在訪談中，HealthEquity公司的執(zhí)行副總裁兼首席安全官Sunil Seshadri談到了醫(yī)療保健數(shù)據(jù)面臨的風(fēng)險(xiǎn)日益增加，以及各企業(yè)應(yīng)如何采取行動(dòng)保持領(lǐng)先。他分享了關(guān)于供應(yīng)商管理、零信任和安全軟件供應(yīng)鏈方面的見(jiàn)解，以及解決遺留系統(tǒng)漏洞的實(shí)際步驟。他的建議有助于企業(yè)加強(qiáng)安全性，同時(shí)不影響患者護(hù)理。

鑒于供應(yīng)鏈攻擊的增加，醫(yī)療保健企業(yè)應(yīng)如何開(kāi)展供應(yīng)商風(fēng)險(xiǎn)管理以防止數(shù)據(jù)泄露?

對(duì)于醫(yī)療保健和福利提供商而言，確保受保護(hù)的健康信息和其他個(gè)人身份信息具備穩(wěn)健的網(wǎng)絡(luò)安全至關(guān)重要。

雖然HealthEquity是一家健康儲(chǔ)蓄賬戶(HSA)托管機(jī)構(gòu)和其他消費(fèi)者導(dǎo)向福利的管理機(jī)構(gòu)，而非醫(yī)療保健提供商，但為緩解供應(yīng)鏈攻擊的風(fēng)險(xiǎn)，處理敏感成員數(shù)據(jù)的企業(yè)必須采用以技術(shù)為驅(qū)動(dòng)、基于風(fēng)險(xiǎn)的方法來(lái)管理供應(yīng)商風(fēng)險(xiǎn)，在供應(yīng)商生命周期內(nèi)整合安全控制，并規(guī)劃持續(xù)的供應(yīng)商盡職調(diào)查(合同前審查、驗(yàn)證持續(xù)遵守合同義務(wù)、應(yīng)急計(jì)劃制定等)。

該方法應(yīng)包括供應(yīng)商細(xì)分、訪問(wèn)控制、部署零信任和網(wǎng)絡(luò)細(xì)分、安全軟件供應(yīng)鏈和軟件物料清單(SBOM)合規(guī)性、合同安全控制以及持續(xù)合規(guī)等方面。此外，關(guān)鍵供應(yīng)商必須參與網(wǎng)絡(luò)演練，以提高應(yīng)急響應(yīng)準(zhǔn)備程度。

您建議醫(yī)療保健行業(yè)的CISO如何平衡安全性與可訪問(wèn)性，以確保數(shù)據(jù)得到保護(hù)而不影響患者護(hù)理?

在任何企業(yè)(無(wú)論是醫(yī)療保健企業(yè)還是其他企業(yè))中，安全團(tuán)隊(duì)都面臨著平衡安全性與可訪問(wèn)性的重要挑戰(zhàn)。一個(gè)關(guān)鍵方面是采用基于風(fēng)險(xiǎn)、以成員為中心的方法，確保實(shí)施強(qiáng)有力的安全措施而不妨礙工作流程。

作為HSA托管機(jī)構(gòu)和其他消費(fèi)者導(dǎo)向福利的管理機(jī)構(gòu)，我們可以通過(guò)使用零信任模型和自適應(yīng)身份驗(yàn)證(例如基于風(fēng)險(xiǎn)的多因素身份驗(yàn)證)來(lái)定制工作流程，從而在執(zhí)行高風(fēng)險(xiǎn)活動(dòng)時(shí)，在減少摩擦的同時(shí)加強(qiáng)安全保障。

此外，諸如基于上下文的訪問(wèn)控制、基于角色的訪問(wèn)控制、實(shí)時(shí)數(shù)據(jù)丟失防護(hù)(DLP)以檢查和保護(hù)個(gè)人健康信息(PHI)，以及令牌化機(jī)制等控制措施，可以幫助員工安全訪問(wèn)敏感數(shù)據(jù)，而不會(huì)暴露原始敏感記錄。

許多醫(yī)療保健提供商的遺留系統(tǒng)難以輕易修補(bǔ)。安全團(tuán)隊(duì)?wèi)?yīng)如何減輕與過(guò)時(shí)基礎(chǔ)設(shè)施相關(guān)的風(fēng)險(xiǎn)?

雖然修補(bǔ)至關(guān)重要，但對(duì)過(guò)時(shí)基礎(chǔ)設(shè)施采用實(shí)用、分層的安全方法可以在一定程度上減輕風(fēng)險(xiǎn)。我的建議是，通過(guò)使用安全層和軟件定義邊界，將遺留系統(tǒng)與面向互聯(lián)網(wǎng)的服務(wù)和其他現(xiàn)代應(yīng)用程序隔離開(kāi)來(lái)。

配置良好的Web應(yīng)用防火墻可以阻止針對(duì)遺留系統(tǒng)的已知漏洞利用。終端檢測(cè)與響應(yīng)(EDR)解決方案和基于人工智能的行為分析可以提供額外的保護(hù)層。然而，雖然對(duì)遺留系統(tǒng)進(jìn)行分段、加固和監(jiān)控可以爭(zhēng)取時(shí)間，但遷移至現(xiàn)代化堆棧至關(guān)重要。

醫(yī)療保健行業(yè)的合并與收購(gòu)帶來(lái)了重大安全風(fēng)險(xiǎn)。在收購(gòu)之前應(yīng)執(zhí)行哪些強(qiáng)制性網(wǎng)絡(luò)安全盡職調(diào)查步驟?

合并與收購(gòu)交易可能引發(fā)重大網(wǎng)絡(luò)安全風(fēng)險(xiǎn)，包括數(shù)據(jù)泄露、合規(guī)性問(wèn)題以及整合挑戰(zhàn)。

在收購(gòu)前的協(xié)議中，應(yīng)強(qiáng)制執(zhí)行結(jié)構(gòu)化的網(wǎng)絡(luò)安全盡職調(diào)查流程。這涉及對(duì)公司管理安全風(fēng)險(xiǎn)的政策、控制和措施以及治理實(shí)踐的嚴(yán)謹(jǐn)性進(jìn)行全面評(píng)估。

技術(shù)評(píng)估應(yīng)確認(rèn)實(shí)施中的措施是否反映了這些實(shí)踐，以確保良好的安全態(tài)勢(shì)。收購(gòu)后，安全從業(yè)人員越來(lái)越多地采取的一種做法是“假定已發(fā)生泄露”，即，在將收購(gòu)對(duì)象與母公司集成之前，將其安全控制重建到可接受的狀態(tài)。

有哪些被低估但效果很好的安全措施，更多醫(yī)療保健企業(yè)應(yīng)該實(shí)施?

一項(xiàng)被低估但效果很好的安全措施是貶值數(shù)據(jù)。數(shù)據(jù)對(duì)公司來(lái)說(shuō)至關(guān)重要，無(wú)論是個(gè)人健康信息、財(cái)務(wù)數(shù)據(jù)，還是更廣泛的消費(fèi)者非公開(kāi)信息，都需要公司保護(hù)。

如果相信任何公司的安全控制都不是完美的，那么需要考慮的是，當(dāng)發(fā)生成功的數(shù)據(jù)泄露時(shí)，如何讓數(shù)據(jù)對(duì)未經(jīng)授權(quán)的一方無(wú)法使用。一種有效的做法是，通過(guò)應(yīng)用諸如數(shù)據(jù)令牌化或采用正確的密鑰管理實(shí)踐對(duì)數(shù)據(jù)進(jìn)行加密等措施，確保在數(shù)據(jù)泄露時(shí)，通過(guò)使數(shù)據(jù)對(duì)攻擊者無(wú)法使用來(lái)最大限度地降低其影響。