2月19日,在himss17大會召開前一天,「himss網路安全論壇」在美國奧蘭多舉行。論壇上,來自intermountain、美國國家標準與技術研究所(nist)、波士頓兒童醫院、匹茲堡大學醫學中心等機構的首席資訊保安官(ciso)和首席資訊官(cio)針對醫療行業網路安全的現狀、投入、挑戰、威脅和風險,做了全方位的分析。
論壇內容包含以下6大要點:
1.網路襲擊越來越多。
和其他行業一樣,過去幾年,醫療行業遭遇的網路襲擊次數也急劇上公升。雖然不少襲擊只是簡單的惡意軟體,攻擊目標比較寬泛,但是針對性的釣魚、惡意襲擊卻越來越多。假冒知名公司或個人的網路襲擊屢見不鮮,甚至出現了針對高層管理人員的「鯨釣」(whaling)。
2023年,波士頓兒童醫院曾成功戰勝黑客,但其案例恰恰說明,在網路襲擊面前,醫療系統無法置身事外。
2.醫療行業應對策略落後其他行業。
過去幾年,不少行業和公司——尤其是金融和國防領域——在網路安全方面取得進步,但醫療行業相對滯後。醫療行業疏於防範,缺乏資金,不規範的合併、收購更讓局面雪上加霜。
醫療機構有關網路襲擊的資訊共享也亟待發展。還有聲音認為,醫療機構過於重視有形資產和基礎設施,卻忽視了資料。另外,在雲服務、遠端和移動數字系統面前,it環境的界限也越來越模糊。
3.安全是個商業問題。
資訊科技、機構戰略必須和安保計畫齊頭並進,否則,網路安全專案很難取得成功。
4.雲端安全性更高。
諸多發言人表示,乙個管理良好、設計合理的雲技術基礎設施比傳統的本地資料中心安全性更高。原因很簡單,雲服務**商在裝置、技術和管理方面已經達到一定高度。需要注意的是,必須圍繞雲服務制定周密的計畫和標準。
5.認清風險,有效投資。
醫療機構本身應該加大網路安全投資,但僅此一項難以充分保障安全。在此之外,可聯手進行網路風險評估的第三方機構,發現問題,再輔以內部評估,花合理的錢,辦有效的事。
6.制定高標準。
良好的運營標準能顯著降低組織的運營風險,充分踐行這些標準,能取得事半功倍的效果。美國國家標準與技術研究所(nist)制定的「網路安全框架」(cybersecurity framework)就頗受歡迎,而且相對簡單。按照這一框架,醫療機構可以評估自身風險,並進行防範和應對。
為了保障網路資料安全,醫療機構還有很多任務作要做。他們需要認清自身風險,加強溝通交流。好訊息是,himss最近建立了「網路安全社群」(cybersecurity community),每個月都會舉行論壇,分享醫療行業在網路安全方面最新的進展和經驗。
網路安全 全面防 應對難察覺網路威脅!
在好萊塢大片中,黑客就像是使用計算機的黑魔導士,可以通過利用計算機炸毀房屋,關閉公路,釋放瘟疫引發混亂。也許很多人並不相信,但事實上,電影中的這些橋段總是不斷上演 某國山寨 facebook 剛上線便被一名 18 歲的蘇格蘭大學生黑掉,facebook ceo 小扎自己的 twitter 和 pin...
DDoS防範和全域性網路安全網路的應對
作為破壞力較強的黑客攻擊手段,ddos是一種形式比較特殊的拒絕服務攻擊。作為一種分布 協作的大規模攻擊方式,它往往把受害目標鎖定在大型internet站點,例如商業公司 搜尋引擎或 部門 由於ddos攻擊的惡劣性 往往通過利用一批受控制的網路終端向某乙個公共埠發起衝擊,來勢迅猛又令人難以防備,具有極...
無線醫療保衛戰 精準戰略瞄準網路安全
近期的網路連線型醫療裝置市場報告結果顯示,部署計算機化醫生醫囑錄入系統 computerized physician order entry,cpoe 的醫院成功將死亡率降低了20 但值得注意的是,儘管技術更新換代已經成為了現代醫療產業提公升服務質量的重要戰略,相繼而來的醫療裝置安全問題,尤其是網路...