云安全聯(lián)盟(CSA)發(fā)布了一篇題為《醫(yī)療保健供應鏈網絡安全風險管理》的論文。該報告是由衛(wèi)生信息管理工作組起草的，提供了醫(yī)療保健交付組織(HDO)可用于管理與其供應鏈相關的網絡安全風險的最佳實踐。

HDO面臨著許多來自不同類型的供應鏈供應商的風險，包括食品供應商、軟件供應商、醫(yī)療設備、藥品和日常醫(yī)療用品。這種復雜性和相互依賴性極大地增加了網絡事件的后果，不管是敏感的個人信息泄露還是供應鏈的實際供應中斷。

“醫(yī)療保健交付組織每年都會在數(shù)千家供應商上花費數(shù)十億美元。然而，研究表明，目前評估和管理供應商風險的方法是失敗的。向云計算和邊緣計算的轉移擴大了HDO的電子領域，不僅使其更難保護其基礎設施，而且使它們成為了更具吸引力的網絡攻擊目標。

“鑒于供應鏈的重要性，HDO識別、評估和緩解供應鏈網絡風險以確保其業(yè)務彈性是至關重要的?！痹撜撐牡牡谝蛔髡?、衛(wèi)生信息管理工作組聯(lián)合主席James Angle說。

由于HDO及其供應商仍然是高價值目標，受到網絡攻擊的代價將比以往任何時候都要高。此外，目前供應鏈風險管理方法的問題也正在造成額外的經濟負擔，因為衛(wèi)生與公眾服務部和民權辦公室對各組織的罰款和調查也都在增加。

“不幸的是，對供應鏈的利用不僅是一種潛在風險，而且是一種現(xiàn)實。不安全的供應鏈會嚴重影響HDO的風險狀況和安全，更不用說其底線了。”風險、審計、控制和合規(guī)專業(yè)人士、CSA研究員、論文投稿人Michael Roza說道?！耙虼?，HDO有義務確保其供應鏈合作伙伴能夠遵守數(shù)據(jù)管理政策，以確保其組織和用戶的安全。”

在應對供應鏈內的網絡風險和安全時，給HDO的建議是:

• 盤點所有供應商，然后按優(yōu)先次序排序，確定其認為是戰(zhàn)略供應商的供應商。
• 根據(jù)風險對供應商進行分級，盡可能的使用第三方風險評級服務。
• 在合同中要求供應商保持安全標準。
• 制定重新評估供應商的時間表。