Gesundheit

Singapurs Minister für Gesundheit legt die wesentlichen Antworten auf die COI-Bericht enthaltenen Empfehlungen

Gesundheitsminister Gan Kim Yong geliefert, eine ministerielle Anweisung an den Untersuchungsausschuss (COI) Bericht über die SingHealth cyberattack in der Singapur-Parlament am 15. Januar 2019. In der Anweisung sagte er, dass das Ministerium für Gesundheit (MOH) benannt hat, ein Cybersecurity Advisory Committee für die Durchführung einer horizontalen Bewertung der cybersecurity-governance-Strukturen und Prozesse in der öffentlichen Gesundheitsversorgung Cluster and Integrated Health Information Systems (IHiS), die IT-Agentur für das Ministerium.

Er erläuterte auch vier wichtige Antworten zu den COI-Bericht enthaltenen Empfehlungen. Die erste ist die Stärkung der governance-und Organisationsstrukturen, wie es ist ein „Bedürfnis nach klarer cybersecurity Risiko der Eigenverantwortung und Rechenschaftspflicht zwischen IHiS und der öffentlichen Gesundheitspflege-Cluster, untermauert durch eine starke Beziehung zur Vermeidung einer Zersplitterung des Ministeriums der healthcare-IT-Strategie.“

An MOH, der Chief Information Security Officer (CISO) ist derzeit auch der Direktor der Cyber-Security-Governance bei IHiS aber diese Rollen getrennt werden. Die MKW-KKV unterstützt werden durch einen engagierten office in MOH und Bericht an den Staatssekretär. Die MOH CISO Büro wird die cybersecurity-Sektor führen, der für die healthcare-Branche. Es koordiniert die Bemühungen um den Schutz Kritischer Informationsinfrastrukturen im Gesundheitswesen, und sicherzustellen, dass der Sektor erfüllt seine rechtlichen Verpflichtungen im Rahmen der Cybersecurity Act. Für seinen Teil, IHiS wird seinen eigenen Director of Cyber-Security-Governance.

Bei den Clustern, die cluster Group CIO office, werden nun dafür verantwortlich, in den jeweiligen cluster-management und-Boards. Die GCIO Büro angemessene Ressourcen für die Erfüllung seiner Rolle. Die position der Cluster Information Security Officer wird erhöht werden, um direkt Bericht zu cluster-management und verantwortlich für die IT-und Risiko-Management-Gremien der cluster-Boards.

Zweitens, ein cybersecurity-Modell mit mehreren Linien der Verteidigung aufgestellt werden. Ein robuster „Drei Linien der Verteidigung“ – Struktur innerhalb der öffentlichen Gesundheitsversorgung:

  • Die erste Zeile besteht aus Einheiten und Personal, entwickeln, liefern und betreiben IT-Systeme. Dies ist die Liefer-Gruppe. MOH wird die Stärkung der IT-Bereitstellung-Gruppe besser zu integrieren cybersecurity in der IT-Bereitstellung Initiativen, die Verbesserung der Verwaltung von Netzwerk-Sicherheit und erhöhen den Schwerpunkt auf Sicherheits-Architektur und-überwachung.
     
  • Die zweite Verteidigungslinie besteht aus Einheiten und Personal, die haben die Besondere Verantwortung, um zu überwachen, Sicherheits-Strategie, das Risikomanagement und die compliance. MOH wird Sie stärken und erheben diese zweite Linie der Verteidigung durch die Einrichtung einer speziellen Cyber-Defence-Gruppe im IHiS, geleitet von einer erfahrenen Führer an oder entspricht der Deputy Chief Executive level. Die Gruppe gestärkt haben eine unabhängige Aufsicht über die cybersecurity-Umsetzung, compliance-und Risiko-management, und überwachen, ob die incident-reporting-und-management. Dadurch wird sichergestellt, dass cybersecurity ist konnte auf der senior-management-Ebene und ein angemessenes Gleichgewicht hergestellt wird zwischen service delivery und cybersecurity überlegungen.
     
  • Die Dritte Linie der Verteidigung besteht aus Prüfungen und Zusicherungen, unabhängig von IHiS und unsere healthcare-Cluster, und unabhängig von den ersten beiden Linien der Verteidigung. MOH Holdings Group Internal Audit wird auch weiterhin diese Rolle zu spielen. MOH auch beabsichtigt die Kommission, und Tippen Sie auf unabhängige Dritte übertragen, sofern angemessen.

Der Dritte Aspekt wäre die Verbesserung der Cybersicherheit-Bewusstsein und Fähigkeit der Mitarbeiter. Ab diesem Jahr, IHiS wird sich spezialisierte Anbieter durchzuführen, realistische hands-on „Cyber-Bereich“ simulation training zu erhöhen, die Kompetenz Ihrer security-incident-response-Personal. IHiS auch beabsichtigt, um daraus zu lernen GovTech bug bounty und Offenlegung der Sicherheitsanfälligkeit Programme und starten Sie ähnliche Anstrengungen.

Schließlich, ein gestuftes Modell der Internet-Zugriff berücksichtigt werden. In seinem Bericht an die COI hat empfohlen, dass ein internet-access-Strategie minimiert die Exposition gegenüber externen Bedrohungen, die umgesetzt werden sollten. Nach der cyberattack, temporäre Internet-Surfen Trennung (ISS) wurde implementiert, über Singapurs öffentliche Gesundheitswesen.

Allerdings ist die Umsetzung der ISS hat, die verschiedene Herausforderungen in der Bereitstellung der ambulanten Versorgung in einigen Bereichen wie der Notfallversorgung, Entscheidungs-Unterstützung für Rezepte und Behandlungen, Zugang zu Aufklärung der Patienten Ressourcen und Buchung der klinischen Termine. ISS auch zu Verzögerungen bei der einfachen Patienten-management-und back-End-administrative Aufgaben. Forschungs-und Bildungs-Initiativen in den öffentlichen Institutionen des Gesundheitswesens wurden auch beeinflusst durch die ISS.

Das aktuelle Modell der ISS ist immer noch praktikabel, aber es muss sein, längerfristige Lösungen immer effizienter und nachhaltiger. Eine solche Lösung ist die „virtuellen browser“, die Zugang zum Internet über einen streng kontrollierten und überwachten client-Server. Die client-server fungiert wie eine Dekontamination der Raum, in dem eine Datei geöffnet und nur ein Bild/Kopie der Datei genommen und an den Empfänger gesendet. Auf diese Weise werden schädliche Materialien oder verborgene Inhalte ‚Links hinter‘ in der dekontaminations-Raum zu einer erheblichen Verringerung der cybersecurity-Risiken.

Diese „virtuellen browser“ – pilot startet in das erste Quartal im Jahr 2019 an der National University Health System. „Virtuellen Browser“ verwendet werden, um die ausgewählte job-Funktionen in ausgewählten Abteilungen und Kliniken. Einige der job-Rollen, die Teilnahme am Pilotprogramm frontline Apotheker und Notaufnahme ärzten.

Die Durchführung und Auswertung der Pilotphase wird voraussichtlich bis zu 6 Monaten und MOH wird eng mit dem Cybersecurity-Agentur von Singapur (CSA) für die Bewertung der cybersecurity-Angemessenheit der Lösung. Die Wirksamkeit der Virtuelle Browser wird ebenfalls bewertet werden.

Obligatorische Beiträge an die National Electronic Health Record (NEHR) – system wird weiter aufgeschoben werden, da es derzeit eine Reihe von cybersecurity assessments, durchgeführt von der CSA, GovTech und unabhängigen Firma PwC. Die NEHR unterliegt auch weitere Tests und Bewertungen, einschließlich übungen, um zu testen, Verteidigung gegen gezielte Angriffe, sowie business-continuity-und disaster-recovery-Pläne.