医院正成为网络犯罪分子眼里越来越诱人的目标。医院网络规模庞大,这些网络上的PC保持正常运行至关重要,还有大部分与医疗保健相关的计算机系统在不受支持的操作系统上运行,这意味着保护医院免受网络攻击越来越复杂。
于是黑客趁机为非作歹,分发勒索软件或企图窃取有关患者的敏感个人数据。
现在,为了应对网络犯罪分子对医院构成的日益严重的威胁,尤其是由于医疗网络越来越依赖物联网和联网设备,欧盟网络安全机构ENISA发布了有关改善医院网络防御的建议。
虽然初衷针对医疗保健业,但是大多数建议适用于更广泛的领域。
ENISA的执行董事Juhan Lepassaa说:“该机构竭力确保欧洲的医疗行业网络安全,而 保护患者并确保我们医院的弹性是这项工作的一个重要部分。”
《医院网络安全采购指南》白皮书推荐了十条优秀实践,让医疗行业提高应对网络攻击的能力。
1. 让IT部门参与采购
这听起来很简单,但是一开始让IT部门参与采购可以确保在技术采购过程的每一步都考虑到网络安全,因为可以就新技术如何与现有网络相适应、需要另外采取哪些安全措施提出建议。
2. 实施漏洞识别和管理流程
这是不完美的世界,好多产品含有漏洞,有的是已知漏洞,而有的是尚未发现的漏洞。制定一项策略来管理设备整个生命周期中的漏洞,可以帮助安全团队控制潜在的安全隐患。
3. 为软硬件的更新制定策略
安全研究人员常常会发现设备和操作系统中的新漏洞。然而,医疗网络在确保已打上补丁方面做得很糟糕——这是WannaCry勒索软件当初严重影响NHS的原因之一。该白皮书建议IT部门确定在每一个网段中打上补丁的最合适时机,并为无法打补丁的系统确定变通办法,比如分段。
4. 增强无线通信的安全控制
应通过严格的控制措施限制对医院网络的访问,这意味着应监控和了解所连接设备的数量,以便识别任何企图获得访问权限的意外或不需要的设备。该白皮书建议,未经授权的人员不应该访问Wi-Fi,网络密码应是强密码。
5. 制定测试策略
购买新计算产品的医院应建立一套最低限度的安全测试,对添加到网络中的新设备进行测试,包括一旦设备添加到网络上就进行渗透测试,充分考虑到黑客会企图滥用设备。
6. 制定业务连续性计划
只要系统故障可能会干扰医院的核心服务(这里是患者护理),就应该制定业务连续性计划;在这种情况下,必须明确定义供应商的角色。
7. 考虑互操作性问题
机器传输信息和数据的能力是医院能够正常运行的关键,但万一遭遇网络攻击或停机,这种能力可能会受到损害。如果这种运行受到危及,医院应有备用计划。
8. 对所有组件进行测试
应该定期测试系统,以确保它们提供良好的安全性,同时兼顾易用性和安全性——比如说,IT部门应确保用户未将复杂的密码更改为较简单的密码。所有这些都应在测试过程中加以检查。
9. 允许审查和记录
保留有关网络上测试和活动的日志,可以确保万一遭到攻击,更容易跟踪发生的事件以及攻击者如何访问了系统,并且评估哪些信息受到了破坏。该白皮书说:“保持日志安全是最重要的安全任务之一。”
10. 加密静态和传输中的敏感个人数据
为了确保符合《数据保护通用条例》,并确保患者和员工的安全,应该对敏感信息进行加密,那样如果外人确实可以访问系统,这些信息对他们来说也可能无用。
如果遵循该建议,医疗保健机构就可以确保尽可能保护好网络、员工和患者,免受网络攻击。
原文标题:Cybersecurity: Do these ten things to keep your networks secure from hackers,作者:Danny Palmer