在訪談中，HealthEquity公司的執行副總裁兼首席安全官Sunil Seshadri談到了醫療保健數據面臨的風險日益增加，以及各企業應如何采取行動保持領先。他分享了關于供應商管理、零信任和安全軟件供應鏈方面的見解，以及解決遺留系統漏洞的實際步驟。他的建議有助于企業加強安全性，同時不影響患者護理。

鑒于供應鏈攻擊的增加，醫療保健企業應如何開展供應商風險管理以防止數據泄露?

對于醫療保健和福利提供商而言，確保受保護的健康信息和其他個人身份信息具備穩健的網絡安全至關重要。

雖然HealthEquity是一家健康儲蓄賬戶(HSA)托管機構和其他消費者導向福利的管理機構，而非醫療保健提供商，但為緩解供應鏈攻擊的風險，處理敏感成員數據的企業必須采用以技術為驅動、基于風險的方法來管理供應商風險，在供應商生命周期內整合安全控制，并規劃持續的供應商盡職調查(合同前審查、驗證持續遵守合同義務、應急計劃制定等)。

該方法應包括供應商細分、訪問控制、部署零信任和網絡細分、安全軟件供應鏈和軟件物料清單(SBOM)合規性、合同安全控制以及持續合規等方面。此外，關鍵供應商必須參與網絡演練，以提高應急響應準備程度。

您建議醫療保健行業的CISO如何平衡安全性與可訪問性，以確保數據得到保護而不影響患者護理?

在任何企業(無論是醫療保健企業還是其他企業)中，安全團隊都面臨著平衡安全性與可訪問性的重要挑戰。一個關鍵方面是采用基于風險、以成員為中心的方法，確保實施強有力的安全措施而不妨礙工作流程。

作為HSA托管機構和其他消費者導向福利的管理機構，我們可以通過使用零信任模型和自適應身份驗證(例如基于風險的多因素身份驗證)來定制工作流程，從而在執行高風險活動時，在減少摩擦的同時加強安全保障。

此外，諸如基于上下文的訪問控制、基于角色的訪問控制、實時數據丟失防護(DLP)以檢查和保護個人健康信息(PHI)，以及令牌化機制等控制措施，可以幫助員工安全訪問敏感數據，而不會暴露原始敏感記錄。

許多醫療保健提供商的遺留系統難以輕易修補。安全團隊應如何減輕與過時基礎設施相關的風險?

雖然修補至關重要，但對過時基礎設施采用實用、分層的安全方法可以在一定程度上減輕風險。我的建議是，通過使用安全層和軟件定義邊界，將遺留系統與面向互聯網的服務和其他現代應用程序隔離開來。

配置良好的Web應用防火墻可以阻止針對遺留系統的已知漏洞利用。終端檢測與響應(EDR)解決方案和基于人工智能的行為分析可以提供額外的保護層。然而，雖然對遺留系統進行分段、加固和監控可以爭取時間，但遷移至現代化堆棧至關重要。

醫療保健行業的合并與收購帶來了重大安全風險。在收購之前應執行哪些強制性網絡安全盡職調查步驟?

合并與收購交易可能引發重大網絡安全風險，包括數據泄露、合規性問題以及整合挑戰。

在收購前的協議中，應強制執行結構化的網絡安全盡職調查流程。這涉及對公司管理安全風險的政策、控制和措施以及治理實踐的嚴謹性進行全面評估。

技術評估應確認實施中的措施是否反映了這些實踐，以確保良好的安全態勢。收購后，安全從業人員越來越多地采取的一種做法是“假定已發生泄露”，即，在將收購對象與母公司集成之前，將其安全控制重建到可接受的狀態。

有哪些被低估但效果很好的安全措施，更多醫療保健企業應該實施?

一項被低估但效果很好的安全措施是貶值數據。數據對公司來說至關重要，無論是個人健康信息、財務數據，還是更廣泛的消費者非公開信息，都需要公司保護。

如果相信任何公司的安全控制都不是完美的，那么需要考慮的是，當發生成功的數據泄露時，如何讓數據對未經授權的一方無法使用。一種有效的做法是，通過應用諸如數據令牌化或采用正確的密鑰管理實踐對數據進行加密等措施，確保在數據泄露時，通過使數據對攻擊者無法使用來最大限度地降低其影響。