Pytania i odpowiedzi: Dyrektor ds. bezpieczeństwa informacji Jackson Health System podejmuje przemyślane kroki w celu zapewnienia bezpieczeństwa
Wydaje się, że nowe technologie co kilka miesięcy przyciągają uwagę liderów opieki zdrowotnej. To dynamiczne środowisko, w połączeniu z ciągłymi problemami związanymi z niedoborami kadrowymi i finansowymi, sprawia, że organizacje chętnie testują nowe rozwiązania.
Przemyślana innowacja musi jednak iść w parze z cyberbezpieczeństwem , zwłaszcza że opieka zdrowotna jest branżą bardzo aktywną dla cyberprzestępców.
W Jackson Health System z siedzibą w Miami, dyrektor ds. bezpieczeństwa informacji Connie Barrera rozumie, że organizacje zajmujące się opieką zdrowotną chcą, aby nowe narzędzia były wdrażane już dziś, ale podkreśla wagę planowania.
„Nie da się zabezpieczyć czegoś, czego się nie rozumie” – mówi. „Każda organizacja opieki zdrowotnej musi unikać pułapki polegającej na wprowadzaniu czegoś na rynek bez zrozumienia profilu ryzyka i jego wpływu na resztę środowiska. Konieczna jest ciągła ocena ryzyka”.
Barrera, który w trakcie swojej długiej kariery w branży informatyki medycznej piastował różne stanowiska, rozmawiał z HealthTech o zmieniającym się krajobrazie cyberbezpieczeństwa, sposobach dotarcia do interesariuszy nietechnicznych oraz rosnącej roli sztucznej inteligencji i uczenia maszynowego w bezpieczeństwie IT.
BARRERA: Myślę, że w dużej mierze wynika to z lawiny naruszeń bezpieczeństwa, które moim zdaniem są ogromne, zarówno pod względem zakresu, jak i skali oraz tempa. WannaCry w 2017 roku był głównym katalizatorem nieustannego strumienia ataków ransomware, zwłaszcza w sektorze opieki zdrowotnej. Ostrzeżenia FBI i Agencji ds. Cyberbezpieczeństwa i Infrastruktury również bardziej skupiają się na sektorze opieki zdrowotnej jako głównym celu ataków.
Z tego powodu organizacje musiały zachować większą czujność w kilku obszarach. Jednym z nich jest Internet Rzeczy Medycznych (IoT) , gdzie przez lata sprzęt biomedyczny pozostawał w dużej mierze niezarządzany, na przykład ze względu na pewne oczekiwania producentów dotyczące „nieskazitelnego” środowiska. Kolejnym obszarem jest zerowe zaufanie (zero trust ), które znacznie wzrosło w opiece zdrowotnej .
Organizacjom, które zazwyczaj są dość konserwatywne w kwestii korzystania z chmury, coraz trudniej jest to osiągnąć i często nie jest to już ich wybór. Niektóre rozwiązania po prostu nie oferują opcji lokalnej. W wielu przypadkach przeszliśmy od modelu licencji wieczystych do modelu subskrypcji. Zwiększony profil ryzyka, który może wiązać się z przejściem do chmury, jest bardzo istotny.
Ma to również wpływ na zarządzanie tożsamościami i dostępem , które jest kluczowe dla bezpieczeństwa zero-trust . Kiedy wiesz, że Twoje systemy nie znajdują się już w Twojej sieci, a korzystasz głównie ze środowiska chmurowego lub hybrydowego, ważne jest zachowanie nienaruszalności tej tożsamości. Musisz wiedzieć, jakie są role i obowiązki Twojej organizacji w związku z przeniesieniem do chmury.
Podobnie, w miarę jak sztuczna inteligencja odgrywa coraz większą rolę w organizacjach, Twoi użytkownicy już polegają na niej w takiej czy innej formie i próbują obejść mechanizmy kontroli. Przeciwnicy z pewnością wykorzystują sztuczną inteligencję, aby zaszkodzić innym organizacjom.
HEALTHTECH: Jakimi obszarami bezpieczeństwa interesowała się firma Jackson Health? Dlaczego inne organizacje opieki zdrowotnej powinny skupić się na tych obszarach?BARRERA: Dzięki ubezpieczeniu od odpowiedzialności cywilnej za cyberataki zaczęliśmy polegać na niezmiennych kopiach zapasowych . Daje nam to znacznie wyższy poziom bezpieczeństwa, dając pewność, że nasze kopie zapasowe nie są zainfekowane, a po utworzeniu kopii zapasowej danych nie można ich zmodyfikować. Wcześniej, w przypadku ataku ransomware, nasza kopia zapasowa mogła zostać naruszona. Przejście na niezmienne kopie zapasowe jest więc stosunkowo łatwe.
Ze względu na chmurę, sztuczną inteligencję i, w pewnym sensie, zdecentralizowaną architekturę, niezbędne jest bardzo solidne rozwiązanie do zarządzania tożsamościami i dostępem. Zarządzanie tożsamościami na wszystkich poziomach jest kluczowe dla modelu zero trust, zwłaszcza w przypadku rozwiązania do zarządzania dostępem uprzywilejowanym . Myślę, że z PAM jesteś w zupełnie innej lidze niż ze zwykłymi danymi uwierzytelniającymi, które nie są zarządzane w sejfie.
W Jackson Health, koncentrując się na obszarze sztucznej inteligencji, chcemy wiedzieć, jak zarządzane są używane dane uwierzytelniające, ponieważ często występuje ogromna luka. Wdrażane technologie sztucznej inteligencji są dość rozproszone i jeśli niektóre z nich nie są objęte rygorystycznym cyklem życia sprzętu, może to stanowić poważny problem. W przypadku sztucznej inteligencji należy przestrzegać podstawowych zasad. Nie udzielaj jej uprawnień administratora root, jeśli potrzebuje tylko odczytu.
W ciągu kilku lat Jackson Health odniosło niesamowity sukces dzięki okresowym przeglądom dostępu. Przeprowadzamy comiesięczne audyty kontrolne i stosujemy walidację uprawnień Active Directory . Wiele z nich jest w pełni zautomatyzowanych. To kolejna podstawowa procedura, której przestrzegamy, aby móc wspierać nowocześniejsze i najnowocześniejsze rozwiązania technologiczne, z których wszyscy korzystają.
BARRERA: W zależności od kultury zespołu ds. bezpieczeństwa, zbytnie techniczne podejście do kwestii szerzenia świadomości bezpieczeństwa i partnerstwa może nie być najwłaściwszym posunięciem. Podczas niedawnego szkolenia dla grupy nowo przybyłych rezydentów mówiłem im, że bezpieczeństwo to wspólna odpowiedzialność, niezależnie od tego, jak dobre są nasze narzędzia bezpieczeństwa. Staram się również łączyć tę odpowiedzialność z czymś osobistym.
Wymaga to dużo ciężkiej pracy, ponieważ wszyscy są bardzo zajęci. Kiedy lekarze mają wielu pacjentów, szkolenie z zakresu cyberbezpieczeństwa może wydawać się ciężarem . Ale kiedy spotykasz się z innymi działami twarzą w twarz, dzielisz się nagłówkami, dzielisz się osobistymi historiami, to wydaje się bardziej znaczące. Mamy również komitety, które składają się z przedstawicieli różnych działów organizacji. Z czasem zaangażowanie pracowników z innych działów jest niesamowite.
W ramach tych komitetów planujemy również organizować bezpośrednie „road show”. Dzięki temu zasięgowi i bezpośredniej interakcji uzyskujemy dużą synergię, a nawet mamy osoby, które chcą być mentorami dla innych. Ludzie zwracają więc uwagę, ale wymaga to troski i wsparcia. To naprawdę przypomina zarządzanie ryzykiem, ponieważ stanowi ciągły cykl.
Pomaga to, że bezpieczeństwo jest wpisane w naszą kulturę. Zaangażowane i wspierające kierownictwo naprawdę robi ogromną różnicę, umożliwiając realizację wszystkich tych działań, takich jak roadshow i coroczne szkolenie z zakresu bezpieczeństwa, które każdy musi odbyć. W niektórych organizacjach, jeśli ktoś nie ukończy szkolenia, nic się nie dzieje. Ale w Jackson Health przestrzegamy zasad w 100%. Każdy uczestniczy w wymaganym szkoleniu, ponieważ w przeciwnym razie jego konto zostanie zablokowane i będzie musiał udać się do działu HR, aby je ukończyć, zanim będzie mógł wrócić do pracy.
ODKRYJ: Wzmocnij swoje bezpieczeństwo dzięki niedrogim szkoleniom.
HEALTHTECH: W jaki sposób zapotrzebowanie na sztuczną inteligencję/uczenie maszynowe i dane wpłyną na bezpieczeństwo opieki zdrowotnej w przyszłości?BARRERA: Wszyscy jesteśmy na różnym etapie adaptacji. Myślę, że jedną z najważniejszych rzeczy, które należy sobie uświadomić, jest to, że nawet jeśli uważasz, że Twoja organizacja nie korzysta ze sztucznej inteligencji, Twoi użytkownicy już tak. W Jackson Health jednym z pierwszych sposobów wykorzystania sztucznej inteligencji jest wykonywanie pewnych powtarzalnych procesów, które są podatne na błędy, jeśli są wykonywane przez ludzi. Jednym z przykładów jest zmiana terminów wizyt z dołączonymi zamówieniami. Przeciętny człowiek, nawet jeśli ma gotowy scenariusz, może po prostu usunąć wizytę, aby utworzyć nową, a potem uświadomić sobie: „O, usunąłem wizytę z dołączonym zamówieniem, trzema zamówieniami, pięcioma zamówieniami”. Te zamówienia znikają. Dlatego ten proces jest zastępowany automatyzacją, która jest dokładniejsza i wydajniejsza.
Zespół ds. bezpieczeństwa IT ściśle współpracuje z zespołem ds. analizy danych w zakresie integracji aplikacji. Wszystkie elementy dostarczane przed zakupem podlegają kwestionariuszowi bezpieczeństwa. Oceniamy ryzyko. W momencie wdrożenia skanujemy i weryfikujemy rozwiązanie, aby lepiej je poznać.
Myślę jednak, że sztuczna inteligencja w opiece zdrowotnej ma przed sobą świetlaną przyszłość . Od wielu lat korzystamy z rozwiązania analityki behawioralnej, które wykorzystuje sztuczną inteligencję. Dlatego nieustannie poszukujemy sposobów na zwiększenie efektywności naszego centrum operacji bezpieczeństwa, które jest podstawą naszego systemu reagowania na incydenty, i tym podobnych. Biorąc pod uwagę skalę ataków z wykorzystaniem sztucznej inteligencji na opiekę zdrowotną, musimy zwalczać je z taką samą lub lepszą skutecznością. Wierzymy, że wprowadzenie lub korzystanie ze sztucznej inteligencji daje nam przewagę w walce z wszelkimi zagrożeniami.
Pracujemy również nad komunikacją i działaniami informacyjnymi. Zmieniamy nasze zasady dotyczące akceptowalnego korzystania ze sztucznej inteligencji w systemie opieki zdrowotnej, mając pełną świadomość, że ludzie stale korzystają z niej poza siecią. Regulujemy szerszy zakres kwestii, które możemy. Na przykład, nie zezwalamy na korzystanie z ChatGPT, Grok ani innych podobnych narzędzi generatywnej sztucznej inteligencji, ale wiemy, że pracownicy zawsze znajdą sposoby na obejście tych kontroli. To od nas zależy, co jest akceptowalne, prywatność pacjentów i zapobieganie bezprawnej wymianie danych. Chcemy, aby rozwiązanie oparte na sztucznej inteligencji, z którym się łączymy, pomagało w realizacji hasła naszego systemu opieki zdrowotnej, którym jest „czynienie cudów”.
healthtechmagazine
