对医疗保健组织机构来说,如今真的比以前安全吗?要建立更有效的安全态势,这是一个时刻需要考虑的问题。
医疗行业形势不容乐观
过去,零售和金融服务行业是恶意攻击者最青睐的目标,而现如今,医疗保健行业也在主要攻击目标之列。发生这种变化的原因很简单:相比其它类型的个人可识别信息相比,受保护的健康信息(PHI)在暗网更有利可图。此外,医疗保健机构还保留着其它有用的数据,例如访问凭证、个人可识别信息和财务记录。
Distil Networks公司的首席执行官拉米·埃塞德,黑市上一份医疗档案售价高达3452元。
然而,大多数人并未意识到,医疗数据被盗远比信用卡和社保卡信息被窃更具破坏性。
第一,被窃医疗记录能被用来实施各种犯罪活动:更多的个人数据盗窃、支付卡欺诈、医疗保险欺诈等等。
第二,这些攻击通常会是持续性的,受害者在余生中可能还会受到影响。
不过,人们不得不被迫选择相信医疗保健组织机构会防止医疗数据外泄。不幸的是,许多医疗保健机构资源、预算和时间有限,还在为保护系统安全努力。
医疗保健行业的CISO(首席信息安全官)应注意哪些事项
埃塞德表示,医疗保健行业面临着满足合规的重重压力,例如美国健康保险携带和责任法案(HIPAA)、欧盟《通用数据保护条例》等通用数据保护规则、《支付卡行业数据安全标准》(PCI-DSS)等。
从另一行业转行到医疗保健行业的CISO需要了解行业形势。此外,CISO必须认识到,将安全整合到医疗保健机构的软件开发生命周期是一件困难的事。
埃塞德建议医疗保健行业的CISO首先应审查健康信息信任联盟(HITRUST)的共同安全框架(CSF)。
其次,许多医疗保健机构应熟悉NIST 800-53R4框架,尤其处理医疗保险和医疗补助服务中心(CMS)的医疗机构。美国政府将NIST 800-53R4框架作为安全计划的核心。
埃塞德建议从基础抓手,同时不要忘了API。
一般而言,医疗保健机构需要从以下基础做起:
培训、教育并提高员工对社交工程和内部威胁的意识。
更好地了解网络犯罪分子的动机,以及网络犯罪分子正在寻找的关键资产,之后采取相应的保护控制措施。
CISO应建立必要的安全审计、流程、程序和合规。
埃塞德认为,采用开放式Web应用程序安全项目(OWASP)安全开发指南不失为一个好主意,因为20个OWASP自动化威胁(OAT)中,有7个被认定为医疗保健行业的主要威胁。
此外,切勿忽视网站内容和API的访问控制,因为过去曾在用户界面传达的安全实践正向API后端转移。
埃塞德解释称,除了传递更快和易于集成的优势,使用API也存在一些安全优势。将这种逻辑集成到API有助于解决UI相关的一般安全问题。
网络犯罪分子会使用恶意程序(OWASP将其称之为自动化威胁)攻击登录屏幕、窃取患者记录,并执行账户欺诈活动。然而,有人使用网页数据抓取程序窃取独特内容,以提供保单报价。
他指出,不准确的报价会让客户沮丧,大肆抓取数据甚至可能会拖慢速度并导致宕机。虽然API拓宽了组织机构的攻击面,但同样的安全开发也可实施最佳实践保护组织机构。
本文转自d1net(转载)
