 - Created by PostDICOM.jpg)
PACS-tietoturva epäonnistuu yleensä tylsästi. Ei dramaattisella ”elokuvahakkeri” -hetkellä, vaan uudelleenkäytetyllä salasanalla, ylivoimaisella käyttäjäroolilla, ikuisesti elävällä jakolinkillä tai hiljaisella viennillä, jota kukaan ei huomaa ennen kuin joku kysyy: ”Miksi tämä tutkimus on väärässä paikassa?”
Joten jos etsit PACS-tietoturvan perusasioita reaaliaikaisella ajattelutavalla, älä aloita 40-sivuisella käytännöllä. Aloitetaan näkyvyydestä. Haluat havaita kourallisen käyttäytymistä, joka ilmenee varhaisessa vaiheessa useimmissa tapahtumissa, ja haluat yksinkertaisen vastausrutiinin, jotta hälytys todella johtaa toimintaan.
Reaaliaikaiset PACS-tietoturvaominaisuudet tarkoittavat kirjautumisten, käyttöoikeuksien ja tietojen liikkumisen jatkuvaa seurantaa (tarkastele, jaa, vie, poista) ja varoituksia tietyistä epäilyttävistä malleista, kuten toistuvista epäonnistuneista kirjautumisista, uusista sijainneista/laitteista, yllättävistä järjestelmänvalvojan muutoksista ja epätavallisista lataus- ja vientipiikkeistä, jotta voit hallita ongelmia nopeasti sen sijaan, että havaitset niitä myöhemmin tarkastuksessa. Tämä vastaa NIST:n jatkuvan seurannan lähestymistapaa ja yleistä tarvetta tarkastusten valvontaan ja siirron suojatoimiin terveydenhuollon turvallisuuteen liittyvissä odotuksissa.
Lokit eivät ole reaaliaikaista turvallisuutta. Lokit ovat ennätys. Reaaliaikainen tietoturva on silmukka:
1. Jotain tapahtuu (kirjautumisyritys, jakolinkki luotu, vienti aloitettu).
2. Sääntö arvioi sen (onko tämä normaalia tälle käyttäjälle ja roolille?).
3. Hälytys menee nopeasti oikealle henkilölle.
4. Pieni, toistettava vastaus tapahtuu (sisältää ensin, tutki toinen).
NIST: n jatkuvaa seurantaa ja kirjaamista koskevat ohjeet tukevat tätä ajatusta: käytät tapahtumia ja lokeja havaitsemaan, vastaamaan ja rajoittamaan vaikutuksia, ei vain dokumentoimaan tapahtunutta tosiasian jälkeen.
Et tarvitse 200 hälytystä. Tarvitset oikean 5, viritettynä kynnysarvoilla, jotka eivät ole epämääräisiä.
Jos joku osuu PACS-järjestelmään toistuvilla huonoilla salasanoilla, haluat tietää nyt, ei myöhemmin.
Käytännön sääntö: käynnistä hälytys, kun käyttäjätilillä on 8+ epäonnistunutta kirjautumista 10 minuutissa, tai kun yhdellä IP-osoitteella on 20+ vikaa 10 minuutissa tai kun kirjautuminen onnistuu heti epäonnistuneiden epäonnistumisten jälkeen (tuo viimeinen kuvio on klassinen merkki siitä, että hyökkääjä vihdoin pääsi sisään). Kun tämä käynnistyy, paras ensimmäinen siirto on eristäminen: lukitse tili tai keskeytä tilapäisesti kirjautuminen ja vahvista sitten käyttäjä.
Radiologiset mallit ovat ennustettavissa. Radiologi, joka aina kirjautuu sisään yhdeltä alueelta ja ilmestyy yhtäkkiä uudelle mantereelle, ei ole automaattisesti hyökkäys, mutta se on aina tarkistamisen arvoinen.
Käytännön sääntö: hälytys ensimmäisestä kirjautumisesta uudesta maasta tai alueelta tai ensimmäisestä kirjautumisesta uudesta laitteesta. Älä ajattele vastausta liikaa. Joko se on laillista matkustamista (nopea vahvistus) tai ei (poista pääsy käytöstä, nollaa tunnistetiedot ja tarkista viimeaikainen toiminta).
Tämä on se, joka aiheuttaa ”kaikki näyttää normaalilta... kunnes se ei ole”. Hyökkääjä tai jopa hyvää tarkoittava henkilöstön jäsen voi vaihtaa roolia, laajentaa käyttöoikeuksia tai luoda uuden tilin, ja yhtäkkiä tietoturvamallisi on poissa.
Tämän pitäisi olla nollaviivehälytys: kaikki järjestelmänvalvojan avustukset, kaikki uusien käyttäjien luomiset ja mahdolliset luvan muutokset arkaluonteisiin projekteihin/tutkimuksiin. Kulunvalvonta ja tarkastuksen valvonta ovat osa HIPAA-turvallisuussäännön teknisiä suojausodotuksia, ja vaikka olisit Yhdysvaltojen ulkopuolella, periaate on universaali: sinun on tiedettävä, milloin kulunvalvonnan muutokset tapahtuvat.
(2) - Created by PostDICOM.jpg)
Jos kuvantamistiedot alkavat liikkua äänenvoimakkuudeltaan, se on erittäin tärkeä tapahtuma. Täydellinen kynnys riippuu ympäristöstäsi, mutta tässä on vankka lähtökohta:
Hälytys, kun ei-admin-käyttäjä vie 15+ tutkimusta 30 minuutissa, tai kun vientitoiminta on yhtäkkiä selvästi kyseisen käyttäjän normaalin lähtötason yläpuolella (esimerkiksi joku joka vie yhden tutkimuksen viikossa yhtäkkiä vie kymmenen tunnissa). Yhdistä tämä hälytys kontekstiin: tapahtuiko uuden laitteen kirjautuminen juuri ennen vientipiikkiä? Jos kyllä, käsittele sitä kiireellisenä.
Jakaminen on välttämätöntä. Hallitsematon jakaminen on paikka, jossa ongelmat hiipivät sisään.
Ilmoita yhden tilin luomien jakolinkkien piikistä lyhyessä ikkunassa tai yksittäisten ulkoisten vastaanottajien äkillisestä kasvusta. Vastaus on yksinkertainen: vanhennä linkit, vahvista vastaanottajat ja rajoita ulkoinen jakaminen oikeisiin rooleihin.
Kun hälytys alkaa, älä aloita keskustelulla. Aloita rutiinilla.
Sisällytä ensin: poista tili käytöstä tai peruuta istunnot, jos käyttö näyttää epäilyttävältä. Säilytä todisteet: tallenna myöhemmin tarvitsemasi tapahtuman tiedot ja lokit. Sitten laajuus: mitä tutkimuksia koskettiin, jaettiin tai vietiin? Lopuksi nollaa: tunnistetiedot ja roolit ja kiristä jakamisasetuksia. Tämä ”havaitse → reagoi → rajoita vaikutusta” -käsite on yhdenmukainen jatkuvan seurannan toiminnan kanssa.
Käytä tätä lyhyenä tarkastuksena. Jos et pysty luottavaisesti vastaamaan ”kyllä”, olet löytänyt todellisen parannuksen.
• Jokaisella käyttäjällä on ainutlaatuinen kirjautumistunnus (ei jaettuja tilejä).
• Roolit ovat vähiten etuoikeutettuja (kaikki eivät ole järjestelmänvalvojia).
• Mfa:ta käytetään järjestelmänvalvojaan ja etäkäyttöön mahdollisuuksien mukaan.
• Varoitat kirjautumisvirheistä ja uudesta laitteen/sijainnin sisäänkirjautumisesta.
• Ilmoitat välittömästi järjestelmänvalvojan myöntämistä ja luvan muutoksista.
• Ilmoitat joukkoviennistä/piikkien lataamisesta ja joukkojakamisesta.
• Tiedot salataan kuljetuksen aikana ja levossa.
• Sinulla on yksinkertainen vastausrutiini ja nimetty omistaja hälytyksille.
HIPAA-yhteensopivissa ympäristöissä tämän tarkistuslistan taustalla olevat teemat liittyvät puhtaasti teknisiin suojatoimiin, kuten kulunvalvontaan, tarkastusten valvontaan, eheyteen, todennukseen ja lähetysten turvallisuuteen.
Toimittajan tietoturvasäätiöillä on merkitystä, mutta ne eivät korvaa operatiivisia hallintalaitteita.
PostDICOM toteaa, että se salaa tiedot AES-256: lla ja tallentaa ne Microsoft Azure -tallennustilaan valitulla alueella. Vahva lähtötaso. Päivittäisen eron tekee se, miten käytät, jaat ja seuraat todellisessa työnkulkussasi, etenkin yllä olevia viittä signaalia.
Jos haluat painetestata reaaliaikaisen PACS-tietoturvan perusteet todellisen tiimisi kanssa (todelliset käyttäjät, todellinen jakaminen, todellinen tutkimusmäärä), käynnistä PostDICOM 7 päivän ilmainen kokeilu ja suorita tämä tarkistuslista kokeilujakson aikana. Viritä hälytyskynnykset, tarkista käyttöroolit ja vahvista vastausrutiini ennen käytön skaalaamista.
Aloita ilmainen kokeilu: https://www.postdicom.com/fi/signup
