 - Created by PostDICOM.jpg)
Bezpieczeństwo PACS zwykle zawodzi w nudny sposób. Nie z dramatycznym momentem „hakera filmowego”, ale z ponownie użytym hasłem, przepełnioną rolą użytkownika, łączem udostępniającym, który żyje wiecznie lub cichym eksportem, którego nikt nie zauważy, dopóki ktoś nie zapyta: „Dlaczego to badanie jest w niewłaściwym miejscu?”
Jeśli więc szukasz podstawowych elementów bezpieczeństwa PACS z myślą o czasie rzeczywistym, nie zaczynaj od 40-stronicowej polityki. Zacznij od widoczności. Chcesz dostrzec kilka zachowań, które pojawiają się na początku większości incydentów, i potrzebujesz prostej rutyny reakcji, aby alert faktycznie prowadził do działania.
Podstawowe elementy zabezpieczeń PACS w czasie rzeczywistym oznaczają ciągłe monitorowanie loginów, uprawnień i przepływu danych (przeglądanie, udostępnianie, eksportowanie, usuwanie) oraz ostrzeganie o określonych podejrzanych wzorcach, takich jak powtarzające się nieudane logowania, nowe lokalizacje/urządzenia, nieoczekiwane zmiany administratora i nietypowe skoki pobierania/eksportu, dzięki czemu możesz szybko rozwiązywać problemy zamiast wykrywać je później. Jest to zgodne z podejściem do ciągłego monitorowania NIST i ogólną potrzebą kontroli audytu i zabezpieczeń transmisji w oczekiwaniach dotyczących bezpieczeństwa opieki zdrowotnej.
Dzienniki nie są zabezpieczeniami w czasie rzeczywistym. Dzienniki to rekord. Bezpieczeństwo w czasie rzeczywistym to pętla:
1. Coś się dzieje (próba logowania, utworzony link udostępniony, eksport rozpoczęty).
2. Reguła to ocenia (czy jest to normalne dla tego użytkownika i roli?).
3. Alert szybko trafia do właściwej osoby.
4. Zdarza się mała, powtarzalna odpowiedź (zawiera pierwsze, zbadaj drugie).
Wskazówki NIST dotyczące ciągłego monitorowania i rejestrowania wspierają ten pomysł: używasz zdarzeń i dzienników do wykrywania, reagowania i ograniczania wpływu, a nie tylko do dokumentowania tego, co wydarzyło się po fakcie.
Nie potrzebujesz 200 alertów. Potrzebujesz właściwego 5, dostrojonego do progów, które nie są niejasne.
Jeśli ktoś uderzy w Twój PACS powtarzającymi się złymi hasłami, chcesz wiedzieć teraz, a nie później.
Praktyczna zasada: wyzwalaj alert, gdy konto użytkownika ma ponad 8 nieudanych loginów w ciągu 10 minut lub gdy pojedynczy adres IP ma ponad 20 awarii w ciągu 10 minut, lub gdy zalogowanie się pomyślnie nastąpi natychmiast po serii awarii (ten ostatni wzór jest klasycznym znakiem, że atakujący w końcu dostał się). Kiedy to się uruchomi, najlepszym pierwszym krokiem jest ograniczenie: zablokuj konto lub tymczasowo zawieś logowanie, a następnie zweryfikuj użytkownika.
Wzorce radiologiczne są przewidywalne. Radiolog, który zawsze przychodzi z jednego regionu, nagle pojawiając się na nowym kontynencie, nie jest automatycznie atakiem, ale zawsze warto go sprawdzić.
Praktyczna zasada: ostrzeganie o pierwszym logowaniu z nowego kraju/regionu lub pierwszego logowania z nowego urządzenia. Nie zastanawiaj się nad odpowiedzią. Albo jest to legalna podróż (szybkie potwierdzenie), albo nie (wyłącz dostęp, zresetuj dane uwierzytelniające i sprawdź ostatnią aktywność).
To jest ten, który powoduje, że „wszystko wygląda normalnie... dopóki nie jest”. Atakujący, a nawet członek personelu o dobrych intencjach, może zmienić rolę, rozszerzyć dostęp lub utworzyć nowe konto, i nagle twój model bezpieczeństwa zniknie.
Powinno to być ostrzeżenie o zerowym opóźnieniu: wszelkie przyznania administratora, wszelkie nowe utworzenie użytkownika i wszelkie zmiany uprawnień do poufnych projektów/badań. Kontrola dostępu i kontrola audytu są częścią technicznych oczekiwań Hipaa Security Rule, a nawet jeśli jesteś poza Stanami Zjednoczonymi, zasada jest uniwersalna: musisz wiedzieć, kiedy zachodzą zmiany kontroli dostępu.
(2) - Created by PostDICOM.jpg)
Jeśli dane obrazowe zaczynają się zmniejszać, jest to zdarzenie o wysokim priorytecie. Idealny próg zależy od otoczenia, ale oto solidny punkt wyjścia:
Ostrzeżenie, gdy użytkownik niebędący administratorem eksportuje ponad 15 badań w ciągu 30 minut lub gdy aktywność eksportowa nagle przekracza normalną linię bazową tego użytkownika (na przykład osoba, która eksportuje jedno badanie tygodniowo, nagle eksportuje dziesięć w ciągu godziny). Połącz ten alert z kontekstem: czy logowanie nowego urządzenia nastąpiło tuż przed skokiem eksportu? Jeśli tak, potraktuj to jako pilne.
Dzielenie się jest konieczne. Niekontrolowane udostępnianie to miejsce, w którym pojawiają się kłopoty.
Powiadom o wzroście liczby linków do udostępniania utworzonych przez jedno konto w krótkim oknie lub o nagłym wzroście unikalnych odbiorców zewnętrznych. Odpowiedź jest prosta: wygaś linki, potwierdź odbiorców i ogranicz udostępnianie zewnętrzne do odpowiednich ról.
Kiedy pojawia się alarm, nie zaczynaj od debaty. Zacznij od rutyny.
Zawieraj najpierw: wyłącz konto lub odwołaj sesje, jeśli dostęp wygląda podejrzanie. Zachowaj dowody: przechwyć szczegóły zdarzeń i dzienniki, których będziesz potrzebować później. Następnie zakres: które badania zostały dotknięte, udostępnione lub wyeksportowane? Na koniec zresetuj: dane uwierzytelniające i role oraz dokręć ustawienia udostępniania. Ta koncepcja „wykryć → reagować → ograniczyć wpływ” jest zgodna ze sposobem działania ciągłego monitorowania.
Użyj tego jako krótkiego audytu. Jeśli nie możesz śmiało odpowiedzieć „tak”, znalazłeś prawdziwą poprawę.
• Każdy użytkownik ma unikalny login (brak kont udostępnionych).
• Role mają najmniejszy przywilej (nie każdy jest administratorem).
• Mfa jest używany do administratora i zdalnego dostępu, jeśli to możliwe.
• Powiadamiasz o awarii logowania i logowaniu nowego urządzenia/lokalizacji.
• Natychmiast powiadamiasz o uprawnieniach administratora i zmianach uprawnień.
• Powiadamiasz o eksporcie masowym/skokach pobierania i udostępnianiu zbiorczym.
• Dane są szyfrowane podczas transportu i spoczynku.
• Masz prostą procedurę reagowania i nazwanego właściciela alertów.
W środowiskach dostosowanych do systemu HIPA A motywy stojące za tą listą kontrolną są dostosowane do zabezpieczeń technicznych, takich jak kontrola dostępu, kontrole audytu, integralność, uwierzytelnianie i bezpieczeństwo transmisji.
Podstawy bezpieczeństwa dostawców mają znaczenie, ale nie zastępują elementów sterujących operacyjnych.
PostDICOM stwierdza, że szyfruje dane za pomocą AES-256 i przechowuje je w pamięci Microsoft Azure w wybranym regionie. To silna linia bazowa. Co robi różnicę na co dzień, to sposób, w jaki uzyskujesz dostęp, udostępniasz i monitorujesz w rzeczywistym przepływie pracy, zwłaszcza pięć powyższych sygnałów.
Jeśli chcesz przetestować podstawowe elementy bezpieczeństwa PACS w czasie rzeczywistym ze swoim rzeczywistym zespołem (prawdziwi użytkownicy, prawdziwe udostępnianie, rzeczywisty wolumen badań), rozpocznij 7-dniową bezpłatną wersję próbną PostDICOM i uruchom tę listę kontrolną w okresie próbnym. Dostosuj progi alertów, zweryfikuj role dostępu i potwierdź procedurę odpowiedzi przed skalowaniem użycia.
Rozpocznij bezpłatną wersję próbną: https://www.postdicom.com/pl/signup
