Tıbbi ve Yasal Uygulamalara Yönelik Özel Siber Güvenlik Hususları


“En Savunmasızları En Savunmasız Zamanlarında Koruyun”

Yazan Jim Ford, PatientLock Kurucusu ve CEO’su® ve JurisLock™

2018 baharında (o zamanlar) hamile olan eşim ve ben ikizlerimizin 28 haftalık sonogramına gittik. Yakında anne olacakların çoğu gibi biz de bunun eğlenceli, heyecan verici bir ziyaret ve bebeklerimizi rahimde görmek için başka bir fırsat olmasını bekliyorduk. Bunun hayatımızın en korkunç günlerinden biri olacağını bilmiyorduk.

Muayeneden kısa bir süre sonra, sonografi uzmanı sıkıntılı görünüyordu ve hemen odaya bir doktor çağırdı, burada kızımızın sıkıntı içinde olduğu keşfedildi. Kızımız artık kanı plasentadan etkili bir şekilde geri itemiyordu, bu da kalp atış hızının sürekli olarak yavaşlamasına neden oluyordu. Sonuç olarak sağlık personeli, her iki çocuğumuzun da acilen doğum yapması gerektiğini ve bölgedeki yalnızca birkaç hastanenin onları destekleyebilecek YYBÜ’ye (yenidoğan yoğun bakım üniteleri) sahip olduğunu bize bildirdi.

Spoiler uyarısı: Her iki çocuk da Overland Park Bölgesel Tıp Merkezi’ndeki (HCA) YYBÜ’de (ve altı yıl sonra) üç aylık bir görevin ardından dünyaya parça başına iki kilodan daha hafif bir şekilde gelirken, biz mutlu, başıboş, ve tamamen sağlıklı anaokulu çocukları.

Bu (siber güvenlik) öyküsünün konuyla ilgisi, 2016’da başlayıp Ocak 2018’e kadar devam eden ihlal olayları nedeniyle büyük ölçüde şehrimizdeki tanınmış bir pediatri hastanesini kullanmaktan vazgeçmeyi seçmemizden kaynaklanıyor. yaklaşık 70.000 hasta kaydının çalınması.

İki çocuğumuzun YYBÜ faturaları (sigorta kapsamında) yaklaşık 3 milyon dolardı. Hasta kimliği ve güvenlik endişeleri bir yana, ebeveynler ve tüketiciler olarak aldığımız kararın, pediatri hastanesi üzerinde önemli bir gelir fırsatı kaybı şeklinde zararlı bir parasal etkisi oldu. Diğerlerinin yanı sıra, bu olay ya da karar demeliyim, PatientLock’u ve birkaç yıl sonra JurisLock’u kurarken sahip olduğum vizyona benzin döktü. Bu vizyon (Misyona dönüştü), Savunma topluluğuna hizmet veren kanalları kullanarak “kurumsal düzeyde” siber güvenliği her büyüklükteki işletme için kullanılabilir ve uygun fiyatlı hale getirmekti.

Özellikle sağlık ve hukuk mesleklerinde çalışanlar, hastaları ve müşterileri en savunmasız zamanlarında korumak ve onlara hizmet etmekle görevlidir. Profesyonel olarak amaçları, bir bireyin yaşayabileceği en stresli, yaşamı tehdit eden veya başka türlü etkili zamanların bazılarında yardım sağlamaktır. Tıbbi açıdan bu, prematüre bebek doğurmak, kanser teşhisi ve tedavisi konusunda hastaya yardımcı olmak veya yaşamın sonu sürecini mümkün olduğunca konforlu ve acısız hale getirmek olabilir. Yasal açıdan bu, ağır bir yaralanmaya maruz kalan bir müşteriyle çalışmak olabilir. Bu bir boşanma, bir çocuk velayeti davası, özgürlüğü veya kişinin hayatını ilgilendiren cezai/hukuk davaları üzerinde çalışmak veya bir işletmenin stratejik bir satın alma yapmasına yardımcı olmak olabilir.

Bu etkileşimler sırasında siber güvenliğin bir (veya iki, veya on veya yirmi) önceliğe sahip olduğunu düşünmüyorum. Ancak bu profesyoneller, çalışmaları sırasında sıklıkla son derece hassas bilgilerle karşılaştıkları ve bu bilgilerle çalıştıkları için bu bilgilerin uygun şekilde korunması gerekir. Aksi takdirde çok önemli, olumsuz sonuçlar doğabilir. Siber suçlular, bir sağlayıcının ağına erişim sağlayarak halihazırda sürmekte olan bir ameliyatı tehlikeye atabilir. Bir hastanın elektronik tıbbi kaydındaki bilgiler silinebilir veya değiştirilebilir (alerjileri, doz bilgilerini veya hastanın kan grubu gibi diğer önemli bilgileri düşünün) ya da bir doktor muayenehanesinin veya hastanenin bilgisayarları kilitlenerek hasta bakımının kesintiye uğraması söz konusu olabilir. (aynı zamanda önemli gelir kaybına da yol açar). Daha da kötüsü, veri sızdırmayı da içeren çifte şantaj taktiği Ve fidye yazılımı aynı anda kullanılabilir. Bu, kötü bir aktörün kayıtları çalarak Dark Web’de satması ve aynı zamanda bir fidye yazılımı saldırısı gerçekleştirip ödeme talep etmesi durumunda ortaya çıkar.

Bu faktörler nedeniyle hukuk ve tıpla uğraşanların, hizmet verdikleri kişilerin bilgilerini koruma konusunda özel ve benzersiz yükümlülükleri vardır. Sadece birkaç isim:

  • Doktor-hasta ayrıcalığı/avukat-müvekkil ayrıcalığı
  • Etik yükümlülükler/ABA Kuralı 1.6
  • HIPAA
  • Madde bağımlılığı bilgilerini koruyan özel yasalar
  • Eyalet hukuku gereksinimleri

Hukuk ve tıp uygulamalarının birçok önemli ortak özelliği vardır; özellikle doktor-hasta ayrıcalığı ve avukat-müvekkil ayrıcalığı. Her ikisinin de amacı, herhangi bir tepki korkusu olmadan (kamuya açıklanması veya bir davada delil olarak sunulması) uygun bakımın sağlanmasını sağlamaktır. Bir hasta veya müşteri tüm ayrıntıları sağlayamazsa, uygulayıcıları uygun hizmeti sağlayamaz. Çoğu zaman bu ayrıntılar utanç verici olabilir, kişinin bu bilginin farklı bir bağlamda kendisine karşı kullanılabileceğine inanmasına neden olabilir veya kişi, önemsiz bir bilgi olarak gördüğü şeyin tıbbi veya hukuki açıdan son derece önemli olabileceğini anlamayabilir. profesyonel.

Siber güvenlikle bağlantının devreye girdiği yer burasıdır. Siber suçlular, tıp ve hukuk mesleklerindeki kişilerin en hassas verilerden bazılarını barındırdığını ve bu tür bilgilerin kamuya açıklanması durumunda olumsuz sonuçlar doğuracağını biliyor. Siber suçlular ayrıca, fidye yazılımına maruz kalmaları durumunda bu profesyonellerin bu bilgilerin kamuya açıklanmamasını sağlamak için fidye ödeyebileceklerini ve/veya bu profesyonellerin savunmasız bir kitleye kesintisiz hizmet sağlamaya devam edebileceklerini de biliyor.

PatientLock ve JurisLock özellikle en savunmasız kişiler dikkate alınarak geliştirildi. PatientLock ve JurisLock, BT kaynaklarını zorlamak ve HIPAA, PCI, NIST, ABA Resmi Görüşlerinin yanı sıra siber sigorta gereklilikleri.

PatientLock ve JurisLock’un Güvenlik Operasyon Merkezleri (SOC’ler), Savunma Bakanlığı’na ve dünyadaki en büyük askeri savunma yüklenicilerine hizmet sağlayanlarla aynıdır ve müşterilerin daha önce ulaşılamayan ölçek ekonomilerinden yararlanmasına olanak tanır. 400’den fazla siber güvenlik uzmanıyla PatientLock ve JurisLock, güvenlik personeli tutma ihtiyacını ortadan kaldırır ve güvenlik teknolojilerini (MDR, XDR, MEDR, VUMA, EPS vb.) yöneterek, tehditleri 7/24/365 izleyerek yetenek sorununu çözer, ve bunlara çözüm bulmak için gerçek zamanlı olarak harekete geçiyoruz.

Deneyimlerimize göre, C-Suite yöneticilerinin çoğunlukla neyi bilmediklerini bilmedikleri (yazım hatası DEĞİL) açıkça ortaya çıktı. Diğer görevlerin yanı sıra, bir CISO’nun sorumlulukları arasında karar vericileri siber riskler ve risk yönetimi konusunda eğitmek yer alır. Küçük ve orta ölçekli kuruluşların çoğu, tam zamanlı bir CISO’yu işe almaya ihtiyaç duymaz veya bunu karşılayamaz. PatientLock ve JurisLock’un sanal vCISO programı, NIST CSF ve HIPAA Uyumluluğu, Güvenlik Riski Değerlendirmeleri, HITRUST ve SOC2 Hazırlığı, GAP Değerlendirmeleri ve daha fazlasını içeren düzenleyici çerçevelere uygunluğun sağlanmasına yardımcı olurken, kurum çapında siber güvenlik ve yönetişimin gözetimini gerçekleştirmek için kısmi bir CISO sağlar.

Teknolojinin tek başına yeterli olmadığının bilincindeyiz. Siber sigorta, özellikle siber olayların genellikle D&O veya E&O politikaları tarafından yeterince kapsanmadığı veya hiç kapsanmadığı için, kuruluşları siber olaylarla ilişkili birçok farklı riske karşı da koruyabilir. Siber sigorta, bir kuruluşun, veri ve sistem kurtarma, iş kesintisi, gasp masrafları ve olaydan doğrudan etkilenen diğer kişiler tarafından öne sürülen iddialar ve davalar gibi bir olaya müdahale etmeyle ilgili maliyetleri dengeleyerek risk aktarımı yoluyla maruziyeti azaltmasına yardımcı olmak için tasarlanmıştır. Siber sigortayı, bir restoranın mutfağındaki yangına karşı ticari mülkiyet teminatına benzer bir risk yönetimi aracı olarak görüyoruz. Restoranlarda sprinkler sistemi, söndürücü, yangın alarmı vb. bulunsa da bir restoran kaçınılmaz mutfak yangınının vereceği zararı azalttığı için mülk sigortası yaptırmaktan asla vazgeçmez.

Uygulamada PatientLock ve JurisLock, belgelerimizi bir siber sorumluluk sigortası uygulamasına “zımbalamanın”, sigortacılara ve taşıyıcılara sunulan risk transferi limitlerini artırma, yıllık primleri düşürme, alıkoymaları azaltma ve PatientLock için daha geniş kapsam seçenekleri sunma fırsatı sağladığını buldu. JurisLock müşterileri.

Basit bir hedefle yola çıktık: En savunmasız kişileri en savunmasız anlarında korumak. Her şey birkaç yıl önce YYBÜ’ye yapılan geziyle başladı ve ihtiyaçlar ve riskler giderek artmaya devam etti. Siber suçlular işleri olabildiğince karmaşık hale getiriyor ve bir ihlalin potansiyel etkisi artık her zamankinden daha yıkıcı. Ancak hizmet verdikleri kişileri korumak için tıp ve hukuk alanında çalışan kişilerle birlikte çalışmaya devam edeceğiz. Bu alanlardakilerin bu riski sınırlamak için atabileceği adımlar var ve biz de onlara bu yolculukta yardımcı olmak için buradayız.

yazar hakkında

Tıbbi ve Yasal Uygulamalara Yönelik Özel Siber Güvenlik HususlarıJim Ford, PatientLock ve JurisLock’un Kurucusu ve İcra Kurulu Başkanı. Jim PatientLock’u kurmadan önce neredeyse yirmi yılını sağlık hizmetleri veya sağlık bilişim teknolojisi alanında çalışarak geçirdi ve kariyerine 1998 yılında bir HCA hastanesinin laboratuvarında başladı. Önceki şirketler arasında Cerner, athenahealth, Aprima/eMD’s ve bir sağlık hizmetleri şirketi olan Fortified Health Security yer alıyor. odaklanmış yönetilen güvenlik hizmetleri sağlayıcısı veya MSSP.

Jim, kurumsal düzeyde siber güvenlik teknolojilerini ve hizmetlerini her boyuttaki sağlık kuruluşu için kullanılabilir ve uygun maliyetli hale getirme vizyonuyla 2019 yılında PatientLock’u kurdu. PatientLock artık binlerce ABD merkezli sağlık kuruluşu tarafından kullanılan ağ varlıklarında kullanılıyor.

PatientLock’un başarılı bir şekilde piyasaya sürülmesinin ardından, hukuk firmalarının karşılaştığı siber güvenlik ve uyumluluk sorunlarını çözmek isteyen hukuk uzmanları Jim’e başvurdu. Daha sonra JurisLock, kişisel olarak tanımlanabilir bilgilerin (PII) ve elektronik olarak korunan sağlık bilgilerinin (ePHI) işlenmesi ve saklanmasının, sağlık kuruluşlarının karşılaştığı aynı uyumluluk gerekliliklerini ve siber güvenlik zorluklarını oluşturduğu hukuk firmaları için piyasaya sürüldü.

Jim, HITRUST Uygulayıcısı (CCSFP) sertifikasını aldı, Supremus Group tarafından HIPAA Gizlilik ve Güvenlik Uzmanı – Seviye-4 (CHPSE) sertifikasına sahiptir ve işletme (MBA) alanında yüksek lisans derecesine sahiptir.

Jim’e şu adresten çevrimiçi olarak ulaşılabilir: [email protected] ve PatientLock veya JurisLock şirketinin web sitelerinde: https:// Patientlock.net/ veya https://jurislock.com/



Source link