醫(yī)療行業(yè)向來(lái)是網(wǎng)絡(luò)攻擊者的“青睞對(duì)象”。過(guò)去，攻擊者的目標(biāo)是醫(yī)療機(jī)構(gòu)存儲(chǔ)的患者個(gè)人健康和財(cái)務(wù)數(shù)據(jù)，但勒索軟件的出現(xiàn)極大地改變了醫(yī)療行業(yè)的威脅格局。

[[423094]]

醫(yī)療行業(yè)網(wǎng)絡(luò)安全態(tài)勢(shì)

相關(guān)數(shù)據(jù)顯示，受新冠疫情影響，醫(yī)療行業(yè)網(wǎng)絡(luò)安全威脅持續(xù)加劇，2020 年，針對(duì)醫(yī)療行業(yè)的網(wǎng)絡(luò)攻擊增加了50%以上。在記錄的599起醫(yī)療行業(yè)網(wǎng)絡(luò)安全事件中，403起 (67.3%)是由黑客和IT事件引起的，通過(guò)部署勒索軟件和加密關(guān)鍵數(shù)據(jù)的攻擊手段極為常見。

“許多遭受勒索軟件攻擊的醫(yī)療企業(yè)，都會(huì)權(quán)衡收入損失與贖金成本以及后續(xù)攻擊的可能性。”醫(yī)患支付技術(shù)公司Patientco的CTO肖恩·喬伊斯說(shuō)道。

“另外，醫(yī)療企業(yè)是否支付贖金的考量因素還包括患者安全，即使是短暫的醫(yī)療設(shè)備停機(jī)，也可能對(duì)患者造成傷害或使社區(qū)服務(wù)中斷。因此醫(yī)療機(jī)構(gòu)面臨著支付贖金和恢復(fù)關(guān)鍵系統(tǒng)的巨大壓力，并且這種狀況短時(shí)間內(nèi)可能無(wú)法改變。”

醫(yī)療保健CISO及其面臨的挑戰(zhàn)

喬伊斯還指出，醫(yī)療機(jī)構(gòu)的第三方系統(tǒng)包括：醫(yī)院的核心EMR系統(tǒng)、面向患者的web門戶、移動(dòng)設(shè)備、聯(lián)網(wǎng)MRI，以及患者可穿戴設(shè)備和手術(shù)機(jī)器人。上述很多設(shè)備系統(tǒng)比傳統(tǒng)系統(tǒng)更易遭到網(wǎng)絡(luò)威脅。

Imprivata的CTO賴特表示：“移動(dòng)設(shè)備、共享工作站和從內(nèi)部部署、云或兩者交付的應(yīng)用程序的采用，使身份管理成為安全的新邊界。CISO不僅需要控制網(wǎng)絡(luò)，還需要管理其醫(yī)療保健組織復(fù)雜生態(tài)系中的每個(gè)數(shù)字身份。”

全球咨詢公司StoneTurn的泰勒瑞表示：“醫(yī)療企業(yè)要在解決人才和預(yù)算短缺問(wèn)題的同時(shí)，努力為合規(guī)性設(shè)定一個(gè)高標(biāo)準(zhǔn)，而這些標(biāo)準(zhǔn)通常比更多的商業(yè)組織更缺少資源支持。”

給醫(yī)療行業(yè)CISO的建議

賴特建議醫(yī)療行業(yè)CISO可以通過(guò)采用零信任架構(gòu)，以確保共享對(duì)移動(dòng)設(shè)備在訪問(wèn)資源之前是安全的：“需要清除在每個(gè)數(shù)字身份事件中授權(quán)和驗(yàn)證醫(yī)療保健專業(yè)人員的檢查點(diǎn)。多因素身份驗(yàn)證也可以部署在移動(dòng)設(shè)備上，使它們更加安全和私密，同時(shí)還支持更好的工作流程。最后，共享移動(dòng)設(shè)備上的密碼自動(dòng)填充是一種有用的解決方案，可以節(jié)省時(shí)間并消除手動(dòng)填寫復(fù)雜密碼的重復(fù)性任務(wù)。”

喬伊斯建議實(shí)施最低權(quán)限訪問(wèn)的做法，將用戶訪問(wèn)權(quán)限限制為團(tuán)隊(duì)成員完成其工作職能所需的最少數(shù)據(jù)，以及：

• 定期開展員工安全/網(wǎng)絡(luò)釣魚培訓(xùn)計(jì)劃;
• 圍繞SIEM建立一個(gè)安全專家團(tuán)隊(duì)，監(jiān)控實(shí)時(shí)系統(tǒng)流量，以便在攻擊的早期識(shí)別網(wǎng)絡(luò)威脅;
• 為重要數(shù)據(jù)系統(tǒng)的連續(xù)備份制定合理的策略;
• 用在云中本地構(gòu)建的系統(tǒng)替換傳統(tǒng)的自托管系統(tǒng)。

此外，以下策略和方法已被證明是有效的：

• 在安全評(píng)估中對(duì)勒索軟件和電子郵件入侵等威脅進(jìn)行建模，以確保強(qiáng)化弱點(diǎn)和控制措施;
• 主動(dòng)監(jiān)控網(wǎng)絡(luò)威脅和情報(bào)來(lái)源，尋找可能的數(shù)據(jù)暴露或弱點(diǎn)的指標(biāo);
• 圍繞PHI等關(guān)鍵信息的保護(hù)措施和控制措施制定安全指標(biāo);
• 在所有可遠(yuǎn)程訪問(wèn)的系統(tǒng)中實(shí)施多因素身份驗(yàn)證;
• 建議主動(dòng)監(jiān)控計(jì)算活動(dòng)和訪問(wèn)控制記錄的異常情況;
• 隔離因第三方軟件/硬件要求而易受攻擊的系統(tǒng)。

喬伊斯指出：“攻擊發(fā)生前做好防御是最好的措施，對(duì)于可能發(fā)生的任何事件，最好的防御措施是在攻擊發(fā)生之前做好充分的防御。安全事件發(fā)生后，醫(yī)院可能面臨監(jiān)管罰款或處罰，以及其他財(cái)務(wù)后果，除了成本之外，聲譽(yù)受損還會(huì)降低患者對(duì)其醫(yī)療服務(wù)提供者的信任。企業(yè)可采取諸如聘請(qǐng)數(shù)字取證和事件響應(yīng)專家來(lái)識(shí)別和解決漏洞的成本、配備呼叫中心來(lái)處理來(lái)自患者的詢問(wèn)、與導(dǎo)致違反HIPAA的違規(guī)行為相關(guān)的監(jiān)管防御費(fèi)用、患者支持和通知服務(wù)等。”

喬伊斯補(bǔ)充：“對(duì)系統(tǒng)安全信息的例行評(píng)估將大大有助于防止攻擊及其帶來(lái)的后果。制定一套流程也很重要，以防出現(xiàn)違規(guī)行為，或者在攻擊發(fā)生后快速通知患者和其他受影響的各方采取適當(dāng)?shù)念A(yù)防措施。”

【本文是51CTO專欄作者“安全牛”的原創(chuàng)文章，轉(zhuǎn)載請(qǐng)通過(guò)安全牛（微信公眾號(hào)id:gooann-sectv）獲取授權(quán)】

戳這里，看該作者更多好文