CISA للتركيز على قدر أكبر من المساءلة عبر النظام البيئي للأمن السيبراني – TechToday

يقول المسؤولون إن وكالة الأمن السيبراني وأمن البنية التحتية تتخذ إجراءات جديدة وتقوم باستثمارات طويلة الأجل لضمان التعاون عبر القطاعات ودفع الأمن على نطاق واسع.

لماذا يهم

من خلال خطتها الإستراتيجية الجديدة للسنة المالية 2024-2026 التي تم إصدارها في 4 أغسطس ، تهدف المجموعة الوطنية للأمن السيبراني إلى معالجة تهديدات الأمن السيبراني الفورية وتشديد الأنظمة ضد الهجمات.

وتقول الوكالة إن الحوادث السيبرانية تسببت في الكثير من الضرر للعديد من المنظمات الأمريكية وتدعو إلى الاستثمار في التعاون في مجال الأمن السيبراني لجعل شبكات الأمة “هدفًا صعبًا ومكلفًا لخصوم الإنترنت.”

حدد CISA عددًا من الإجراءات ، بما في ذلك زيادة عدد المنظمات التي يزودها بالموارد لتقديم التدريب على الأمن السيبراني ، وتأمين اعتماد موارد الحوسبة السحابية ، والمساهمة في التطوير المستمر للقوى العاملة السيبرانية الوطنية ، وتشجيع اعتماد أهداف أداء الأمن السيبراني ( CPGs).

وقالت CISA: “نحن نعلم أننا لا نستطيع تحقيق الأمن الدائم دون تعاون وثيق ومستمر بين الحكومة والصناعة والباحثين الأمنيين والمجتمع الدولي وغيرهم”.

“على الرغم من أننا مسؤولون عن الأمن السيبراني الوطني ، يجب علينا مواءمة المساءلة عبر النظام البيئي ، بحيث يعتبر الأمن السيبراني من مخاطر الأعمال التأسيسية في كل مؤسسة.”

يجب تعزيز مجموعات حماية المستهلك – المصممة لمساعدة البنية التحتية الحيوية مثل قطاع الرعاية الصحية والكيانات الأخرى على اتخاذ قرارات إدارة المخاطر التي تحقق نتائج أمنية ذات أولوية عالية وتأخذ في الاعتبار المخاطر الإجمالية للأمة – على المدى الطويل “من خلال تحفيز المنتجات الأقل عرضة للهجمات الإلكترونية قالت الوكالة.

“حتى في الوقت الذي نواجه فيه تحدي المنتجات التكنولوجية غير الآمنة ، يجب أن نضمن أن المستقبل أكثر أمانًا من الحاضر – بما في ذلك من خلال التطلع إلى الأمام لتقليل المخاطر والاستفادة الكاملة من الفوائد التي يوفرها الذكاء الاصطناعي والتقدم في الحوسبة ذات الصلة بالكم. . “

في الشهر الماضي ، أعلنت إدارة بايدن هاريس عن الولايات المتحدة Cyber ​​Trust Mark ، وهو برنامج لوضع العلامات على الأمن السيبراني للأجهزة الذكية من فئة المستهلك. في حين أن البيان لم يتطرق على وجه التحديد إلى الأجهزة الطبية أو تكنولوجيا المعلومات الخاصة بالرعاية الصحية أو البرامج الثابتة أو المستشفيات ، إلا أنه أوضح المتطلبات التي سيستفيد منها قطاع الرعاية الصحية في إطار مثل هذا البرنامج:

“سيستفيد البرنامج من الجهود التي يقودها أصحاب المصلحة لاعتماد المنتجات وتصنيفها ، استنادًا إلى معايير الأمن السيبراني المحددة التي نشرها المعهد الوطني للمعايير والتكنولوجيا والتي تتطلب ، على سبيل المثال ، كلمات مرور افتراضية فريدة وقوية وحماية البيانات وتحديثات البرامج وقدرات الكشف عن الحوادث وقالت الإدارة في البيان.

في خطتها الاستراتيجية المحدثة ، قالت CISA إن تعاونها المشترك للدفاع السيبراني و “توسيع الفرق الإقليمية” سيجمعان الحكومة والقطاع الخاص والشركاء الدوليين لتقليل المخاطر الإلكترونية بشكل قابل للقياس.

وتعهدت الوكالة “سوف نستثمر في التعاون المستمر المحدد من خلال التوقعات المتبادلة للشفافية والقيمة وتقليل الاحتكاك لتمكين التحليل القائم على البيانات والمقياس”.

“سنطور ونمارس وننفذ خططًا للدفاع الإلكتروني تتيح الاستجابات الفعالة للتهديدات العاجلة مع الحفاظ على التركيز على المخاطر طويلة المدى التي تتطلب استثمارًا مستدامًا.”

وقالت الوكالة أيضًا إنها ستقيس مدى ظهورها في نقاط الضعف عبر البنية التحتية الحيوية والشبكات الحكومية وستزيد الثقة والتعاون مع مجتمع البحث والقطاع الخاص من خلال توسيع المشاركة في جهود “الكشف عن نقاط الضعف المنسقة”.

يجب أن يزيد نموذج التعاون المستمر لـ CISA في إطار الخطة الوطنية للاستجابة لحوادث الإنترنت من عدد المنظمات المشاركة “والقيمة التشغيلية المستمدة من كل مشارك” ، وعدد خطط الدفاع الإلكتروني للمخاطر ذات الأولوية العالية التي حددها أصحاب المصلحة من القطاعين العام والخاص ، والوكالة قال.

الاتجاه الأكبر

نظرًا لأن استراتيجية الأمن السيبراني الوطنية لبايدن تتطلب قوى السوق وتفويضات ، فإن منظمات مثل جمعية المستشفيات الأمريكية و HITRUST تريد المساعدة في جعل الحوافز الأمنية لشركات البرمجيات ممكنة.

في حين أن الاستراتيجية المقترحة في مارس “تقر بأن جهود القطاع الخاص وحدها غير كافية لمواجهة التهديدات السيبرانية الكبيرة التي نواجهها كأمة ،” قال جون ريجي ، مستشار AHA الوطني للأمن السيبراني والمخاطر ، في بيان بعد ذلك ، إنه من غير الواضح حول كيفية تأثير متطلبات أمان البرامج على مزودي تكنولوجيا المعلومات للرعاية الصحية.

التشريع الذي تم تقديمه في سبتمبر الماضي من شأنه أن يوجه CISA للتعاون مع الصحة والخدمات البشرية لحماية بيانات الرعاية الصحية على وجه التحديد من الهجمات الإلكترونية ، لكن مشروع القانون ، S.3904 الذي قدمه السناتور جاكي روزن ، ديمقراطي نيف ، كان جالسًا مع لجنة الأمن الداخلي والشؤون الحكومية منذ أكتوبر.

وبحسب تقرير تلك اللجنة ، فإن “س. 3904 يضمن تنسيق CISA و HHS لتوفير الموارد المناسبة لكيانات قطاع الرعاية الصحية والصحة العامة لمنع الحوادث الإلكترونية واكتشافها والاستجابة لها.

ويشمل ذلك تطوير المنتجات لكيانات القطاع ، ومشاركة المعلومات ، وتوفير التدريب على الأمن السيبراني لأصحاب ومشغلي الأصول في القطاع. بالإضافة إلى ذلك ، يتطلب مشروع القانون أن تقوم HHS بتحديث الخطة الخاصة بقطاع الرعاية الصحية والصحة العامة ، والتي تم تحديثها آخر مرة في عام 2015 ، في غضون عام واحد من التشريع. “

قالت اللجنة إنها اتفقت مع مكتب الميزانية في الكونجرس على أن مشروع القانون “لا يحتوي على تفويضات حكومية دولية أو خاصة بالقطاع الخاص كما هو محدد في قانون إصلاح الولايات غير الممولة ولن يفرض أي تكاليف على حكومات الولايات أو الحكومات المحلية أو القبلية”.

قدم النائب جيسون كرو ، ديمقراطي كولو ، أيضًا الإصدار المصاحب HR8806 في سبتمبر دون أي نشاط إضافي حتى الآن. في ذلك الشهر ، قال مكتب كرو أخبار تكنولوجيا المعلومات للرعاية الصحية أن روزن سيتولى زمام المبادرة في تمويل الاقتراح في قانون تفويض الدفاع الوطني للسنة المالية 23.

ومع ذلك ، فإن ملخص NDAA النهائي على موقع الويب الخاص بلجنة الخدمات المسلحة بمجلس النواب لا يشير إلى تمويل CISA أو HHS في مجالات الأمن السيبراني وحماية بيانات الرعاية الصحية.

علي القيد

وقالت CISA: “يجب أن نكتشف الخصوم بسرعة ، والحوادث ونقاط الضعف ، وتمكين التخفيف في الوقت المناسب قبل حدوث الضرر”. “يجب أن نساعد المنظمات ، ولا سيما تلك التي” تستهدف الأغنياء والفقراء في الموارد “في اتخاذ أقل عدد ممكن من الخطوات لتحقيق أكبر قدر من التأثير الأمني.

“هذه رحلة مشتركة وتحدي مشترك.”

في الشهر المقبل ، سيستكشف منتدى الأمن السيبراني للرعاية الصحية HIMSS 2023 كيف تقوم الصناعة بتحصين دفاعاتها اليوم وإعداد استراتيجيات للمستقبل. من المقرر عقده يومي 7 و 8 سبتمبر في بوسطن. تعلم المزيد والتسجيل في HIMSS.org/event-healthcare-cybersecurity-forum.

أندريا فوكس هي كبيرة المحررين في أخبار الرعاية الصحية لتقنية المعلومات.
البريد الإلكتروني: afox@himss.org
أخبار تكنولوجيا المعلومات للرعاية الصحية هي إحدى منشورات HIMSS Media.