آگاهی از امنیت که تمام بازیگران احتمالی را در برگیرد چتری از احترام به امنیت و محرمانگی است که پیامدهای مثبتی در کل اکوسیستم خواهد داشت.

شناسایی دست‌اندرکاران اصلی شما اولین بخش از تمرین آموزش آگاهی از امنیت است. همان‌گونه که قبلاً ذکر گردید، این به اکوسیستمی بسیار گسترده از بازیگران تبدیل‌شده است که با تغییر در مقررات حاکم بر امنیت اطلاعات در حوزه حوزه سلامت وارد عمل شده است.

تعیین اندوخته شما از حیث وجود بازیگران به شما در اجرای آموزش کمک خواهد کرد. بااین‌وجود، فهرست زیر مروری بر انواع افراد دخیل در آموزش را ارائه می‌کند:

-کارکنان میز پذیرش
-مدیران اداری
-کارنان فناوری و فناوری اطلاعات
-کارکنان پزشکی ازجمله پرستاران، مشاوران و نقش-های مرتبط مثل مددکاران اجتماعی
-متخصصان رونویسی
-کارکنان و مدیران مراکز تماس مراقبت‌های بهداشتی
-کارشناسان رسیدگی‌کننده به شکایات پزشکی
-فن‌ورزهای آزمایشگاه
-محققان
فراموش نکنید: باید یک برنامه ویژه برای آوردن کارکنان جدید به صحنه به‌جای اینکه منتظر مرحله بعدی آموزش آگاهی از امنیت باشند، وجود داشته باشد. این برنامه آن‌ها را برای سرعت بخشیدن و خلق نگرشی ذهنی در مورد امنیت و محرمانگی در هنگام پذیرش یک منصب سازمان‌دهی می‌کند.

چگونه آگاهی از امنیت را به دست‌اندرکاران خود بفروشید؟

ما همگی اعضایی از کارکنان را که برای هر کاری خارج از حیطه دستمزد شغلی خود گله و شکایت می‌کنند می‌شناسیم؛ اما به دلیل وضع قانون و ماهیت تهدیدکننده فزاینده امنیت سایبری نوین، آگاهی از امنیت بخشی از نقش یک کارمند مراقبت‌های بهداشتی است. همه ما وظیفه‌داریم از اطلاعات یک بیمار مراقبت کنیم. پس چگونه کارکنان را در فرآیند آگاهی از امنیت درگیر کنیم؟

بسته‌های آموزش آگاهی از امنیت، اگر به‌درستی اجرا شوند، به‌گونه‌ای تدوین خواهند شد که کارکنان را درگیر سازند- درگیر کردن موجب درک بهتر می‌شود. امنیت می‌تواند یک حیطه خشک باشد که جذب علاقه به آن دشوار است. بااین‌وجود حال، بسته‌های دارای طراحی مناسب آموزش آگاهی از امنیت مثل AwareEd را می‌توانید به‌گونه‌ای تدوین کنید که در بافت سازمان شما کار کند و رقابت‌های آموزشی مناسبی ویژه نیازهای شمارا خلق کنند.

یکی از روش‌هایی که می‌توانید اطمینان حاصل کنید گروه شما از جلسات بهره می‌برد تعاملی کردن و تحمیلی نبودن آموزش است. ممکن است افراد با برهم خوردن روز تعطیل خود عصبانی شوند، بنابراین آموزش در زمان ناهار یا آموزش دربسته‌های قابل‌حمل که روشی غیررسمی و کمتر مزاحم برای یادگیری در مورد امنیت است، می‌تواند بسیار کارآمد باشد. یک حوزه دیگر که به تمرکز بر آموزش کمک می‌کند و آن‌ها بسیار مناسب می‌سازد مناسب‌سازی سلسله آموزش‌ها با نقش فرد در سازمان است.

مرتبط ساختن امنیت و تبدیل آن به بخشی از برنامه عادی آموزش‌ها و جلسات محیط کار در سازمان شما، آن‌ را به یک محصول فراگیر برای فروش به تیم گسترده شما بدل می‌کند.

نهایتاً، تهدیدهای امنیتی باید به‌عنوان موضوعی جدی در حوزه مراقبت‌های بهداشتی پذیرفته شود. این به معنی درگیر شدن همه افراد در سازمان شما از مدیران سطح بالاگرفته تا تمام بخش‌های مهم و نهایتاً افرادی است که کارکنان آموزش‌دیده شما تلقی خواهند شد. آوردن آن‌ها به صحنه از طریق این پیام که شناخت علت تهدید امنیت سایبری، شیوه اثرگذاری این تهدید و چگونگی کاهش تهدید در مقام یک فرد، هم به نفع آن‌ها و هم به سود کل سازمان است، یک پیام بنیادی است.

چگونه برنامه آگاهی از امنیت را در یک محیط حوزه سلامت تدوین کنیم؟

اکنون شما با خریدی از سوی تیم گسترده خود مواجه هستید و باید در مورد هماهنگی و تعیین برنامه آموزشی خود فکر کنید. برنامه‌های آگاهی از امنیت لزوماً نباید پیچیده باشند. خودکارسازی کلیدی برای موفقیت در مدیریت این نوع عملیات‌ است. آگاهی از امنیت برنامه‌ای است که باید جمعیت زیادی را تأمین کند. برای اطمینان از اثربخشی آموزش آگاهی از امنیت، این آموزش باید جذاب باشد- و سودمندی و دسترس‌پذیری واحدهای آموزشی از نکات مهم هستند. همچنین برنامه باید درجه بالایی از تقویت را از طریق جلسات آموزشی مستمر و منظم که شبیه‌سازی نزدیکی از موقعیت‌های امنیتی زندگی واقعی هستند، داشته باشد. برنامه‌های آگاهی از امنیت مثل AwareED به‌طور ویژه برای کمک به شما در آسان کردن هر چه بیشتر فرآیند به صحنه آوردن و درگیر کردن در آموزش طراحی‌شده‌اند.AwareED به شما امکانی می‌دهد تا بسته‌های سازمان‌یافته‌ای از واحدهایی را طراحی کنید که مناسب گروهی ویژه از دست‌اندرکاران یا یک موقعیت امنیتی به‌طور مثال، حملات فیشینگ هستند. ثبت‌نام و سفارشی‌سازی از ویژگی‌های مهم یک برنامه اثربخش هستند.

توانایی ثبت‌نام کاربران و شروع آموزش آگاهی از امنیت از طریق یک رابط مدیریت ابری متمرکز امکان استقرار برنامه آموزشی را تسهیل می‌کند. همچنین مدیریت ادای مؤثر را برای ادامه آموزش به شما می‌دهد. پس‌ازآن خودکارسازی وارد عمل می‌شود و آموزش را آغاز می‌کند و واحدهای آموزشی را به‌گونه‌ای به کاربران شما ارائه می‌کند که به‌راحتی قابل‌هضم باشد و حتی افراد دارای کمترین قابلیت فنی در تیم شمارا درگیر سازد. به‌طور خلاصه، پیش‌نیازهای استقرار یک برنامه آموزشی اثربخش برای آگاهی از امنیت عبارت‌اند از:

-ثبت‌نام آسان
-انتخاب مناسب واحدها برای خلق بسته‌های آموزشی مناسب کارکنان
-خودکارسازی بسته‌های آموزشی برای کاربران
-ادامه و تکرار بسته‌های مناسب
-گزارش دهی و تجزیه‌وتحلیل برای بهبود مستمر آموزش
-کسب نتایج و تجزیه‌وتحلیل

هیچ برنامه آگاهی از امنیت بدون تجزیه‌وتحلیل خود برنامه‌ی آموزش و برآیند آن کامل نیست. تلفیق معیارها و تجزیه‌وتحلیل نتایج به شما نشان می‌دهد که مبارزه شما تا چه حد مؤثر بوده است. این مسئله بینشی را در مورد هرگونه تغییراتی که باید برای بهبود آموزش در برنامه اعمال کنید، به‌طور مثال تغییر واحدهای به‌کاررفته، به شما می‌دهد. ابزارهای آگاهی از امنیت مثل PhishSim گزارش جامع را فراهم می‌کنند که می‌توان برای این منظور به کار گرفت. گزارش دهی همچنین می‌تواند شواهدی را در مورد بازده سرمایه‌گذاری فراهم کند که برای توجیه بهره‌گیری شما از آموزش آگاهی از امنیت برای مدیران اجرایی سطح بالا قابل‌استفاده است

در سال ۲۰۱۵، اطلاعات شخصی بیش از ۱۱۲ میلیون نفر از طریق تخلفی در حوزه سلامت افشا شد. به گفته Experian، زیان مالی برای حوزه سلامت در سال ۲۰۱۵ حدوداً ۵.۶ میلیارد دلار بود؛ اما این فقط مربوط به هزینه‌های مالی از دست رفتن اطلاعات و جریمه‌های تحمیل‌شده نبود. بلکه ر به مراقبت از بیمار و اخلاق بود که صنعت مراقبت بهداشتی مقید به آن است. از میان تمام صنایع، حوزه سلامت، به‌واسطه ماهیت این شغل، صنعتی مهربان است. خلق فرهنگ امنیت از طریق آموزش جایگاه این صنعت و حفاظت نهایی در مقابل زیان‌های مالی را بهبود خواهد داد.

اما چشم‌انداز امنیت پیوسته در حال تغییر است. متخلفان سایبری همیشه بازی خود را ارتقا می‌بخشند تا روش‌های جدید و نوآورانه‌ای برای افشای اطلاعات ما بیایند. آموزش آگاهی از امنیت یک تمرین در جریان است. این برنامه در پی بهبود مستمر مبنای دانش تیم گسترده ما و ارائه درکی از موقعیتی که با آن مواجه هستند است. یک برنامه سالم آگاهی از امنیت صنعتی سالم ا خلق خواهد کرد. آگاهی از امنیت یک تلاش گروهی است که ابزارهایی را برای ایجاد نیروی کار کاملاً آموزش‌دیده فراهم می‌کند که در آن تهدیدات امنیت سایبری قبل از اینکه به تخلف تبدیل شوند می‌توانند توسط همه به‌عنوان یک تیم مدیرت و رفع شوند.

منبع: asis

درباره نماد امنیت وب

“نماد امنیت وب” به عنوان یکی از شرکت های پیشتاز در زمینه امنیت نرم افزار و سرویس های تحت وب، با ارائه سرویس های امنیتی برای تمامی کسب و کار ها و دارای نمایندگی شرکت Acunetix (اکوانتیکس) بعنوان محبوب ترین اسکنر امنیتی black box در دنیا، ایمنی وب سایت شما را در مقابل حمله هکر ها تضمین می کند.