對醫療保健組織機構來說,如今真的比以前安全嗎?要建立更有效的安全態勢,這是一個時刻需要考慮的問題。
醫療行業形勢不容樂觀
過去,零售和金融服務行業是惡意攻擊者最青睞的目標,而現如今,醫療保健行業也在主要攻擊目標之列。發生這種變化的原因很簡單:相比其它類型的個人可識別信息相比,受保護的健康信息(PHI)在暗網更有利可圖。此外,醫療保健機構還保留著其它有用的數據,例如訪問憑證、個人可識別信息和財務記錄。
Distil Networks公司的首席執行官拉米·埃塞德,黑市上一份醫療檔案售價高達3452元。
然而,大多數人并未意識到,醫療數據被盜遠比信用卡和社保卡信息被竊更具破壞性。
第一,被竊醫療記錄能被用來實施各種犯罪活動:更多的個人數據盜竊、支付卡欺詐、醫療保險欺詐等等。
第二,這些攻擊通常會是持續性的,受害者在余生中可能還會受到影響。
不過,人們不得不被迫選擇相信醫療保健組織機構會防止醫療數據外泄。不幸的是,許多醫療保健機構資源、預算和時間有限,還在為保護系統安全努力。
醫療保健行業的CISO(首席信息安全官)應注意哪些事項
埃塞德表示,醫療保健行業面臨著滿足合規的重重壓力,例如美國健康保險攜帶和責任法案(HIPAA)、歐盟《通用數據保護條例》等通用數據保護規則、《支付卡行業數據安全標準》(PCI-DSS)等。
從另一行業轉行到醫療保健行業的CISO需要了解行業形勢。此外,CISO必須認識到,將安全整合到醫療保健機構的軟件開發生命周期是一件困難的事。
埃塞德建議醫療保健行業的CISO首先應審查健康信息信任聯盟(HITRUST)的共同安全框架(CSF)。
其次,許多醫療保健機構應熟悉NIST 800-53R4框架,尤其處理醫療保險和醫療補助服務中心(CMS)的醫療機構。美國政府將NIST 800-53R4框架作為安全計劃的核心。
埃塞德建議從基礎抓手,同時不要忘了API。
一般而言,醫療保健機構需要從以下基礎做起:
培訓、教育并提高員工對社交工程和內部威脅的意識。
更好地了解網絡犯罪分子的動機,以及網絡犯罪分子正在尋找的關鍵資產,之后采取相應的保護控制措施。
CISO應建立必要的安全審計、流程、程序和合規。
埃塞德認為,采用開放式Web應用程序安全項目(OWASP)安全開發指南不失為一個好主意,因為20個OWASP自動化威脅(OAT)中,有7個被認定為醫療保健行業的主要威脅。
此外,切勿忽視網站內容和API的訪問控制,因為過去曾在用戶界面傳達的安全實踐正向API后端轉移。
埃塞德解釋稱,除了傳遞更快和易于集成的優勢,使用API也存在一些安全優勢。將這種邏輯集成到API有助于解決UI相關的一般安全問題。
網絡犯罪分子會使用惡意程序(OWASP將其稱之為自動化威脅)攻擊登錄屏幕、竊取患者記錄,并執行賬戶欺詐活動。然而,有人使用網頁數據抓取程序竊取獨特內容,以提供保單報價。
他指出,不準確的報價會讓客戶沮喪,大肆抓取數據甚至可能會拖慢速度并導致宕機。雖然API拓寬了組織機構的攻擊面,但同樣的安全開發也可實施最佳實踐保護組織機構。
京公網安備 11010502049343號