近日，陜西省各醫(yī)療衛(wèi)生機(jī)構(gòu)接到緊急通知：目前已有多家醫(yī)院中勒索病毒，要求做好勒索病毒防范。

特別是民營(yíng)醫(yī)療衛(wèi)生機(jī)構(gòu)，凡是開通城鎮(zhèn)職工醫(yī)保的醫(yī)院請(qǐng)及時(shí)聯(lián)系硬件運(yùn)營(yíng)商，做好勒索病毒防范工作。請(qǐng)大家高度重視。全省已經(jīng)有多個(gè)醫(yī)院中勒索病毒，渭南市，商洛市也有。請(qǐng)盡快做好防護(hù)工作。有服務(wù)器的將服務(wù)器口令改為強(qiáng)口令，殺毒軟件更新至最新，服務(wù)器打勒索病毒補(bǔ)丁。

醫(yī)療行業(yè)在網(wǎng)絡(luò)安全領(lǐng)域是一個(gè)獨(dú)特的存在。它是唯一一個(gè)服務(wù)對(duì)象中大部分客戶和訪問都不重復(fù)的行業(yè)。它跟蹤個(gè)人健康的發(fā)展，以避免重大健康問題的出現(xiàn)。

邁向大健康時(shí)代，中國(guó)也在推動(dòng)不同層面的醫(yī)療數(shù)據(jù)互聯(lián)互通，例如：北京市屬醫(yī)院電子病歷可以互相調(diào)閱，上海37家公立醫(yī)療機(jī)構(gòu)實(shí)現(xiàn)檢驗(yàn)檢查互認(rèn)...隨著越來(lái)越多的醫(yī)療健康系統(tǒng)互聯(lián)和數(shù)據(jù)互認(rèn)，潛伏的安全隱患越來(lái)越多，影響范圍也越來(lái)越大，誰(shuí)將成為醫(yī)療健康產(chǎn)業(yè)鏈上數(shù)據(jù)安全最薄弱的環(huán)節(jié)呢?

以下觀點(diǎn)來(lái)自BeyondTrust的首席技術(shù)官兼首席信息安全官M(fèi)orey Haber，原文發(fā)布于HealthcareITNews，對(duì)于互聯(lián)互通時(shí)代用戶權(quán)限管理提供了一些實(shí)用的技能和管理理念。HC3i特翻譯成文，為各醫(yī)療衛(wèi)生機(jī)構(gòu)CIO提供參考。

醫(yī)療信息互聯(lián)互通，誰(shuí)是產(chǎn)業(yè)鏈的安全“黑洞”?

當(dāng)考慮到個(gè)人醫(yī)療保健模式時(shí)，進(jìn)行跟蹤和檢查的數(shù)據(jù)并不在醫(yī)院信息管理的中心位置。數(shù)據(jù)可以在全科醫(yī)生的辦公室，護(hù)理科室，保險(xiǎn)公司或社區(qū)醫(yī)院等。此外，保險(xiǎn)和支付等財(cái)務(wù)信息與病歷等信息混雜在一起，為存儲(chǔ)的數(shù)據(jù)增加了一定程度的敏感性。

最后，科技在醫(yī)療保健領(lǐng)域發(fā)揮了巨大作用。從各類診斷設(shè)備到植入活體組織的醫(yī)療設(shè)備，從日常體檢到護(hù)理等都離不開各種設(shè)備。這些設(shè)備與服務(wù)提供方部署的服務(wù)器、工作站和物聯(lián)網(wǎng)設(shè)備都可能存在類似的安全缺陷，同樣可能受到黑客攻擊和破壞，從而對(duì)基本操作造成潛在干擾，并可能導(dǎo)致危及生命的情況。

“處于健康服務(wù)產(chǎn)業(yè)鏈條上的每一位高管，都應(yīng)努力確保他們不是個(gè)人身份信息供應(yīng)鏈中最薄弱的環(huán)節(jié)�！盉eyondTrust首席信息安全官莫雷·哈伯認(rèn)為，千萬(wàn)不能盲目自信。

“我們從不孤立地去考慮醫(yī)療數(shù)據(jù)安全問題�！彼�說，《健康保險(xiǎn)可攜帶性和責(zé)任法案》(HIPAA)為制定電子賬單醫(yī)療信息的行業(yè)標(biāo)準(zhǔn)提供指導(dǎo)，并要求對(duì)受保護(hù)的健康信息進(jìn)行保護(hù)和保密處理。

醫(yī)療信息互聯(lián)互通，90%漏洞源自管理員權(quán)限過多

即使在十年之后，要對(duì)醫(yī)療數(shù)據(jù)安全保護(hù)進(jìn)行全局考慮，仍然面臨諸多挑戰(zhàn)，這也體現(xiàn)在基本的網(wǎng)絡(luò)安全衛(wèi)生方面。

通過執(zhí)行漏洞評(píng)估、修補(bǔ)程序管理和特權(quán)訪問管理來(lái)維護(hù)安全資產(chǎn)。

采用安全的流程和協(xié)議進(jìn)行數(shù)據(jù)存儲(chǔ)、處理和備份。

刪除報(bào)廢操作系統(tǒng)，并處理敏感數(shù)據(jù)。

如果全面考慮醫(yī)療信息存在的所有地點(diǎn)，從藥店、診所、急診、醫(yī)院，任何消費(fèi)者都無(wú)法知道醫(yī)療衛(wèi)生機(jī)構(gòu)是否在維護(hù)基本的網(wǎng)絡(luò)安全衛(wèi)生以保護(hù)他們的信息。事實(shí)上，他們中的許多人可能并沒有保護(hù)好網(wǎng)絡(luò)安全衛(wèi)生。從統(tǒng)計(jì)上看，大多數(shù)違規(guī)行為都是基于基本衛(wèi)生方面的缺陷。

根據(jù)2018年微軟漏洞報(bào)告，90%的漏洞與管理員權(quán)限過多有關(guān)。BeyondTrust 2018特權(quán)訪問威脅報(bào)告顯示，81%的漏洞始于被盜和/或弱密碼。據(jù)forrester研究，80%的違規(guī)行為是特權(quán)賬戶濫用或?yàn)E用的結(jié)果。

“事實(shí)上，我認(rèn)為這是HIPPA的一個(gè)缺陷，”Haber說。正如隱私保護(hù)計(jì)劃、PCI和其他數(shù)據(jù)隱私法案一樣，開發(fā)一個(gè)評(píng)級(jí)系統(tǒng)來(lái)對(duì)醫(yī)療服務(wù)提供商的網(wǎng)絡(luò)安全衛(wèi)生進(jìn)行評(píng)級(jí)，并將這些評(píng)級(jí)結(jié)果向消費(fèi)者和其他提供商公開，將是一件好事。這將類似于餐廳的健康評(píng)級(jí)，人們和組織可以確定他們是否可以信任一個(gè)組織，把自己的個(gè)人隱私信息交給他們�！�

九招，不做醫(yī)療健康產(chǎn)業(yè)鏈安全最薄弱一環(huán)!

那么，醫(yī)療保健服務(wù)機(jī)構(gòu)的CIO可以做些什么來(lái)應(yīng)對(duì)分散醫(yī)療數(shù)據(jù)數(shù)據(jù)這一挑戰(zhàn)呢?

哈伯建議：“首席信息官和首席信息官應(yīng)該回到網(wǎng)絡(luò)安全的基礎(chǔ)上來(lái)，把它們做好。”醫(yī)療保健服務(wù)機(jī)構(gòu)的高管應(yīng)努力確保他們不是個(gè)人識(shí)別信息供應(yīng)鏈中最薄弱的環(huán)節(jié)。

哈伯建議，這些基本要素包括：

盤點(diǎn)網(wǎng)絡(luò)上的所有資產(chǎn)和資源。識(shí)別并移除任何影子IT或流氓設(shè)備。

定期進(jìn)行漏洞評(píng)估和配置管理，以識(shí)別風(fēng)險(xiǎn)。

執(zhí)行修補(bǔ)程序管理，采用服務(wù)分級(jí)協(xié)議讓IT和供應(yīng)商承擔(dān)風(fēng)險(xiǎn)緩沖。

采用身份管理方法來(lái)管理用戶、帳戶、權(quán)利和角色，以預(yù)防不適當(dāng)?shù)挠脩粼L問。

執(zhí)行訪問權(quán)限管理以保護(hù)敏感帳戶不被濫用。

供應(yīng)商訪問時(shí)需使用安全的遠(yuǎn)程訪問技術(shù)，以避免不受控制的資產(chǎn)被破壞。

確保防病毒、防火墻、VPN的安全防御及時(shí)更新，在維護(hù)范圍內(nèi)并定期審查預(yù)期壽命。

制定事件響應(yīng)計(jì)劃并進(jìn)行測(cè)試。

招聘白帽道德黑客進(jìn)行滲透測(cè)試，檢查高級(jí)和潛在的持久性缺陷，這些缺陷可能被黑客利用。

特別強(qiáng)調(diào)：CIO不應(yīng)該用賬戶訪問敏感信息

從日常護(hù)理到急診室的重癥護(hù)理，個(gè)人健康信息需要在任何時(shí)間或任何地點(diǎn)都可獲得。這意味著數(shù)據(jù)必須是實(shí)時(shí)的，并且可以隨時(shí)提供給適當(dāng)授權(quán)的個(gè)人。

讓數(shù)據(jù)持續(xù)可用不是一個(gè)挑戰(zhàn)，但確定適當(dāng)?shù)脑L問可能非常困難。這就是為什么身份管理中使用身份和訪問管理系統(tǒng)是如此的重要，它可以為員工創(chuàng)建適當(dāng)?shù)慕巧�，讓他們有�?quán)訪問，并提供認(rèn)證報(bào)告以確定訪問是否合適。

“CIO不應(yīng)該考慮使用賬戶訪問敏感信息，”哈伯建議，他們應(yīng)該考慮以身份的形式進(jìn)入。從電子郵件到應(yīng)用程序、資源訪問，身份可以有多個(gè)與之關(guān)聯(lián)的帳戶。如果管理人員能夠在身份、人等更高的層次上管理敏感信息的訪問，并且能夠很好地執(zhí)行網(wǎng)絡(luò)安全基礎(chǔ)操作，那么他們的防御措施就很有可能大幅降低安全風(fēng)險(xiǎn)，避免發(fā)生事故最終導(dǎo)致違規(guī)�！�