Veri ihlalleri tüm sektörlerde, özellikle de özel veri hazinesiyle sağlık hizmetlerinde tüm zamanların en yüksek seviyesinde.
Birçok kötü oyuncu, üçüncü taraf varlıklar aracılığıyla ağlara giriyor. Sağlık hizmeti sağlayıcı kuruluşlar özellikle savunmasızdır çok büyük miktarda hassas ve değerli verilere sahip olduklarından ve üçüncü taraf sağlayıcıların sağlık hizmetleri altyapısı için çok kritik hale gelmesinden dolayı.
Bu tür risk yönetimi, benzersiz bir zorluk teşkil eder ve güvenlik liderlerinin üçüncü taraf sağlayıcıları doğru bir şekilde nasıl seçeceklerini ve inceleyeceklerini anlamaları çok önemlidir.
Bol deneyime sahip bir CISO
Steven Ramirez, Renown Health’in bilgi güvenliği sorumlusu ve “Üçüncü Şahıs Risk Yönetimini Öncelik Haline Getirmek” başlıklı eğitim oturumunda üç panelistten biri. HIMSS Healthcare Siber Güvenlik Forumu, 5-6 Aralık’ta Boston’da. Bir sağlık sistemi için CISO rolünde olan Ramirez, üçüncü taraf riski hakkında çok şey biliyor.
Örneğin, neden bu kadar çok sayıda kötü oyuncunun üçüncü taraf satıcılar aracılığıyla sağlık hizmetleri bilgi ağlarına girdiğini biliyor.
“Sıfır Güven modeline uyum sağlamak için erişimi kontrol edin ve en aza indirin.”
Steven Ramirez, Ünlü Sağlık
“Maliyet tasarrufu önlemleri ve sağlık kuruluşlarının tesis içi altyapı ayak izini hafifletmek için ve dijital dönüşümün bir parçası olarak buluta ve SaaS tabanlı çözümlere geçiş nedeniyle, sağlık kuruluşları artık tüm bu tedarikçilerin güvenliğine karşı daha savunmasız durumda. duruşlar,” diye açıkladı Ramirez.
“Ana nedenler, satıcıların erişimi düzgün bir şekilde yönetememesi veya izlememesidir” diye devam etti. “Ayrıca, bu üçüncü taraf satıcılar, programlarının bileşenlerini diğer varlıklara da yaptırarak, esasen dördüncü taraf riski oluşturur. Bu, yalnızca genel saldırı yüzeyini genişletir ve gözetimi daha zor hale getirir.”
Üç yönlü bir güvenlik stratejisi
Sağlık hizmeti sağlayıcı kuruluşlar, üçüncü taraf satıcılar aracılığıyla gelen kötü kişileri önlemek veya en azından azaltmak için ne yapabilir? Ramirez, bunun üç yönlü bir stratejiye bağlı olduğunu söyledi.
“İnsan, süreç ve teknoloji arasında bir denge olması gerekiyor” dedi. “Tedarikçi erişimini incelemek, izlemek ve erişimi ve yetenekleri en aza indirmek için güvenlik önlemleri almak çok önemlidir. PAM’in minimum düzeyde gerekli kullanımına odaklanılması gerekir. Ayrıca, erken tespit, anormallikleri belirleme başarısının anahtarıdır.”
Satıcılar için alışveriş yapan CISO’lar ve diğer sağlık güvenliği liderleri, risklerini nasıl azaltacaklarını bilmek zorundadır.
Ramirez, “Tedarikçi erişimini gözden geçirecek bir sürece sahip olmak ve hedeflenen erişimi ve erişimi en aza indirmek için araçlar kullandığımızdan emin olmak ve bu erişimi izlediğimizden emin olmak, gerekli olan şey bu.” dedi.
Risk yönetimi için en iyi uygulamalar
Üçüncü taraf riskini yönetmek için birkaç en iyi uygulama örneği sunuyor.
“Satıcı keşfi – tedarikçilerinizin sizin için ne yaptığını ve hangi erişime ihtiyaç duyduklarını anlayın,” diye açıkladı. “Satıcılara bir güvenlik değerlendirmesi yaptırın. En yüksek risk altındaki satıcıları sıralayın.
Sıfır Güven modeline uyum sağlamak için erişimi kontrol edin ve en aza indirin.
“Ve sürekli olarak kritik tedarikçilerinizi izleyin ve değerlendirin,” diye bitirdi sözlerini.
HIMSS 2022 Sağlık Hizmetleri Siber Güvenlik Forumu, 5 ve 6 Aralık tarihlerinde Renaissance Boston Waterfront Hotel’de gerçekleşecek. Buradan kaydolun.
Twitter: @SiwickiHealthIT
Yazara e-posta: bsiwicki@himss.org
Healthcare IT News, bir HIMSS Media yayınıdır.