信息化觀察網(wǎng)

醫(yī)療行業(yè)在網(wǎng)絡(luò)安全方面具有獨(dú)特的地位。醫(yī)療行業(yè)是唯一一個(gè)旨在避免客戶重復(fù)訪問(wèn)和提供服務(wù)的行業(yè)。為避免重大醫(yī)療問(wèn)題，更傾向于為個(gè)人健康建立可持續(xù)的模式，而不希望看到急診成為常態(tài)。

雖然急診是危重治療的基礎(chǔ)，但定期檢查、預(yù)防性照護(hù)和其他低風(fēng)險(xiǎn)的干預(yù)措施始終是首選。從本質(zhì)上講，醫(yī)療保健正試圖提供一個(gè)處理危機(jī)事件的常規(guī)程序。

數(shù)據(jù)處處可及

當(dāng)提到個(gè)人醫(yī)療的模式時(shí)，用于維護(hù)和檢查的數(shù)據(jù)并沒(méi)有中心儲(chǔ)存。通常它存在于全科、?？漆t(yī)生的辦公室、保險(xiǎn)公司或醫(yī)院。此外，有關(guān)保險(xiǎn)覆蓋范圍和支付金額的財(cái)務(wù)信息與所有這類信息混在一起，使得存儲(chǔ)數(shù)據(jù)的敏感度再度提升。

最后，科技在醫(yī)療領(lǐng)域發(fā)揮了巨大作用，包括從診斷設(shè)備到植入活體的醫(yī)療設(shè)備，以及從例行檢查到關(guān)鍵照護(hù)的過(guò)程。這些精密儀器和醫(yī)療機(jī)構(gòu)中任何一個(gè)服務(wù)器、工作站和物聯(lián)網(wǎng)設(shè)備都有類似的缺陷。它們與其他計(jì)算機(jī)受到黑客攻擊和破壞的風(fēng)險(xiǎn)一致，收到攻擊后可能危及患者生命。

從事特權(quán)管理、訪問(wèn)管理和網(wǎng)絡(luò)安全的廠商BeyondTrust公司的首席技術(shù)官兼首席信息安全官M(fèi)oreyHaber說(shuō)：“高管應(yīng)努力確保他們不是個(gè)人身份信息供應(yīng)鏈中最薄弱的一環(huán)。我們不是在一個(gè)安全的地點(diǎn)處理數(shù)據(jù)“。

根據(jù)定義，HIPAA法案為醫(yī)療信息與電子賬單提供了重要的指導(dǎo)，并要求對(duì)受保護(hù)的健康信息進(jìn)行保護(hù)和保密處理。”

基于網(wǎng)絡(luò)安全凈化挑戰(zhàn)

Haber繼續(xù)說(shuō)道，即使在十年之后，面臨的挑戰(zhàn)也體現(xiàn)在基本的網(wǎng)絡(luò)安全凈化方面：

●通過(guò)進(jìn)行漏洞評(píng)估、程序修補(bǔ)管理和特權(quán)訪問(wèn)管理來(lái)維護(hù)資產(chǎn)安全

●使用安全流程和協(xié)議對(duì)數(shù)據(jù)進(jìn)行存儲(chǔ)、處理和備份

●刪除處理敏感數(shù)據(jù)的老舊操作系統(tǒng)

“從藥房、全科醫(yī)生到急診中心，任何患者都不知道醫(yī)療機(jī)構(gòu)是否在維護(hù)基本的網(wǎng)絡(luò)安全方面能夠保護(hù)他們的信息。從統(tǒng)計(jì)上看，大多數(shù)醫(yī)療機(jī)構(gòu)都無(wú)法確?；颊咝畔⒌恼嬲踩?。”

根據(jù)2018年微軟發(fā)布的漏洞報(bào)告顯示，90%的漏洞都是與管理員的過(guò)度權(quán)限有關(guān)。BeyondTrust公司2018特權(quán)訪問(wèn)威脅報(bào)告顯示，81%的漏洞始于密碼被盜或弱密碼。據(jù)Forrester研究表示，80%的違規(guī)行為是特權(quán)賬戶濫用或誤用的結(jié)果。

CIO和CISO可以做什么？

那么，CIO和CISO如何應(yīng)對(duì)保護(hù)廣泛分散數(shù)據(jù)這一挑戰(zhàn)呢？Haber建議：“CIO和CISO應(yīng)該回到網(wǎng)絡(luò)安全的基礎(chǔ)，把它們做好。”這些基本要素包括：

●探索網(wǎng)絡(luò)上所有有價(jià)值的資源識(shí)別并移除設(shè)備影子。

●定期進(jìn)行漏洞評(píng)估和配置管理，以識(shí)別風(fēng)險(xiǎn)。

●對(duì)標(biāo)服務(wù)水平協(xié)議進(jìn)行程序修補(bǔ)管理以降低風(fēng)險(xiǎn)

●使用權(quán)限治理法來(lái)管理用戶、帳戶、權(quán)利和角色，防止不當(dāng)?shù)挠脩粼L問(wèn)。

●使用特權(quán)訪問(wèn)管理來(lái)保護(hù)敏感帳戶不被濫用。

●使用安全的遠(yuǎn)程訪問(wèn)技術(shù)供廠商訪問(wèn)。

●確保從防病毒軟件、防火墻和VPN的安全防御是最新版本，定期維護(hù)，并審核設(shè)備預(yù)期壽命。

●制定應(yīng)急響應(yīng)計(jì)劃并測(cè)試。

●考慮雇傭符合職業(yè)道德的白帽黑客來(lái)執(zhí)行測(cè)試

數(shù)據(jù)的實(shí)時(shí)性和可用性

個(gè)人醫(yī)療信息需要在任何時(shí)間、地點(diǎn)可用。這意味著，數(shù)據(jù)必須是實(shí)時(shí)的，并實(shí)時(shí)提供給正確授權(quán)的個(gè)人。

盡管使數(shù)據(jù)始終保持可用不是一項(xiàng)難事，但保證正確的訪問(wèn)非常困難。這就是為什么身份權(quán)限管理如此重要，它可以為員工創(chuàng)建適當(dāng)?shù)慕巧?，讓他們有?quán)訪問(wèn)，并在權(quán)限受限時(shí)上報(bào)。

Haber補(bǔ)充道“首席信息官和首席信息官應(yīng)該考慮使用基于角色的權(quán)限來(lái)訪問(wèn)電子郵件、應(yīng)用程序以及其他資源。身份可以有多個(gè)關(guān)聯(lián)帳戶，如果管理人員能夠通過(guò)身份驗(yàn)證來(lái)管理敏感信息的訪問(wèn)，并且保證打好網(wǎng)絡(luò)安全基礎(chǔ)，那么他們的防御措施就有可能大幅降低安全風(fēng)險(xiǎn)，避免發(fā)生事故、產(chǎn)生漏洞。”