2月19日,在HIMSS17大会召开前一天,“HIMSS网络安全论坛”在美国奥兰多举行。论坛上,来自Intermountain、美国国家标准与技术研究所(NIST)、波士顿儿童医院、匹兹堡大学医学中心等机构的首席信息安全官(CISO)和首席信息官(CIO)针对医疗行业网络安全的现状、投入、挑战、威胁和风险,做了全方位的分析。
有评论认为,单独把网络安全作为论坛主题,并在HIMSS召开一整天的会谈,在某种程度上,就足以证明信息安全对医疗行业的重要程度。
论坛内容包含以下6大要点:
1.网络袭击越来越多。
和其他行业一样,过去几年,医疗行业遭遇的网络袭击次数也急剧上升。虽然不少袭击只是简单的恶意软件,攻击目标比较宽泛,但是针对性的钓鱼、恶意袭击却越来越多。假冒知名公司或个人的网络袭击屡见不鲜,甚至出现了针对高层管理人员的“鲸钓”(whaling)。
2014年,波士顿儿童医院曾成功战胜黑客,但其案例恰恰说明,在网络袭击面前,医疗系统无法置身事外。
2.医疗行业应对策略落后其他行业。
过去几年,不少行业和公司——尤其是金融和国防领域——在网络安全方面取得进步,但医疗行业相对滞后。医疗行业疏于防范,缺乏资金,不规范的合并、收购更让局面雪上加霜。
医疗机构有关网络袭击的信息共享也亟待发展。还有声音认为,医疗机构过于重视有形资产和基础设施,却忽视了数据。另外,在云服务、远程和移动数字系统面前,IT环境的界限也越来越模糊。
3.安全是个商业问题。
很多机构认为,网络安全是个技术问题,需要由技术部门出面解决。不过,大多数安全问题起源于技术领域之外,人事和程序都可能带来网络风险。有评论认为,需要由管理层出面支持,在整个机构打造有关安全防范的公司文化。
信息技术、机构战略必须和安保计划齐头并进,否则,网络安全项目很难取得成功。
4.云端安全性更高。
诸多发言人表示,一个管理良好、设计合理的云技术基础设施比传统的本地数据中心安全性更高。原因很简单,云服务供应商在设备、技术和管理方面已经达到一定高度。需要注意的是,必须围绕云服务制定周密的计划和标准。
5.认清风险,有效投资。
医疗机构本身应该加大网络安全投资,但仅此一项难以充分保障安全。在此之外,可联手进行网络风险评估的第三方机构,发现问题,再辅以内部评估,花合理的钱,办有效的事。
6.制定高标准。
良好的运营标准能显著降低组织的运营风险,充分践行这些标准,能取得事半功倍的效果。美国国家标准与技术研究所(NIST)制定的“网络安全框架”(Cybersecurity Framework)就颇受欢迎,而且相对简单。按照这一框架,医疗机构可以评估自身风险,并进行防范和应对。
为了保障网络数据安全,医疗机构还有很多工作要做。他们需要认清自身风险,加强沟通交流。好消息是,HIMSS最近建立了“网络安全社区”(Cybersecurity Community),每个月都会举行论坛,分享医疗行业在网络安全方面最新的进展和经验。
本文出处:畅享网
本文来自云栖社区合作伙伴畅享网,了解相关信息可以关注vsharing.com网站。
