 - Created by PostDICOM.jpg)
Bezpieczeństwo systemów PACS zazwyczaj zawodzi w nudny sposób. Nie dzieje się to w dramatycznym momencie rodem z filmu o hakerach, ale przez ponownie użyte hasło, zbyt szerokie uprawnienia użytkownika, link do udostępniania, który jest aktywny w nieskończoność, lub cichy eksport, którego nikt nie zauważa, dopóki ktoś nie zapyta: „Dlaczego to badanie jest w niewłaściwym miejscu?”.
Jeśli więc szukają Państwo podstaw bezpieczeństwa PACS z nastawieniem na czas rzeczywisty, proszę nie zaczynać od 40-stronicowej polityki. Należy zacząć od widoczności. Chcą Państwo wykryć garstkę zachowań, które pojawiają się wcześnie w większości incydentów, i potrzebują prostej procedury reagowania, aby alert faktycznie prowadził do działania.
Podstawy bezpieczeństwa PACS w czasie rzeczywistym oznaczają ciągłe monitorowanie logowań, uprawnień i ruchu danych (przeglądanie, udostępnianie, eksportowanie, usuwanie) oraz alarmowanie o określonych podejrzanych wzorcach — takich jak powtarzające się nieudane logowania, nowe lokalizacje/urządzenia, nieoczekiwane zmiany administracyjne i nietypowe skoki pobierania/eksportu, dzięki czemu można szybko ograniczyć problemy, zamiast odkrywać je później podczas audytu. Jest to zgodne z podejściem NIST do ciągłego monitorowania oraz ogólną potrzebą kontroli audytu i zabezpieczeń transmisji w oczekiwaniach dotyczących bezpieczeństwa w opiece zdrowotnej.
Logi to nie bezpieczeństwo w czasie rzeczywistym. Logi to zapis. Bezpieczeństwo w czasie rzeczywistym to pętla:
1. Coś się dzieje (próba logowania, utworzenie linku udostępniania, rozpoczęcie eksportu).
2. Reguła ocenia to (czy jest to normalne dla tego użytkownika i roli?).
3. Alert szybko trafia do odpowiedniej osoby.
4. Następuje mała, powtarzalna reakcja (najpierw powstrzymanie, potem dochodzenie).
Wytyczne NIST dotyczące ciągłego monitorowania i logowania potwierdzają tę ideę: używa się zdarzeń i logów do wykrywania, reagowania i ograniczania wpływu, a nie tylko do dokumentowania tego, co się stało po fakcie.
Nie potrzebują Państwo 200 alertów. Potrzebne jest 5 właściwych, dostrojonych za pomocą progów, które nie są niejasne.
Jeśli ktoś atakuje Państwa PACS powtarzającymi się błędnymi hasłami, chcą Państwo wiedzieć o tym teraz, a nie później.
Praktyczna reguła: uruchomienie alertu, gdy konto użytkownika ma 8+ nieudanych prób logowania w ciągu 10 minut, lub gdy pojedynczy adres IP ma 20+ niepowodzeń w ciągu 10 minut, lub gdy następuje udane logowanie natychmiast po serii niepowodzeń (ten ostatni wzorzec jest klasycznym znakiem, że atakujący w końcu się włamał). Gdy to nastąpi, najlepszym pierwszym ruchem jest powstrzymanie: zablokowanie konta lub tymczasowe zawieszenie logowania, a następnie weryfikacja użytkownika.
Wzorce w radiologii są przewidywalne. Radiolog, który zawsze loguje się z jednego regionu, nagle pojawiający się na nowym kontynencie, nie jest automatycznie atakiem, ale zawsze warto to sprawdzić.
Praktyczna reguła: alert przy pierwszym logowaniu z nowego kraju/regionu lub pierwszym logowaniu z nowego urządzenia. Proszę nie komplikować reakcji. Albo jest to uzasadniona podróż (szybkie potwierdzenie), albo nie (zablokowanie dostępu, reset poświadczeń i przegląd ostatniej aktywności).
To jest ten moment, który powoduje, że „wszystko wygląda normalnie… dopóki nie przestanie”. Atakujący, a nawet pracownik mający dobre intencje, może zmienić rolę, rozszerzyć dostęp lub utworzyć nowe konto, i nagle model bezpieczeństwa znika.
To powinien być alert bez opóźnień: każde nadanie uprawnień administratora, każde utworzenie nowego użytkownika i każda zmiana uprawnień do wrażliwych projektów/badań. Kontrola dostępu i kontrola audytu są częścią oczekiwań dotyczących zabezpieczeń technicznych w ramach zasady bezpieczeństwa HIPAA (HIPAA Security Rule), a nawet jeśli znajdują się Państwo poza USA, zasada ta jest uniwersalna: muszą Państwo wiedzieć, kiedy następują zmiany w kontroli dostępu.
(2) - Created by PostDICOM.jpg)
Jeśli dane obrazowania zaczynają wypływać w dużej objętości, jest to zdarzenie o wysokim priorytecie. Idealny próg zależy od środowiska, ale oto solidny punkt wyjścia:
Alert, gdy użytkownik niebędący administratorem eksportuje 15+ badań w ciągu 30 minut, lub gdy aktywność eksportowa jest nagle znacznie powyżej normalnego poziomu odniesienia tego użytkownika (na przykład ktoś, kto eksportuje jedno badanie tygodniowo, nagle eksportuje dziesięć w godzinę). Proszę połączyć ten alert z kontekstem: czy logowanie z nowego urządzenia nastąpiło tuż przed skokiem eksportu? Jeśli tak, należy potraktować to jako pilne.
Udostępnianie jest konieczne. Niekontrolowane udostępnianie to miejsce, w którym wkradają się kłopoty.
Alert w przypadku skoku liczby linków udostępniania utworzonych przez jedno konto w krótkim oknie czasowym lub nagłego wzrostu liczby unikalnych odbiorców zewnętrznych. Reakcja jest prosta: wygaśnięcie linków, potwierdzenie odbiorców i ograniczenie udostępniania zewnętrznego do odpowiednich ról.
Gdy pojawi się alert, proszę nie zaczynać od debaty. Należy zacząć od rutyny.
Najpierw powstrzymanie: wyłączenie konta lub unieważnienie sesji, jeśli dostęp wygląda podejrzanie. Zabezpieczenie dowodów: przechwycenie szczegółów zdarzenia i logów, które będą potrzebne później. Następnie zakres: które badania zostały dotknięte, udostępnione lub wyeksportowane? Wreszcie reset: poświadczenia i role, oraz zaostrzenie ustawień udostępniania. Koncepcja „wykryj → zareaguj → ogranicz wpływ” jest spójna z tym, jak ma działać ciągłe monitorowanie.
Proszę użyć tego jako krótkiego audytu. Jeśli nie mogą Państwo pewnie odpowiedzieć „tak”, znaleźli Państwo pole do rzeczywistej poprawy.
• Każdy użytkownik ma unikalny login (brak kont współdzielonych).
• Role są o najniższych uprawnieniach (nie każdy jest administratorem).
• MFA jest używane dla administratorów i dostępu zdalnego, gdzie to możliwe.
• Ustawiono alerty o seriach nieudanych logowań i logowaniach z nowych urządzeń/lokalizacji.
• Natychmiastowe alerty o nadaniu uprawnień administratora i zmianach uprawnień.
• Alerty o masowym eksporcie/skokach pobierania i masowym udostępnianiu.
• Dane są szyfrowane podczas przesyłania i w spoczynku.
• Posiadają Państwo prostą procedurę reagowania i wyznaczoną osobę odpowiedzialną za alerty.
Dla środowisk zgodnych z HIPAA, tematy stojące za tą listą kontrolną mapują się czysto na zabezpieczenia techniczne, takie jak kontrola dostępu, kontrola audytu, integralność, uwierzytelnianie i bezpieczeństwo transmisji.
Fundamenty bezpieczeństwa dostawcy mają znaczenie, ale nie zastępują Państwa kontroli operacyjnych.
PostDICOM oświadcza, że szyfruje dane za pomocą AES-256 i przechowuje je w magazynie Microsoft Azure w wybranym regionie. To solidna podstawa. To, co robi różnicę na co dzień, to sposób dostępu, udostępniania i monitorowania w rzeczywistym przepływie pracy, zwłaszcza pięć powyższych sygnałów.
Jeśli chcą Państwo przetestować swoje podstawy bezpieczeństwa PACS w czasie rzeczywistym ze swoim zespołem (prawdziwi użytkownicy, prawdziwe udostępnianie, rzeczywista objętość badań), proszę rozpocząć 7-dniowy bezpłatny okres próbny PostDICOM i uruchomić tę listę kontrolną w okresie próbnym. Należy dostroić progi alertów, zweryfikować role dostępu i potwierdzić procedurę reagowania przed skalowaniem użycia.
Rozpocznij bezpłatny okres próbny: https://www.postdicom.com/pl/signup
|
Cloud PACS i przeglądarka DICOM onlinePrzesyłanie obrazów DICOM i dokumentów klinicznych na serwery PostDICOM. Przechowywanie, przeglądanie, współpraca i udostępnianie plików obrazowania medycznego. |
