侵權(quán)投訴
訂閱
糾錯(cuò)
加入自媒體

勒索病毒又來(lái)了,注意做好網(wǎng)絡(luò)安全防護(hù)!

近日,陜西省各醫(yī)療衛(wèi)生機(jī)構(gòu)接到緊急通知:目前已有多家醫(yī)院中勒索病毒,要求做好勒索病毒防范。

特別是民營(yíng)醫(yī)療衛(wèi)生機(jī)構(gòu),凡是開通城鎮(zhèn)職工醫(yī)保的醫(yī)院請(qǐng)及時(shí)聯(lián)系硬件運(yùn)營(yíng)商,做好勒索病毒防范工作。請(qǐng)大家高度重視。全省已經(jīng)有多個(gè)醫(yī)院中勒索病毒,渭南市,商洛市也有。請(qǐng)盡快做好防護(hù)工作。有服務(wù)器的將服務(wù)器口令改為強(qiáng)口令,殺毒軟件更新至最新,服務(wù)器打勒索病毒補(bǔ)丁。

醫(yī)療行業(yè)在網(wǎng)絡(luò)安全領(lǐng)域是一個(gè)獨(dú)特的存在。它是唯一一個(gè)服務(wù)對(duì)象中大部分客戶和訪問都不重復(fù)的行業(yè)。它跟蹤個(gè)人健康的發(fā)展,以避免重大健康問題的出現(xiàn)。

邁向大健康時(shí)代,中國(guó)也在推動(dòng)不同層面的醫(yī)療數(shù)據(jù)互聯(lián)互通,例如:北京市屬醫(yī)院電子病歷可以互相調(diào)閱,上海37家公立醫(yī)療機(jī)構(gòu)實(shí)現(xiàn)檢驗(yàn)檢查互認(rèn)...隨著越來(lái)越多的醫(yī)療健康系統(tǒng)互聯(lián)和數(shù)據(jù)互認(rèn),潛伏的安全隱患越來(lái)越多,影響范圍也越來(lái)越大,誰(shuí)將成為醫(yī)療健康產(chǎn)業(yè)鏈上數(shù)據(jù)安全最薄弱的環(huán)節(jié)呢?

以下觀點(diǎn)來(lái)自BeyondTrust的首席技術(shù)官兼首席信息安全官M(fèi)orey Haber,原文發(fā)布于HealthcareITNews,對(duì)于互聯(lián)互通時(shí)代用戶權(quán)限管理提供了一些實(shí)用的技能和管理理念。HC3i特翻譯成文,為各醫(yī)療衛(wèi)生機(jī)構(gòu)CIO提供參考。

醫(yī)療信息互聯(lián)互通,誰(shuí)是產(chǎn)業(yè)鏈的安全“黑洞”?

當(dāng)考慮到個(gè)人醫(yī)療保健模式時(shí),進(jìn)行跟蹤和檢查的數(shù)據(jù)并不在醫(yī)院信息管理的中心位置。數(shù)據(jù)可以在全科醫(yī)生的辦公室,護(hù)理科室,保險(xiǎn)公司或社區(qū)醫(yī)院等。此外,保險(xiǎn)和支付等財(cái)務(wù)信息與病歷等信息混雜在一起,為存儲(chǔ)的數(shù)據(jù)增加了一定程度的敏感性。

最后,科技在醫(yī)療保健領(lǐng)域發(fā)揮了巨大作用。從各類診斷設(shè)備到植入活體組織的醫(yī)療設(shè)備,從日常體檢到護(hù)理等都離不開各種設(shè)備。這些設(shè)備與服務(wù)提供方部署的服務(wù)器、工作站和物聯(lián)網(wǎng)設(shè)備都可能存在類似的安全缺陷,同樣可能受到黑客攻擊和破壞,從而對(duì)基本操作造成潛在干擾,并可能導(dǎo)致危及生命的情況。

“處于健康服務(wù)產(chǎn)業(yè)鏈條上的每一位高管,都應(yīng)努力確保他們不是個(gè)人身份信息供應(yīng)鏈中最薄弱的環(huán)節(jié)!盉eyondTrust首席信息安全官莫雷·哈伯認(rèn)為,千萬(wàn)不能盲目自信。

“我們從不孤立地去考慮醫(yī)療數(shù)據(jù)安全問題!彼f,《健康保險(xiǎn)可攜帶性和責(zé)任法案》(HIPAA)為制定電子賬單醫(yī)療信息的行業(yè)標(biāo)準(zhǔn)提供指導(dǎo),并要求對(duì)受保護(hù)的健康信息進(jìn)行保護(hù)和保密處理。

醫(yī)療信息互聯(lián)互通,90%漏洞源自管理員權(quán)限過多

即使在十年之后,要對(duì)醫(yī)療數(shù)據(jù)安全保護(hù)進(jìn)行全局考慮,仍然面臨諸多挑戰(zhàn),這也體現(xiàn)在基本的網(wǎng)絡(luò)安全衛(wèi)生方面。

通過執(zhí)行漏洞評(píng)估、修補(bǔ)程序管理和特權(quán)訪問管理來(lái)維護(hù)安全資產(chǎn)。

采用安全的流程和協(xié)議進(jìn)行數(shù)據(jù)存儲(chǔ)、處理和備份。

刪除報(bào)廢操作系統(tǒng),并處理敏感數(shù)據(jù)。

如果全面考慮醫(yī)療信息存在的所有地點(diǎn),從藥店、診所、急診、醫(yī)院,任何消費(fèi)者都無(wú)法知道醫(yī)療衛(wèi)生機(jī)構(gòu)是否在維護(hù)基本的網(wǎng)絡(luò)安全衛(wèi)生以保護(hù)他們的信息。事實(shí)上,他們中的許多人可能并沒有保護(hù)好網(wǎng)絡(luò)安全衛(wèi)生。從統(tǒng)計(jì)上看,大多數(shù)違規(guī)行為都是基于基本衛(wèi)生方面的缺陷。

根據(jù)2018年微軟漏洞報(bào)告,90%的漏洞與管理員權(quán)限過多有關(guān)。BeyondTrust 2018特權(quán)訪問威脅報(bào)告顯示,81%的漏洞始于被盜和/或弱密碼。據(jù)forrester研究,80%的違規(guī)行為是特權(quán)賬戶濫用或?yàn)E用的結(jié)果。

“事實(shí)上,我認(rèn)為這是HIPPA的一個(gè)缺陷,”Haber說。正如隱私保護(hù)計(jì)劃、PCI和其他數(shù)據(jù)隱私法案一樣,開發(fā)一個(gè)評(píng)級(jí)系統(tǒng)來(lái)對(duì)醫(yī)療服務(wù)提供商的網(wǎng)絡(luò)安全衛(wèi)生進(jìn)行評(píng)級(jí),并將這些評(píng)級(jí)結(jié)果向消費(fèi)者和其他提供商公開,將是一件好事。這將類似于餐廳的健康評(píng)級(jí),人們和組織可以確定他們是否可以信任一個(gè)組織,把自己的個(gè)人隱私信息交給他們!

九招,不做醫(yī)療健康產(chǎn)業(yè)鏈安全最薄弱一環(huán)!

那么,醫(yī)療保健服務(wù)機(jī)構(gòu)的CIO可以做些什么來(lái)應(yīng)對(duì)分散醫(yī)療數(shù)據(jù)數(shù)據(jù)這一挑戰(zhàn)呢?

哈伯建議:“首席信息官和首席信息官應(yīng)該回到網(wǎng)絡(luò)安全的基礎(chǔ)上來(lái),把它們做好。”醫(yī)療保健服務(wù)機(jī)構(gòu)的高管應(yīng)努力確保他們不是個(gè)人識(shí)別信息供應(yīng)鏈中最薄弱的環(huán)節(jié)。

哈伯建議,這些基本要素包括:

盤點(diǎn)網(wǎng)絡(luò)上的所有資產(chǎn)和資源。識(shí)別并移除任何影子IT或流氓設(shè)備。

定期進(jìn)行漏洞評(píng)估和配置管理,以識(shí)別風(fēng)險(xiǎn)。

執(zhí)行修補(bǔ)程序管理,采用服務(wù)分級(jí)協(xié)議讓IT和供應(yīng)商承擔(dān)風(fēng)險(xiǎn)緩沖。

采用身份管理方法來(lái)管理用戶、帳戶、權(quán)利和角色,以預(yù)防不適當(dāng)?shù)挠脩粼L問。

執(zhí)行訪問權(quán)限管理以保護(hù)敏感帳戶不被濫用。

供應(yīng)商訪問時(shí)需使用安全的遠(yuǎn)程訪問技術(shù),以避免不受控制的資產(chǎn)被破壞。

確保防病毒、防火墻、VPN的安全防御及時(shí)更新,在維護(hù)范圍內(nèi)并定期審查預(yù)期壽命。

制定事件響應(yīng)計(jì)劃并進(jìn)行測(cè)試。

招聘白帽道德黑客進(jìn)行滲透測(cè)試,檢查高級(jí)和潛在的持久性缺陷,這些缺陷可能被黑客利用。

特別強(qiáng)調(diào):CIO不應(yīng)該用賬戶訪問敏感信息

從日常護(hù)理到急診室的重癥護(hù)理,個(gè)人健康信息需要在任何時(shí)間或任何地點(diǎn)都可獲得。這意味著數(shù)據(jù)必須是實(shí)時(shí)的,并且可以隨時(shí)提供給適當(dāng)授權(quán)的個(gè)人。

讓數(shù)據(jù)持續(xù)可用不是一個(gè)挑戰(zhàn),但確定適當(dāng)?shù)脑L問可能非常困難。這就是為什么身份管理中使用身份和訪問管理系統(tǒng)是如此的重要,它可以為員工創(chuàng)建適當(dāng)?shù)慕巧屗麄冇袡?quán)訪問,并提供認(rèn)證報(bào)告以確定訪問是否合適。

“CIO不應(yīng)該考慮使用賬戶訪問敏感信息,”哈伯建議,他們應(yīng)該考慮以身份的形式進(jìn)入。從電子郵件到應(yīng)用程序、資源訪問,身份可以有多個(gè)與之關(guān)聯(lián)的帳戶。如果管理人員能夠在身份、人等更高的層次上管理敏感信息的訪問,并且能夠很好地執(zhí)行網(wǎng)絡(luò)安全基礎(chǔ)操作,那么他們的防御措施就很有可能大幅降低安全風(fēng)險(xiǎn),避免發(fā)生事故最終導(dǎo)致違規(guī)!

聲明: 本文系OFweek根據(jù)授權(quán)轉(zhuǎn)載自其它媒體或授權(quán)刊載,目的在于信息傳遞,并不代表本站贊同其觀點(diǎn)和對(duì)其真實(shí)性負(fù)責(zé),如有新聞稿件和圖片作品的內(nèi)容、版權(quán)以及其它問題的,請(qǐng)聯(lián)系我們。

發(fā)表評(píng)論

0條評(píng)論,0人參與

請(qǐng)輸入評(píng)論內(nèi)容...

請(qǐng)輸入評(píng)論/評(píng)論長(zhǎng)度6~500個(gè)字

您提交的評(píng)論過于頻繁,請(qǐng)輸入驗(yàn)證碼繼續(xù)

  • 看不清,點(diǎn)擊換一張  刷新

暫無(wú)評(píng)論

暫無(wú)評(píng)論

醫(yī)療科技 獵頭職位 更多
文章糾錯(cuò)
x
*文字標(biāo)題:
*糾錯(cuò)內(nèi)容:
聯(lián)系郵箱:
*驗(yàn) 證 碼:

粵公網(wǎng)安備 44030502002758號(hào)