网络安全：首席信息官与首席信息安全官须知

医疗行业在网络安全方面具有独特的地位。医疗行业是唯一一个旨在避免客户重复访问和提供服务的行业。为避免重大医疗问题，更倾向于为个人健康建立可持续的模式，而不希望看到急诊成为常态。

虽然急诊是危重治疗的基础，但定期检查、预防性照护和其他低风险的干预措施始终是首选。从本质上讲，医疗保健正试图提供一个处理危机事件的常规程序。

数据处处可及

当提到个人医疗的模式时，用于维护和检查的数据并没有中心储存。通常它存在于全科、专科医生的办公室、保险公司或医院。此外，有关保险覆盖范围和支付金额的财务信息与所有这类信息混在一起，使得存储数据的敏感度再度提升。

最后，科技在医疗领域发挥了巨大作用，包括从诊断设备到植入活体的医疗设备，以及从例行检查到关键照护的过程。这些精密仪器和医疗机构中任何一个服务器、工作站和物联网设备都有类似的缺陷。它们与其他计算机受到黑客攻击和破坏的风险一致，收到攻击后可能危及患者生命。

从事特权管理、访问管理和网络安全的厂商BeyondTrust公司的首席技术官兼首席信息安全官MoreyHaber说：“高管应努力确保他们不是个人身份信息供应链中最薄弱的一环。我们不是在一个安全的地点处理数据“。

根据定义，HIPAA法案为医疗信息与电子账单提供了重要的指导，并要求对受保护的健康信息进行保护和保密处理。”

基于网络安全净化挑战

Haber继续说道，即使在十年之后，面临的挑战也体现在基本的网络安全净化方面：

●通过进行漏洞评估、程序修补管理和特权访问管理来维护资产安全

●使用安全流程和协议对数据进行存储、处理和备份

●删除处理敏感数据的老旧操作系统

“从药房、全科医生到急诊中心，任何患者都不知道医疗机构是否在维护基本的网络安全方面能够保护他们的信息。从统计上看，大多数医疗机构都无法确保患者信息的真正安全。”

根据2018年微软发布的漏洞报告显示，90%的漏洞都是与管理员的过度权限有关。BeyondTrust公司2018特权访问威胁报告显示，81%的漏洞始于密码被盗或弱密码。据Forrester研究表示，80%的违规行为是特权账户滥用或误用的结果。

CIO和CISO可以做什么？

那么，CIO和CISO如何应对保护广泛分散数据这一挑战呢？Haber建议：“CIO和CISO应该回到网络安全的基础，把它们做好。”这些基本要素包括：

●探索网络上所有有价值的资源识别并移除设备影子。

●定期进行漏洞评估和配置管理，以识别风险。

●对标服务水平协议进行程序修补管理以降低风险

●使用权限治理法来管理用户、帐户、权利和角色，防止不当的用户访问。

●使用特权访问管理来保护敏感帐户不被滥用。

●使用安全的远程访问技术供厂商访问。

●确保从防病毒软件、防火墙和VPN的安全防御是最新版本，定期维护，并审核设备预期寿命。

●制定应急响应计划并测试。

●考虑雇佣符合职业道德的白帽黑客来执行测试

数据的实时性和可用性

个人医疗信息需要在任何时间、地点可用。这意味着，数据必须是实时的，并实时提供给正确授权的个人。

尽管使数据始终保持可用不是一项难事，但保证正确的访问非常困难。这就是为什么身份权限管理如此重要，它可以为员工创建适当的角色，让他们有权访问，并在权限受限时上报。

Haber补充道“首席信息官和首席信息官应该考虑使用基于角色的权限来访问电子邮件、应用程序以及其他资源。身份可以有多个关联帐户，如果管理人员能够通过身份验证来管理敏感信息的访问，并且保证打好网络安全基础，那么他们的防御措施就有可能大幅降低安全风险，避免发生事故、产生漏洞。”

本文来自信息化观察者网，转载请注明出处。