醫院正成為網絡犯罪分子眼里越來越誘人的目標。醫院網絡規模龐大,這些網絡上的PC保持正常運行至關重要,還有大部分與醫療保健相關的計算機系統在不受支持的操作系統上運行,這意味著保護醫院免受網絡攻擊越來越復雜。
于是黑客趁機為非作歹,分發勒索軟件或企圖竊取有關患者的敏感個人數據。
現在,為了應對網絡犯罪分子對醫院構成的日益嚴重的威脅,尤其是由于醫療網絡越來越依賴物聯網和聯網設備,歐盟網絡安全機構ENISA發布了有關改善醫院網絡防御的建議。
雖然初衷針對醫療保健業,但是大多數建議適用于更廣泛的領域。
ENISA的執行董事Juhan Lepassaa說:“該機構竭力確保歐洲的醫療行業網絡安全,而 保護患者并確保我們醫院的彈性是這項工作的一個重要部分。”
《醫院網絡安全采購指南》白皮書推薦了十條優秀實踐,讓醫療行業提高應對網絡攻擊的能力。
1. 讓IT部門參與采購
這聽起來很簡單,但是一開始讓IT部門參與采購可以確保在技術采購過程的每一步都考慮到網絡安全,因為可以就新技術如何與現有網絡相適應、需要另外采取哪些安全措施提出建議。
2. 實施漏洞識別和管理流程
這是不完美的世界,好多產品含有漏洞,有的是已知漏洞,而有的是尚未發現的漏洞。制定一項策略來管理設備整個生命周期中的漏洞,可以幫助安全團隊控制潛在的安全隱患。
3. 為軟硬件的更新制定策略
安全研究人員常常會發現設備和操作系統中的新漏洞。然而,醫療網絡在確保已打上補丁方面做得很糟糕——這是WannaCry勒索軟件當初嚴重影響NHS的原因之一。該白皮書建議IT部門確定在每一個網段中打上補丁的最合適時機,并為無法打補丁的系統確定變通辦法,比如分段。
4. 增強無線通信的安全控制
應通過嚴格的控制措施限制對醫院網絡的訪問,這意味著應監控和了解所連接設備的數量,以便識別任何企圖獲得訪問權限的意外或不需要的設備。該白皮書建議,未經授權的人員不應該訪問Wi-Fi,網絡密碼應是強密碼。
5. 制定測試策略
購買新計算產品的醫院應建立一套最低限度的安全測試,對添加到網絡中的新設備進行測試,包括一旦設備添加到網絡上就進行滲透測試,充分考慮到黑客會企圖濫用設備。
6. 制定業務連續性計劃
只要系統故障可能會干擾醫院的核心服務(這里是患者護理),就應該制定業務連續性計劃;在這種情況下,必須明確定義供應商的角色。
7. 考慮互操作性問題
機器傳輸信息和數據的能力是醫院能夠正常運行的關鍵,但萬一遭遇網絡攻擊或停機,這種能力可能會受到損害。如果這種運行受到危及,醫院應有備用計劃。
8. 對所有組件進行測試
應該定期測試系統,以確保它們提供良好的安全性,同時兼顧易用性和安全性——比如說,IT部門應確保用戶未將復雜的密碼更改為較簡單的密碼。所有這些都應在測試過程中加以檢查。
9. 允許審查和記錄
保留有關網絡上測試和活動的日志,可以確保萬一遭到攻擊,更容易跟蹤發生的事件以及攻擊者如何訪問了系統,并且評估哪些信息受到了破壞。該白皮書說:“保持日志安全是最重要的安全任務之一。”
10. 加密靜態和傳輸中的敏感個人數據
為了確保符合《數據保護通用條例》,并確保患者和員工的安全,應該對敏感信息進行加密,那樣如果外人確實可以訪問系統,這些信息對他們來說也可能無用。
如果遵循該建議,醫療保健機構就可以確保盡可能保護好網絡、員工和患者,免受網絡攻擊。
原文標題:Cybersecurity: Do these ten things to keep your networks secure from hackers,作者:Danny Palmer
