勒索病毒又來了,注意做好網(wǎng)絡(luò)安全防護!
近日,陜西省各醫(yī)療衛(wèi)生機構(gòu)接到緊急通知:目前已有多家醫(yī)院中勒索病毒,要求做好勒索病毒防范。
特別是民營醫(yī)療衛(wèi)生機構(gòu),凡是開通城鎮(zhèn)職工醫(yī)保的醫(yī)院請及時聯(lián)系硬件運營商,做好勒索病毒防范工作。請大家高度重視。全省已經(jīng)有多個醫(yī)院中勒索病毒,渭南市,商洛市也有。請盡快做好防護工作。有服務(wù)器的將服務(wù)器口令改為強口令,殺毒軟件更新至最新,服務(wù)器打勒索病毒補丁。
醫(yī)療行業(yè)在網(wǎng)絡(luò)安全領(lǐng)域是一個獨特的存在。它是唯一一個服務(wù)對象中大部分客戶和訪問都不重復(fù)的行業(yè)。它跟蹤個人健康的發(fā)展,以避免重大健康問題的出現(xiàn)。
邁向大健康時代,中國也在推動不同層面的醫(yī)療數(shù)據(jù)互聯(lián)互通,例如:北京市屬醫(yī)院電子病歷可以互相調(diào)閱,上海37家公立醫(yī)療機構(gòu)實現(xiàn)檢驗檢查互認...隨著越來越多的醫(yī)療健康系統(tǒng)互聯(lián)和數(shù)據(jù)互認,潛伏的安全隱患越來越多,影響范圍也越來越大,誰將成為醫(yī)療健康產(chǎn)業(yè)鏈上數(shù)據(jù)安全最薄弱的環(huán)節(jié)呢?
以下觀點來自BeyondTrust的首席技術(shù)官兼首席信息安全官Morey Haber,原文發(fā)布于HealthcareITNews,對于互聯(lián)互通時代用戶權(quán)限管理提供了一些實用的技能和管理理念。HC3i特翻譯成文,為各醫(yī)療衛(wèi)生機構(gòu)CIO提供參考。
醫(yī)療信息互聯(lián)互通,誰是產(chǎn)業(yè)鏈的安全“黑洞”?
當(dāng)考慮到個人醫(yī)療保健模式時,進行跟蹤和檢查的數(shù)據(jù)并不在醫(yī)院信息管理的中心位置。數(shù)據(jù)可以在全科醫(yī)生的辦公室,護理科室,保險公司或社區(qū)醫(yī)院等。此外,保險和支付等財務(wù)信息與病歷等信息混雜在一起,為存儲的數(shù)據(jù)增加了一定程度的敏感性。
最后,科技在醫(yī)療保健領(lǐng)域發(fā)揮了巨大作用。從各類診斷設(shè)備到植入活體組織的醫(yī)療設(shè)備,從日常體檢到護理等都離不開各種設(shè)備。這些設(shè)備與服務(wù)提供方部署的服務(wù)器、工作站和物聯(lián)網(wǎng)設(shè)備都可能存在類似的安全缺陷,同樣可能受到黑客攻擊和破壞,從而對基本操作造成潛在干擾,并可能導(dǎo)致危及生命的情況。
“處于健康服務(wù)產(chǎn)業(yè)鏈條上的每一位高管,都應(yīng)努力確保他們不是個人身份信息供應(yīng)鏈中最薄弱的環(huán)節(jié)!盉eyondTrust首席信息安全官莫雷·哈伯認為,千萬不能盲目自信。
“我們從不孤立地去考慮醫(yī)療數(shù)據(jù)安全問題!彼f,《健康保險可攜帶性和責(zé)任法案》(HIPAA)為制定電子賬單醫(yī)療信息的行業(yè)標(biāo)準(zhǔn)提供指導(dǎo),并要求對受保護的健康信息進行保護和保密處理。
醫(yī)療信息互聯(lián)互通,90%漏洞源自管理員權(quán)限過多
即使在十年之后,要對醫(yī)療數(shù)據(jù)安全保護進行全局考慮,仍然面臨諸多挑戰(zhàn),這也體現(xiàn)在基本的網(wǎng)絡(luò)安全衛(wèi)生方面。
通過執(zhí)行漏洞評估、修補程序管理和特權(quán)訪問管理來維護安全資產(chǎn)。
采用安全的流程和協(xié)議進行數(shù)據(jù)存儲、處理和備份。
刪除報廢操作系統(tǒng),并處理敏感數(shù)據(jù)。
如果全面考慮醫(yī)療信息存在的所有地點,從藥店、診所、急診、醫(yī)院,任何消費者都無法知道醫(yī)療衛(wèi)生機構(gòu)是否在維護基本的網(wǎng)絡(luò)安全衛(wèi)生以保護他們的信息。事實上,他們中的許多人可能并沒有保護好網(wǎng)絡(luò)安全衛(wèi)生。從統(tǒng)計上看,大多數(shù)違規(guī)行為都是基于基本衛(wèi)生方面的缺陷。
根據(jù)2018年微軟漏洞報告,90%的漏洞與管理員權(quán)限過多有關(guān)。BeyondTrust 2018特權(quán)訪問威脅報告顯示,81%的漏洞始于被盜和/或弱密碼。據(jù)forrester研究,80%的違規(guī)行為是特權(quán)賬戶濫用或濫用的結(jié)果。
“事實上,我認為這是HIPPA的一個缺陷,”Haber說。正如隱私保護計劃、PCI和其他數(shù)據(jù)隱私法案一樣,開發(fā)一個評級系統(tǒng)來對醫(yī)療服務(wù)提供商的網(wǎng)絡(luò)安全衛(wèi)生進行評級,并將這些評級結(jié)果向消費者和其他提供商公開,將是一件好事。這將類似于餐廳的健康評級,人們和組織可以確定他們是否可以信任一個組織,把自己的個人隱私信息交給他們!
九招,不做醫(yī)療健康產(chǎn)業(yè)鏈安全最薄弱一環(huán)!
那么,醫(yī)療保健服務(wù)機構(gòu)的CIO可以做些什么來應(yīng)對分散醫(yī)療數(shù)據(jù)數(shù)據(jù)這一挑戰(zhàn)呢?
哈伯建議:“首席信息官和首席信息官應(yīng)該回到網(wǎng)絡(luò)安全的基礎(chǔ)上來,把它們做好!贬t(yī)療保健服務(wù)機構(gòu)的高管應(yīng)努力確保他們不是個人識別信息供應(yīng)鏈中最薄弱的環(huán)節(jié)。
哈伯建議,這些基本要素包括:
盤點網(wǎng)絡(luò)上的所有資產(chǎn)和資源。識別并移除任何影子IT或流氓設(shè)備。
定期進行漏洞評估和配置管理,以識別風(fēng)險。
執(zhí)行修補程序管理,采用服務(wù)分級協(xié)議讓IT和供應(yīng)商承擔(dān)風(fēng)險緩沖。
采用身份管理方法來管理用戶、帳戶、權(quán)利和角色,以預(yù)防不適當(dāng)?shù)挠脩粼L問。
執(zhí)行訪問權(quán)限管理以保護敏感帳戶不被濫用。
供應(yīng)商訪問時需使用安全的遠程訪問技術(shù),以避免不受控制的資產(chǎn)被破壞。
確保防病毒、防火墻、VPN的安全防御及時更新,在維護范圍內(nèi)并定期審查預(yù)期壽命。
制定事件響應(yīng)計劃并進行測試。
招聘白帽道德黑客進行滲透測試,檢查高級和潛在的持久性缺陷,這些缺陷可能被黑客利用。
特別強調(diào):CIO不應(yīng)該用賬戶訪問敏感信息
從日常護理到急診室的重癥護理,個人健康信息需要在任何時間或任何地點都可獲得。這意味著數(shù)據(jù)必須是實時的,并且可以隨時提供給適當(dāng)授權(quán)的個人。
讓數(shù)據(jù)持續(xù)可用不是一個挑戰(zhàn),但確定適當(dāng)?shù)脑L問可能非常困難。這就是為什么身份管理中使用身份和訪問管理系統(tǒng)是如此的重要,它可以為員工創(chuàng)建適當(dāng)?shù)慕巧,讓他們有?quán)訪問,并提供認證報告以確定訪問是否合適。
“CIO不應(yīng)該考慮使用賬戶訪問敏感信息,”哈伯建議,他們應(yīng)該考慮以身份的形式進入。從電子郵件到應(yīng)用程序、資源訪問,身份可以有多個與之關(guān)聯(lián)的帳戶。如果管理人員能夠在身份、人等更高的層次上管理敏感信息的訪問,并且能夠很好地執(zhí)行網(wǎng)絡(luò)安全基礎(chǔ)操作,那么他們的防御措施就很有可能大幅降低安全風(fēng)險,避免發(fā)生事故最終導(dǎo)致違規(guī)!
請輸入評論內(nèi)容...
請輸入評論/評論長度6~500個字
暫無評論
暫無評論
圖片新聞
最新活動更多
- 高級軟件工程師 廣東省/深圳市
- 自動化高級工程師 廣東省/深圳市
- 光器件研發(fā)工程師 福建省/福州市
- 銷售總監(jiān)(光器件) 北京市/海淀區(qū)
- 激光器高級銷售經(jīng)理 上海市/虹口區(qū)
- 光器件物理工程師 北京市/海淀區(qū)
- 激光研發(fā)工程師 北京市/昌平區(qū)
- 技術(shù)專家 廣東省/江門市
- 封裝工程師 北京市/海淀區(qū)
- 結(jié)構(gòu)工程師 廣東省/深圳市