勒索病毒又來(lái)了,注意做好網(wǎng)絡(luò)安全防護(hù)!
近日,陜西省各醫(yī)療衛(wèi)生機(jī)構(gòu)接到緊急通知:目前已有多家醫(yī)院中勒索病毒,要求做好勒索病毒防范。
特別是民營(yíng)醫(yī)療衛(wèi)生機(jī)構(gòu),凡是開通城鎮(zhèn)職工醫(yī)保的醫(yī)院請(qǐng)及時(shí)聯(lián)系硬件運(yùn)營(yíng)商,做好勒索病毒防范工作。請(qǐng)大家高度重視。全省已經(jīng)有多個(gè)醫(yī)院中勒索病毒,渭南市,商洛市也有。請(qǐng)盡快做好防護(hù)工作。有服務(wù)器的將服務(wù)器口令改為強(qiáng)口令,殺毒軟件更新至最新,服務(wù)器打勒索病毒補(bǔ)丁。
醫(yī)療行業(yè)在網(wǎng)絡(luò)安全領(lǐng)域是一個(gè)獨(dú)特的存在。它是唯一一個(gè)服務(wù)對(duì)象中大部分客戶和訪問都不重復(fù)的行業(yè)。它跟蹤個(gè)人健康的發(fā)展,以避免重大健康問題的出現(xiàn)。
邁向大健康時(shí)代,中國(guó)也在推動(dòng)不同層面的醫(yī)療數(shù)據(jù)互聯(lián)互通,例如:北京市屬醫(yī)院電子病歷可以互相調(diào)閱,上海37家公立醫(yī)療機(jī)構(gòu)實(shí)現(xiàn)檢驗(yàn)檢查互認(rèn)...隨著越來(lái)越多的醫(yī)療健康系統(tǒng)互聯(lián)和數(shù)據(jù)互認(rèn),潛伏的安全隱患越來(lái)越多,影響范圍也越來(lái)越大,誰(shuí)將成為醫(yī)療健康產(chǎn)業(yè)鏈上數(shù)據(jù)安全最薄弱的環(huán)節(jié)呢?
以下觀點(diǎn)來(lái)自BeyondTrust的首席技術(shù)官兼首席信息安全官M(fèi)orey Haber,原文發(fā)布于HealthcareITNews,對(duì)于互聯(lián)互通時(shí)代用戶權(quán)限管理提供了一些實(shí)用的技能和管理理念。HC3i特翻譯成文,為各醫(yī)療衛(wèi)生機(jī)構(gòu)CIO提供參考。
醫(yī)療信息互聯(lián)互通,誰(shuí)是產(chǎn)業(yè)鏈的安全“黑洞”?
當(dāng)考慮到個(gè)人醫(yī)療保健模式時(shí),進(jìn)行跟蹤和檢查的數(shù)據(jù)并不在醫(yī)院信息管理的中心位置。數(shù)據(jù)可以在全科醫(yī)生的辦公室,護(hù)理科室,保險(xiǎn)公司或社區(qū)醫(yī)院等。此外,保險(xiǎn)和支付等財(cái)務(wù)信息與病歷等信息混雜在一起,為存儲(chǔ)的數(shù)據(jù)增加了一定程度的敏感性。
最后,科技在醫(yī)療保健領(lǐng)域發(fā)揮了巨大作用。從各類診斷設(shè)備到植入活體組織的醫(yī)療設(shè)備,從日常體檢到護(hù)理等都離不開各種設(shè)備。這些設(shè)備與服務(wù)提供方部署的服務(wù)器、工作站和物聯(lián)網(wǎng)設(shè)備都可能存在類似的安全缺陷,同樣可能受到黑客攻擊和破壞,從而對(duì)基本操作造成潛在干擾,并可能導(dǎo)致危及生命的情況。
“處于健康服務(wù)產(chǎn)業(yè)鏈條上的每一位高管,都應(yīng)努力確保他們不是個(gè)人身份信息供應(yīng)鏈中最薄弱的環(huán)節(jié)!盉eyondTrust首席信息安全官莫雷·哈伯認(rèn)為,千萬(wàn)不能盲目自信。
“我們從不孤立地去考慮醫(yī)療數(shù)據(jù)安全問題!彼f,《健康保險(xiǎn)可攜帶性和責(zé)任法案》(HIPAA)為制定電子賬單醫(yī)療信息的行業(yè)標(biāo)準(zhǔn)提供指導(dǎo),并要求對(duì)受保護(hù)的健康信息進(jìn)行保護(hù)和保密處理。
醫(yī)療信息互聯(lián)互通,90%漏洞源自管理員權(quán)限過多
即使在十年之后,要對(duì)醫(yī)療數(shù)據(jù)安全保護(hù)進(jìn)行全局考慮,仍然面臨諸多挑戰(zhàn),這也體現(xiàn)在基本的網(wǎng)絡(luò)安全衛(wèi)生方面。
通過執(zhí)行漏洞評(píng)估、修補(bǔ)程序管理和特權(quán)訪問管理來(lái)維護(hù)安全資產(chǎn)。
采用安全的流程和協(xié)議進(jìn)行數(shù)據(jù)存儲(chǔ)、處理和備份。
刪除報(bào)廢操作系統(tǒng),并處理敏感數(shù)據(jù)。
如果全面考慮醫(yī)療信息存在的所有地點(diǎn),從藥店、診所、急診、醫(yī)院,任何消費(fèi)者都無(wú)法知道醫(yī)療衛(wèi)生機(jī)構(gòu)是否在維護(hù)基本的網(wǎng)絡(luò)安全衛(wèi)生以保護(hù)他們的信息。事實(shí)上,他們中的許多人可能并沒有保護(hù)好網(wǎng)絡(luò)安全衛(wèi)生。從統(tǒng)計(jì)上看,大多數(shù)違規(guī)行為都是基于基本衛(wèi)生方面的缺陷。
根據(jù)2018年微軟漏洞報(bào)告,90%的漏洞與管理員權(quán)限過多有關(guān)。BeyondTrust 2018特權(quán)訪問威脅報(bào)告顯示,81%的漏洞始于被盜和/或弱密碼。據(jù)forrester研究,80%的違規(guī)行為是特權(quán)賬戶濫用或?yàn)E用的結(jié)果。
“事實(shí)上,我認(rèn)為這是HIPPA的一個(gè)缺陷,”Haber說。正如隱私保護(hù)計(jì)劃、PCI和其他數(shù)據(jù)隱私法案一樣,開發(fā)一個(gè)評(píng)級(jí)系統(tǒng)來(lái)對(duì)醫(yī)療服務(wù)提供商的網(wǎng)絡(luò)安全衛(wèi)生進(jìn)行評(píng)級(jí),并將這些評(píng)級(jí)結(jié)果向消費(fèi)者和其他提供商公開,將是一件好事。這將類似于餐廳的健康評(píng)級(jí),人們和組織可以確定他們是否可以信任一個(gè)組織,把自己的個(gè)人隱私信息交給他們!
九招,不做醫(yī)療健康產(chǎn)業(yè)鏈安全最薄弱一環(huán)!
那么,醫(yī)療保健服務(wù)機(jī)構(gòu)的CIO可以做些什么來(lái)應(yīng)對(duì)分散醫(yī)療數(shù)據(jù)數(shù)據(jù)這一挑戰(zhàn)呢?
哈伯建議:“首席信息官和首席信息官應(yīng)該回到網(wǎng)絡(luò)安全的基礎(chǔ)上來(lái),把它們做好。”醫(yī)療保健服務(wù)機(jī)構(gòu)的高管應(yīng)努力確保他們不是個(gè)人識(shí)別信息供應(yīng)鏈中最薄弱的環(huán)節(jié)。
哈伯建議,這些基本要素包括:
盤點(diǎn)網(wǎng)絡(luò)上的所有資產(chǎn)和資源。識(shí)別并移除任何影子IT或流氓設(shè)備。
定期進(jìn)行漏洞評(píng)估和配置管理,以識(shí)別風(fēng)險(xiǎn)。
執(zhí)行修補(bǔ)程序管理,采用服務(wù)分級(jí)協(xié)議讓IT和供應(yīng)商承擔(dān)風(fēng)險(xiǎn)緩沖。
采用身份管理方法來(lái)管理用戶、帳戶、權(quán)利和角色,以預(yù)防不適當(dāng)?shù)挠脩粼L問。
執(zhí)行訪問權(quán)限管理以保護(hù)敏感帳戶不被濫用。
供應(yīng)商訪問時(shí)需使用安全的遠(yuǎn)程訪問技術(shù),以避免不受控制的資產(chǎn)被破壞。
確保防病毒、防火墻、VPN的安全防御及時(shí)更新,在維護(hù)范圍內(nèi)并定期審查預(yù)期壽命。
制定事件響應(yīng)計(jì)劃并進(jìn)行測(cè)試。
招聘白帽道德黑客進(jìn)行滲透測(cè)試,檢查高級(jí)和潛在的持久性缺陷,這些缺陷可能被黑客利用。
特別強(qiáng)調(diào):CIO不應(yīng)該用賬戶訪問敏感信息
從日常護(hù)理到急診室的重癥護(hù)理,個(gè)人健康信息需要在任何時(shí)間或任何地點(diǎn)都可獲得。這意味著數(shù)據(jù)必須是實(shí)時(shí)的,并且可以隨時(shí)提供給適當(dāng)授權(quán)的個(gè)人。
讓數(shù)據(jù)持續(xù)可用不是一個(gè)挑戰(zhàn),但確定適當(dāng)?shù)脑L問可能非常困難。這就是為什么身份管理中使用身份和訪問管理系統(tǒng)是如此的重要,它可以為員工創(chuàng)建適當(dāng)?shù)慕巧屗麄冇袡?quán)訪問,并提供認(rèn)證報(bào)告以確定訪問是否合適。
“CIO不應(yīng)該考慮使用賬戶訪問敏感信息,”哈伯建議,他們應(yīng)該考慮以身份的形式進(jìn)入。從電子郵件到應(yīng)用程序、資源訪問,身份可以有多個(gè)與之關(guān)聯(lián)的帳戶。如果管理人員能夠在身份、人等更高的層次上管理敏感信息的訪問,并且能夠很好地執(zhí)行網(wǎng)絡(luò)安全基礎(chǔ)操作,那么他們的防御措施就很有可能大幅降低安全風(fēng)險(xiǎn),避免發(fā)生事故最終導(dǎo)致違規(guī)!
發(fā)表評(píng)論
請(qǐng)輸入評(píng)論內(nèi)容...
請(qǐng)輸入評(píng)論/評(píng)論長(zhǎng)度6~500個(gè)字
圖片新聞
-
金百澤科技亮相中國(guó)國(guó)際醫(yī)療器械博覽會(huì) | 盡顯醫(yī)療領(lǐng)域硬實(shí)力
-
進(jìn)階的新冠疫苗 又一個(gè)中國(guó)造
-
“AI醫(yī)療第一股”鷹瞳科技上市首日即破發(fā)
-
圓心科技登陸港股,“賣藥的生意”還好不好做?
-
十圖解讀2021年中國(guó)康復(fù)醫(yī)療行業(yè)現(xiàn)狀
-
醫(yī)藥流通數(shù)字化運(yùn)營(yíng)實(shí)現(xiàn)精細(xì)化飼養(yǎng)
-
科學(xué)家發(fā)現(xiàn)人體新器官:將有助于癌癥治療
-
李飛飛入選美國(guó)國(guó)家醫(yī)學(xué)院
最新活動(dòng)更多
-
11月19日立即報(bào)名>> 【線下論壇】華邦電子與恩智浦聯(lián)合技術(shù)論壇
-
11月25日立即預(yù)約>> 【上海線下】設(shè)計(jì),易如反掌—Creo 11發(fā)布巡展
-
即日-12.26火熱報(bào)名中>> OFweek2024中國(guó)智造CIO在線峰會(huì)
-
精彩回顧立即查看>> 2024(第五屆)全球數(shù)字經(jīng)濟(jì)產(chǎn)業(yè)大會(huì)暨展覽會(huì)
-
精彩回顧立即查看>> 全數(shù)會(huì)2024中國(guó)人形機(jī)器人技術(shù)創(chuàng)新發(fā)展大會(huì)
-
精彩回顧立即查看>> OFweek 2024中國(guó)激光產(chǎn)業(yè)高質(zhì)量發(fā)展峰會(huì)
- 1 南京殺出超級(jí)IPO:年入27億,華東第一
- 2 3 從巨額回購(gòu) 看石藥集團(tuán)的“三張”價(jià)值底牌
- 4 我國(guó)發(fā)現(xiàn)能強(qiáng)效抑制艾滋病病毒的納米抗體!
- 5 星形膠質(zhì)細(xì)胞為阿爾茨海默病治療帶來(lái)可能
- 6 決戰(zhàn)大模型,百度健康背水一戰(zhàn)
- 7 聯(lián)影醫(yī)療:貢獻(xiàn)超億元收入上演控制權(quán)迷局
- 8 從神州細(xì)胞崛起,看藥企的第一性原理
- 9 2024年8月全球醫(yī)療器械創(chuàng)新成果進(jìn)展報(bào)告
- 10 2024年中國(guó)醫(yī)療設(shè)備行業(yè)研究報(bào)告
- 高級(jí)軟件工程師 廣東省/深圳市
- 自動(dòng)化高級(jí)工程師 廣東省/深圳市
- 光器件研發(fā)工程師 福建省/福州市
- 銷售總監(jiān)(光器件) 北京市/海淀區(qū)
- 激光器高級(jí)銷售經(jīng)理 上海市/虹口區(qū)
- 光器件物理工程師 北京市/海淀區(qū)
- 激光研發(fā)工程師 北京市/昌平區(qū)
- 技術(shù)專家 廣東省/江門市
- 封裝工程師 北京市/海淀區(qū)
- 結(jié)構(gòu)工程師 廣東省/深圳市