醫療行業CISO面臨的挑戰與對策
醫療行業向來是網絡攻擊者的“青睞對象”。過去,攻擊者的目標是醫療機構存儲的患者個人健康和財務數據,但勒索軟件的出現極大地改變了醫療行業的威脅格局。
醫療行業網絡安全態勢
相關數據顯示,受新冠疫情影響,醫療行業網絡安全威脅持續加劇,2020 年,針對醫療行業的網絡攻擊增加了50%以上。在記錄的599起醫療行業網絡安全事件中,403起 (67.3%)是由黑客和IT事件引起的,通過部署勒索軟件和加密關鍵數據的攻擊手段極為常見。
“許多遭受勒索軟件攻擊的醫療企業,都會權衡收入損失與贖金成本以及后續攻擊的可能性。”醫患支付技術公司Patientco的CTO肖恩·喬伊斯說道。
“另外,醫療企業是否支付贖金的考量因素還包括患者安全,即使是短暫的醫療設備停機,也可能對患者造成傷害或使社區服務中斷。因此醫療機構面臨著支付贖金和恢復關鍵系統的巨大壓力,并且這種狀況短時間內可能無法改變。”
醫療保健CISO及其面臨的挑戰
喬伊斯還指出,醫療機構的第三方系統包括:醫院的核心EMR系統、面向患者的web門戶、移動設備、聯網MRI,以及患者可穿戴設備和手術機器人。上述很多設備系統比傳統系統更易遭到網絡威脅。
Imprivata的CTO賴特表示:“移動設備、共享工作站和從內部部署、云或兩者交付的應用程序的采用,使身份管理成為安全的新邊界。CISO不僅需要控制網絡,還需要管理其醫療保健組織復雜生態系中的每個數字身份。”
全球咨詢公司StoneTurn的泰勒瑞表示:“醫療企業要在解決人才和預算短缺問題的同時,努力為合規性設定一個高標準,而這些標準通常比更多的商業組織更缺少資源支持。”
給醫療行業CISO的建議
賴特建議醫療行業CISO可以通過采用零信任架構,以確保共享對移動設備在訪問資源之前是安全的:“需要清除在每個數字身份事件中授權和驗證醫療保健專業人員的檢查點。多因素身份驗證也可以部署在移動設備上,使它們更加安全和私密,同時還支持更好的工作流程。最后,共享移動設備上的密碼自動填充是一種有用的解決方案,可以節省時間并消除手動填寫復雜密碼的重復性任務。”
喬伊斯建議實施最低權限訪問的做法,將用戶訪問權限限制為團隊成員完成其工作職能所需的最少數據,以及:
- 定期開展員工安全/網絡釣魚培訓計劃;
- 圍繞SIEM建立一個安全專家團隊,監控實時系統流量,以便在攻擊的早期識別網絡威脅;
- 為重要數據系統的連續備份制定合理的策略;
- 用在云中本地構建的系統替換傳統的自托管系統。
此外,以下策略和方法已被證明是有效的:
- 在安全評估中對勒索軟件和電子郵件入侵等威脅進行建模,以確保強化弱點和控制措施;
- 主動監控網絡威脅和情報來源,尋找可能的數據暴露或弱點的指標;
- 圍繞PHI等關鍵信息的保護措施和控制措施制定安全指標;
- 在所有可遠程訪問的系統中實施多因素身份驗證;
- 建議主動監控計算活動和訪問控制記錄的異常情況;
- 隔離因第三方軟件/硬件要求而易受攻擊的系統。
喬伊斯指出:“攻擊發生前做好防御是最好的措施,對于可能發生的任何事件,最好的防御措施是在攻擊發生之前做好充分的防御。安全事件發生后,醫院可能面臨監管罰款或處罰,以及其他財務后果,除了成本之外,聲譽受損還會降低患者對其醫療服務提供者的信任。企業可采取諸如聘請數字取證和事件響應專家來識別和解決漏洞的成本、配備呼叫中心來處理來自患者的詢問、與導致違反HIPAA的違規行為相關的監管防御費用、患者支持和通知服務等。”
喬伊斯補充:“對系統安全信息的例行評估將大大有助于防止攻擊及其帶來的后果。制定一套流程也很重要,以防出現違規行為,或者在攻擊發生后快速通知患者和其他受影響的各方采取適當的預防措施。”
【本文是51CTO專欄作者“安全牛”的原創文章,轉載請通過安全牛(微信公眾號id:gooann-sectv)獲取授權】
