醫(yī)院正成為網(wǎng)絡(luò)犯罪分子眼里越來(lái)越誘人的目標(biāo)。醫(yī)院網(wǎng)絡(luò)規(guī)模龐大,這些網(wǎng)絡(luò)上的PC保持正常運(yùn)行至關(guān)重要,還有大部分與醫(yī)療保健相關(guān)的計(jì)算機(jī)系統(tǒng)在不受支持的操作系統(tǒng)上運(yùn)行,這意味著保護(hù)醫(yī)院免受網(wǎng)絡(luò)攻擊越來(lái)越復(fù)雜。
于是黑客趁機(jī)為非作歹,分發(fā)勒索軟件或企圖竊取有關(guān)患者的敏感個(gè)人數(shù)據(jù)。
現(xiàn)在,為了應(yīng)對(duì)網(wǎng)絡(luò)犯罪分子對(duì)醫(yī)院構(gòu)成的日益嚴(yán)重的威脅,尤其是由于醫(yī)療網(wǎng)絡(luò)越來(lái)越依賴物聯(lián)網(wǎng)和聯(lián)網(wǎng)設(shè)備,歐盟網(wǎng)絡(luò)安全機(jī)構(gòu)ENISA發(fā)布了有關(guān)改善醫(yī)院網(wǎng)絡(luò)防御的建議。
雖然初衷針對(duì)醫(yī)療保健業(yè),但是大多數(shù)建議適用于更廣泛的領(lǐng)域。
ENISA的執(zhí)行董事Juhan Lepassaa說(shuō):“該機(jī)構(gòu)竭力確保歐洲的醫(yī)療行業(yè)網(wǎng)絡(luò)安全,而 保護(hù)患者并確保我們醫(yī)院的彈性是這項(xiàng)工作的一個(gè)重要部分。”
《醫(yī)院網(wǎng)絡(luò)安全采購(gòu)指南》白皮書推薦了十條優(yōu)秀實(shí)踐,讓醫(yī)療行業(yè)提高應(yīng)對(duì)網(wǎng)絡(luò)攻擊的能力。
1. 讓IT部門參與采購(gòu)
這聽起來(lái)很簡(jiǎn)單,但是一開始讓IT部門參與采購(gòu)可以確保在技術(shù)采購(gòu)過(guò)程的每一步都考慮到網(wǎng)絡(luò)安全,因?yàn)榭梢跃托录夹g(shù)如何與現(xiàn)有網(wǎng)絡(luò)相適應(yīng)、需要另外采取哪些安全措施提出建議。
2. 實(shí)施漏洞識(shí)別和管理流程
這是不完美的世界,好多產(chǎn)品含有漏洞,有的是已知漏洞,而有的是尚未發(fā)現(xiàn)的漏洞。制定一項(xiàng)策略來(lái)管理設(shè)備整個(gè)生命周期中的漏洞,可以幫助安全團(tuán)隊(duì)控制潛在的安全隱患。
3. 為軟硬件的更新制定策略
安全研究人員常常會(huì)發(fā)現(xiàn)設(shè)備和操作系統(tǒng)中的新漏洞。然而,醫(yī)療網(wǎng)絡(luò)在確保已打上補(bǔ)丁方面做得很糟糕——這是WannaCry勒索軟件當(dāng)初嚴(yán)重影響NHS的原因之一。該白皮書建議IT部門確定在每一個(gè)網(wǎng)段中打上補(bǔ)丁的最合適時(shí)機(jī),并為無(wú)法打補(bǔ)丁的系統(tǒng)確定變通辦法,比如分段。
4. 增強(qiáng)無(wú)線通信的安全控制
應(yīng)通過(guò)嚴(yán)格的控制措施限制對(duì)醫(yī)院網(wǎng)絡(luò)的訪問(wèn),這意味著應(yīng)監(jiān)控和了解所連接設(shè)備的數(shù)量,以便識(shí)別任何企圖獲得訪問(wèn)權(quán)限的意外或不需要的設(shè)備。該白皮書建議,未經(jīng)授權(quán)的人員不應(yīng)該訪問(wèn)Wi-Fi,網(wǎng)絡(luò)密碼應(yīng)是強(qiáng)密碼。
5. 制定測(cè)試策略
購(gòu)買新計(jì)算產(chǎn)品的醫(yī)院應(yīng)建立一套最低限度的安全測(cè)試,對(duì)添加到網(wǎng)絡(luò)中的新設(shè)備進(jìn)行測(cè)試,包括一旦設(shè)備添加到網(wǎng)絡(luò)上就進(jìn)行滲透測(cè)試,充分考慮到黑客會(huì)企圖濫用設(shè)備。
6. 制定業(yè)務(wù)連續(xù)性計(jì)劃
只要系統(tǒng)故障可能會(huì)干擾醫(yī)院的核心服務(wù)(這里是患者護(hù)理),就應(yīng)該制定業(yè)務(wù)連續(xù)性計(jì)劃;在這種情況下,必須明確定義供應(yīng)商的角色。
7. 考慮互操作性問(wèn)題
機(jī)器傳輸信息和數(shù)據(jù)的能力是醫(yī)院能夠正常運(yùn)行的關(guān)鍵,但萬(wàn)一遭遇網(wǎng)絡(luò)攻擊或停機(jī),這種能力可能會(huì)受到損害。如果這種運(yùn)行受到危及,醫(yī)院應(yīng)有備用計(jì)劃。
8. 對(duì)所有組件進(jìn)行測(cè)試
應(yīng)該定期測(cè)試系統(tǒng),以確保它們提供良好的安全性,同時(shí)兼顧易用性和安全性——比如說(shuō),IT部門應(yīng)確保用戶未將復(fù)雜的密碼更改為較簡(jiǎn)單的密碼。所有這些都應(yīng)在測(cè)試過(guò)程中加以檢查。
9. 允許審查和記錄
保留有關(guān)網(wǎng)絡(luò)上測(cè)試和活動(dòng)的日志,可以確保萬(wàn)一遭到攻擊,更容易跟蹤發(fā)生的事件以及攻擊者如何訪問(wèn)了系統(tǒng),并且評(píng)估哪些信息受到了破壞。該白皮書說(shuō):“保持日志安全是最重要的安全任務(wù)之一。”
10. 加密靜態(tài)和傳輸中的敏感個(gè)人數(shù)據(jù)
為了確保符合《數(shù)據(jù)保護(hù)通用條例》,并確保患者和員工的安全,應(yīng)該對(duì)敏感信息進(jìn)行加密,那樣如果外人確實(shí)可以訪問(wèn)系統(tǒng),這些信息對(duì)他們來(lái)說(shuō)也可能無(wú)用。
如果遵循該建議,醫(yī)療保健機(jī)構(gòu)就可以確保盡可能保護(hù)好網(wǎng)絡(luò)、員工和患者,免受網(wǎng)絡(luò)攻擊。
原文標(biāo)題:Cybersecurity: Do these ten things to keep your networks secure from hackers,作者:Danny Palmer
