امنیت اطلاعات بهداشتی – مصاحبه من با ریچارد کافمن، CISO از Amedisys – قسمت 1: داستان های مبدا، اکوسیستم امنیتی و خط شروع

“اگر داده ها همه جا هستند، چگونه از آنها محافظت می کنید؟”

این فکر قبل از هک‌های Change Healthcare (که جمع است) ذهن من را درگیر کرده بود که ذینفعان مراقبت‌های بهداشتی ایالات متحده همچنان با آن سروکار دارند، زیرا این پست در حال انتشار است. سلامت مردم وبلاگ.

این سؤالی است که در گفتگو با ریچارد کافمن، مدیر ارشد امنیت اطلاعات (CISO) با آمدیسیس از من پرسیده شد. من از فرصتی که برای بررسی عمیق جنبه‌های امنیت سایبری در مراقبت‌های بهداشتی با ریچارد به دست آوردم سپاسگزارم – تهدیدهای رو به رشد، تأثیر بر ارائه‌دهندگان، وضعیت فناوری و نوآوری‌ها برای مدیریت ریسک‌ها، و نقش در حال تحول او به عنوان یک CISO در این زمینه. زمینه چالش برانگیز

گفتگوی ما زمینه های زیادی را پوشش داد، من آن را به سه پست تقسیم کردم: این یکی بر “داستان منشأ” ریچارد در امنیت اطلاعات و رویکرد آمدیسیس به استراتژی امنیت سایبری شرکت متمرکز بود. سپس، بخش‌های 2 و 3 را در هر یک از دو ماه آینده منتشر می‌کنم تا برنامه Amedisys و اجرای زیرساخت‌ها و استراتژی امنیتی فعلی و درس‌های آموخته شده در این فرآیند را بررسی کنم. در نهایت، یک سوم آخر گفتگوی خود را ارسال می کنیم. نگاهی به گذشته و نگاه به آینده امنیت سایبری در مراقبت های بهداشتی و خردی برای کمک به مدیریت دنیای خطرات آینده.

همانطور که با ریچارد کافمن سفر امنیت سایبری مراقبت های بهداشتی خود را آغاز می کنیم، سه روند پیشنهاد شده توسط شبکه های پالو آلتو را در نظر بگیرید که صنعت را به چالش می کشد تا زمان و انرژی بیشتری را برای رسیدگی به خطرات فزاینده هک ها و نقض ها اختصاص دهد:

• افزایش مراقبت از راه دور، به ویژه مربوط به مراقبت در منزل، مراقبت از راه دور، تسکینی و مراقبت از آسایشگاه
• گسترش دستگاه‌های متصل مانند نظارت از راه دور سلامت، اینترنت اشیا برای سلامت (به ویژه در خانه) و سایر برنامه‌هایی که می‌توانند به اینترنت، مرکز داده و ابر وصل شوند، و
• افزایش پیچیدگی در محیط های فناوری اطلاعات پزشکی در شبکه های مراقبت توزیع شده و در سراسر کاربران راه دور.

با در نظر گرفتن آن چشم انداز مراقبت های بهداشتی خطر سایبری در حال تحول، من اکنون به گفتگوی خود با ریچارد کافمن، CISO از Amedisys، قسمت 1 خوش آمد می گویم – Origin Stories، اکوسیستم امنیتی، و خط شروع…(توجه داشته باشید که سوالات من به صورت مورب هستندو صدای ریچارد با فونت ساده).

JSK: داستان اصلی شما در مورد امنیت اطلاعات سلامت چیست؟ وقتی بیش از یک دهه پیش با Blue Cross و Blue Shield of Louisiana شروع به کار کردید، آیا امنیت سایبری در ذهن شما بود؟

ر.ک: من جلوتر می روم و با خودم اینجا قرار می گذارم. من در اوایل دهه 80 به دنیا آمدم و در کنار اینترنت بزرگ شدم. اینترنت زمانی که من نوجوان بودم تجربه متفاوتی داشت و از بسیاری جهات تقریباً قابل کنترل بود. به عنوان یک نوجوان که در جنوب شرقی لوئیزیانا بزرگ شده بودم، توانایی برقراری ارتباط با دیگران در اتاق‌های گفتگو و انجمن‌ها، من را در معرض دیدی از جهان قرار داد که به‌طور باورنکردنی بر خودم به عنوان یک بزرگسال تأثیرگذار بود.

“هکرهای” اولیه ایده آلیست بودند. جوامع آنلاینی که با من طنین انداز شدند همه در مورد استفاده از این ابزار جدید به نام اینترنت برای تبدیل جهان به مکانی بهتر بودند. در آن زمان هک کردن بیش از آنکه جنایتکارانه باشد احساس شرارت می کرد و به راحتی برای منافع بزرگتر قابل توجیه بود.

زمانی که من به عنوان یک جوان حرفه‌ای وارد BCBSLA شدم، مدت‌هاست که بیشتر جنبه‌های ناب امنیت سایبری از بین رفته بود و ایده‌آل‌گرایی جای خود را به سودجویی داده بود. انجام کارها برای «لولز“ با انجام کارها برای دلار جایگزین شده بود. اکنون لذتی که از آنلاین بودن به دست آوردم این بود که از مهارت‌هایم برای درک بهتر آنچه «آدم‌های بد» انجام می‌دهند استفاده می‌کردم.

من به نوعی از درب جانبی امنیت سایبری به عنوان یک حرفه عبور کردم. حرفه من به عنوان یک مهندس شبکه شروع شد و سپس به حسابرسی داخلی همه مکان ها پرداخت. حسابرسی داخلی به طور منحصربه‌فردی در یک سازمان قرار می‌گیرد و دریافت این فرصت برای دیدن نحوه عملکرد یک شرکت و مهم‌تر از همه، نحوه اولویت‌بندی راه‌حل‌ها توسط C-Suites، یکی از بهترین تصمیم‌هایی بوده است که من در مسیر تبدیل شدن به یک CISO گرفته‌ام.

JSK: شما در سال 2018 به عنوان مدیر ارشد امنیت اطلاعات وارد سازمان Amedisys شدید. از زمانی که شما آن نقش را به عهده گرفتید، چه چیزی در محیط امنیت سایبری تغییر کرده است؟

RK: همکاری برای همیشه در دنیای پسا کووید تغییر کرده است. یکی از بزرگترین محصولات جانبی این تغییر این است که داده های سازمانی محیطی شده اند. برای صنایع بسیار تنظیم شده مانند مراقبت های بهداشتی، امنیت سایبری و حفاظت از داده ها دست به دست هم می دهند. اگر داده ها همه جا هستند، چگونه از آن محافظت می کنید؟ در Amedisys، ما با توجه به اینکه داده‌ها از کجا سرچشمه می‌گیرند، شروع به پاسخ به این سؤال می‌کنیم.

همانطور که یک بیمار از طریق تداوم مراقبت ها حرکت می کند، ما درک می کنیم و برای آن ارزش قائل هستیم که تجربیات بیماران ما خصوصی است. افراد حق اساسی دارند که تعیین کنند چه کسی و چه زمانی از اطلاعات سلامتی آنها استفاده شود.

تلاش برای خصوصی نگه داشتن این اطلاعات در پارادایم جدید Teams Meetings، گزارش های PowerBI و داده های غیرمتمرکز، بار سنگینی برای CISO های مدرن است. یک پیچیدگی اضافه این است که CISO ها نه تنها سعی می کنند اطلاعات را از دشمنانی که می خواهند حریم خصوصی را برای سود مبادله کنند، دور نگه دارند، بلکه از افشای تصادفی در روند عادی تجارت نیز می کوشند.

JSK: به ما بگویید چگونه چالش‌های امنیت سایبری ممکن است برای Amedisys در دنیای سلامت خانه، آسایشگاه و مراقبت تسکینی در مقایسه با سایر محیط‌های خدمات مراقبت‌های بهداشتی مانند مراقبت‌های بستری یا شیوه‌های گروه پزشکی متفاوت باشد.

Amedisys یکی از بزرگترین ارائه دهندگان آسایشگاه و خانه بهداشت در آمریکا است. به عنوان مقایسه، یکی از بزرگترین بیمارستان ها کمی بیش از 2000 تخت دارد، در حالی که شرکت ما سالانه بیش از 400000 بیمار را ارائه می دهد. ما تمام چالش های یک بیمارستان سنتی را داریم زیرا خدمات مشابهی را ارائه می دهیم، اما با متغیر اضافی که مراقبت از خانه بیماران را ارائه می دهیم.

ارائه مراقبت در خانه تا حدی به امنیت سایبری پیچیدگی می‌افزاید، به‌ویژه زمانی که به مواردی مانند اتصال یا عدم وجود آن فکر می‌کنید. ما تمام تلاش خود را می کنیم تا دنیا را از چشم بیماران خود ببینیم و در عین حال ایمنی پزشکان خود را نیز تضمین کنیم. تصور کنید یک عزیز مبتلا به زوال عقل دارید که ممکن است به خاطر نداشته باشد که چرا یک مراقب در خانه او را برای ویزیت بهداشتی خانه می زند. اطمینان از ایمن بودن پزشکان ما در حالی که می‌توانیم سطح مراقبت پیشرو در صنعت را ارائه دهیم، جایی است که سازمان ما پیشرفت می‌کند.

JSK: همانطور که به «خط شروع» برای برنامه‌ریزی و اجرای استراتژی امنیت سایبری Amedisys نگاه می‌کنید، ملاحظات و چالش‌های کلیدی که در خط مقدم پروژه خود داشتید چه بود؟

ر.ک: در آمدیسیس، صرف نظر از عنوان شغلی شما، همه مراقب هستند. این برای ما چیزی فراتر از فرهنگ لغت سازمانی است. همه افراد در سازمان ما از جایی به وظایف شغلی خود نزدیک می شوند: “چگونه می توانم تجربه شخص دیگری را از طریق اقدامات خود بهبود بخشم؟” راهبرد امنیتی ما بر دلسوزی، همدلی و کمک‌رسانی استوار است. وقتی بیماران یا مشتریان خود را در اولویت قرار می دهید، چیزهایی که می توانید به عنوان یک قابلیت امنیت سایبری انجام دهید شگفت انگیز است.

یکی از تاثیرگذارترین تجربیات حرفه‌ای من، کار با پرستاران آسایشگاه ما در دوران اوج کووید بود. آسایشگاه خدماتی است که در کشور ما به اندازه کافی از آن استفاده نمی شود. این یک موضوع ناراحت کننده برای بحث است – گذار از زندگی به مرگ. پرستاران آسایشگاه ما هر روز بر این ناراحتی غلبه می کنند. آسایشگاه همچنین تنها خدمات درمانی است که هدف آن سالم‌تر کردن افراد نیست، بلکه بهبود کیفیت زندگی اوست.

از بسیاری جهات، به نظر می رسد که ما جلوی ترسناک بودن روزهای اولیه کووید را گرفته ایم. قبل از ایده “صاف کردن منحنی” یا حتی قرنطینه کردن با خمیر ترش و حواس پرتی “Tiger King”، مردم به طور فعال در اثر این بیماری می مردند.

پرستاران آسایشگاه هر روز حاضر می‌شدند تا بیمارانشان که برخی از آنها دارای یک بیماری بسیار عفونی بودند، در روزهای آخر زندگی راحت باشند. رفتن به سر کار به معنای این بود که خودشان را در معرض خطر قرار دهند – و آنها هنوز هم این کار را کردند. در مجموع، پرستاران آسایشگاه در آمدیسیس در دوران کووید، شجاع ترین و فداکارترین افرادی بودند که تا به حال ملاقات کردم.

یادم می آید مدت کوتاهی پس از اینکه سازمان ما پذیرش تیم ما را نهایی کرد و من با یک رهبر آسایشگاه ملاقات کردم و پرسیدم – تیم شما به چه چیزی نیاز دارد؟ من هرگز پاسخ را فراموش نمی کنم: “ما به آغوش نیاز داریم.”

COVID گروهی از کارمندان ما را که به جامعه نیاز داشتند کاملاً منزوی کرده بود. آنها نیاز به اندوه داشتند. آنها نیاز به تخلیه هوا داشتند. آن‌ها به مکانی نیاز داشتند که تجربه‌شان به‌عنوان انسان، حتی پس از ساعات کاری ادامه داشته باشد.

توانایی راه‌اندازی جوامع آنلاین و همچنین راه‌های ارتباطی که این گروه از کارمندان بتوانند از یکدیگر دلجویی کنند، تجربه‌ای فوق‌العاده رضایت‌بخش بود. مطمئناً، ما تلاش کردیم تا آن چیزها را ایمن کنیم و داده ها و تجربیاتی که به اشتراک گذاشته شد، خصوصی باقی بماند، اما مهمتر از آن، فناوری واقعاً مردم را در زمانی که بیشتر به آن نیاز داشتند، متحد می کرد.

JSK: شنیده ام که شما در مورد اهمیت اکوسیستم در رویکردتان به سایبر صحبت می کنید. می توانید توضیح دهید؟

RK: همان‌قدر که سعی می‌کنیم CISO بودن را به یک گفتگو در مورد امنیت تبدیل کنیم، هدف آن همسو کردن اهداف شرکت با حفظ خصوصی داده‌ها به مؤثرترین روش ممکن است. در اینجا یک عمل متعادل کننده بین هزینه و ارزش وجود دارد.

من هنوز CISO را ندیده‌ام که طرحی برای ایمن‌تر کردن کارها ارائه کرده باشد و ضریب موفقیت 100 درصدی در دریافت بودجه برای آن ایده داشته باشد. ما دائما در حال چالش برای کاهش هزینه ها هستیم.

من با اکوسیستم های فناوری به همان روشی برخورد می کنم که از بچه هایم برای خوردن شام استفاده می کنم. هر یک از آنها نیازهای متفاوتی دارند و ایده ای در مورد اینکه در آن لحظه چه چیزی برای آنها بهتر است. ناگت مرغ، پیتزا، تاکو (بدیهی است که دومی فقط سه شنبه هاست). برای آنها محدودیتی برای منابع موجود وجود ندارد. با این حال، به عنوان یک والدین و به عنوان یک CISO، وظیفه من این است که آنچه را که واقعاً در برابر منابع موجود مورد نیاز است، آشتی دهم. در تجربه من، بهترین راه برای انجام این کار این است که به مکانی واحد بروید که بیشترین تنوع را ارائه می دهد.

اخیراً، Amedisys به همین دلیل سرمایه گذاری زیادی در پشته امنیتی مایکروسافت انجام داده است. نه تنها تک تک محصولات نیازهای ما را برآورده می کنند، بلکه سادگی بیشتری در آن محصولات امنیتی که دارای عملکرد بومی مجموعه بهره وری ما هستند، اضافه شده است. به‌علاوه، تیم ما مشتاق بهبود محصولاتی است که استفاده می‌کنیم و داشتن یک نقطه تشدید واحد به این معنی است که می‌توانیم شاهد پیشرفت‌ها در سراسر شرکت باشیم، حتی اگر بازخورد ما بر روی یک قابلیت خاص متمرکز باشد.

JSK: در جایی خواندم که شما گاهی اوقات دیوید گوگینز، ورزشکار استقامتی را در حین پیاده روی و سایر تلاش های تناسب اندام خود احضار می کنید. جالب اینجاست که گوگینز در اوقات فراغت خود به عنوان تکنسین اورژانس در بریتیش کلمبیا جایی که زندگی می کند کار می کند. چه چیزی می توانید از الهامات گوگینز در “ماراتن” کار امنیت سایبری خود با Amedisys بگیرید؟

ر.ک: وقتی به افرادی مانند گوگینز نگاه می‌کنم، دو مفهوم وجود دارد که واقعاً در ذهن من طنین‌انداز می‌شود. اولین مورد داشتن توانایی نجات خود است. هیچ کس برای کمک به شما نمی آید. آموختن این درس سختی است و همه آن را درک نمی کنند. هنگامی که من مربی سایر CISO ها هستم، این یکی از سنگ بناهای رویکرد من به رهبری است. بهترین رهبران تیم ابتدا اعضای تیم عالی هستند. عضو تیمی عالی بودن این است که بتوانید خودتان را مسئول نگه دارید. اگر می خواهید 100 کشش انجام دهید، با انجام 1 شروع می کنید و می فهمید که هیچ کس دیگری 99 مورد دیگر را برای شما انجام نمی دهد. خودکفایی و مسئولیت پذیری مهارت های نرمی هستند که به تیم امنیتی ما Amedisys اجازه می دهد حتی با تعداد محدودی از کارمندان پیشرفت کند.

مفهوم دوم تفاوت بین انگیزه و نظم است. انگیزه در نوسان است. روزهای خوب و روزهای بد وجود دارد – پویا است. وقتی چیزها در امنیت پویا هستند، آن موقع است که حفره ها ایجاد می شوند. داشتن نظم و انضباط برای مقابله با وظایف، صرف نظر از اندازه یا تمایل به انجام آنها، به ما کمک می کند تا یک محیط عملیاتی پایداری را حفظ کنیم که تیم های عملیاتی ما بتوانند از آن استفاده کنند. نظم و انضباط راهی را برای ما فراهم می کند تا با ناراحتی راحت شویم.

و بنابراین ما از روزهای بداخلاق اولیه هک تا حرکت به سمت «سمت دیگر» معادله سایبری به چشم انداز خاص مراقبت های بهداشتی ارائه شده در خانه با همکاری بیماران و مراقبان – با فناوری تنها یک بخش از یک دوره طولانی تر سفر کرده ایم. دستور العملی که در همدلی، اجتماع و در آغوش گرفتن پخته می شود – در یک ماراتن با نظم و انضباط الگوبرداری الهام بخش از دیوید گوگینز.

با ریچارد کافمن، CISO of Amedisys و من، منتظر قسمت 2 این کاوش 3 قسمتی در امنیت سایبری و مراقبت های بهداشتی باشید که در اواسط ژوئن منتشر می شود…