網(wǎng)絡(luò)安全：首席信息官與首席信息安全官須知

-4-網(wǎng)絡(luò)安全：首席信息官與首席信息安全官須知首席信息官應(yīng)當(dāng)考慮使用基于角色的權(quán)限來(lái)訪問電子郵件、應(yīng)用程序以及其他資源。身份可以有多個(gè)關(guān)聯(lián)帳戶，假如管理人員能夠通過身份驗(yàn)證來(lái)管理敏感信息的訪問，并且保證打好網(wǎng)絡(luò)平安基礎(chǔ)，那么他們的防備措施就有可能大幅降低平安風(fēng)險(xiǎn)，避開發(fā)生事故、產(chǎn)生漏洞。

醫(yī)療行業(yè)在網(wǎng)絡(luò)平安方面具有獨(dú)特的地位。醫(yī)療行業(yè)是唯一一個(gè)旨在避開客戶重復(fù)訪問和供應(yīng)服務(wù)的行業(yè)。為避開重大醫(yī)療問題，更傾向于為個(gè)人健康建立可持續(xù)的模式，而不盼望看到急診成為常態(tài)。

雖然急診是危重治療的基礎(chǔ)，但定期檢查、預(yù)防性照護(hù)和其他低風(fēng)險(xiǎn)的干預(yù)措施始終是首選。從本質(zhì)上講，醫(yī)療保健正試圖供應(yīng)一個(gè)處理危機(jī)大事的常規(guī)程序。

數(shù)據(jù)到處可及

當(dāng)提到個(gè)人醫(yī)療的模式時(shí)，用于維護(hù)和檢查的數(shù)據(jù)并沒有中心儲(chǔ)存。通常它存在于全科、?？漆t(yī)生的辦公室、保險(xiǎn)公司或醫(yī)院。此外，有關(guān)保險(xiǎn)掩蓋范圍和支付金額的財(cái)務(wù)信息與全部這類信息混在一起，使得存儲(chǔ)數(shù)據(jù)的敏感度再度提升。

最終，科技在醫(yī)療領(lǐng)域發(fā)揮了巨大作用，包括從診斷設(shè)備到植入活體的醫(yī)療設(shè)備，以及從例行檢查到關(guān)鍵照護(hù)的過程。這些精密儀器和醫(yī)療機(jī)構(gòu)中任何一個(gè)服務(wù)器、工作站和物聯(lián)網(wǎng)設(shè)備都有類似的缺陷。它們與其他計(jì)算機(jī)受到黑客攻擊和破壞的風(fēng)險(xiǎn)全都，收到攻擊后可能危及患者生命。

從事特權(quán)管理、訪問管理和網(wǎng)絡(luò)平安的廠商BeyondTrust公司的首席技術(shù)官兼首席信息平安官M(fèi)oreyHaber說(shuō)："高管應(yīng)努力確保他們不是個(gè)人身份信息供應(yīng)鏈中最薄弱的一環(huán)。我們不是在一個(gè)平安的地點(diǎn)處理數(shù)據(jù)"。

依據(jù)定義，HIPAA法案為醫(yī)療信息與電子賬單供應(yīng)了重要的指導(dǎo)，并要求對(duì)受愛護(hù)的健康信息進(jìn)行愛護(hù)和保密處理。'

基于網(wǎng)絡(luò)平安凈化挑戰(zhàn)

Haber連續(xù)說(shuō)道，即使在十年之后，面臨的挑戰(zhàn)也體現(xiàn)在基本的網(wǎng)絡(luò)平安凈化方面：

●通過進(jìn)行漏洞評(píng)估、程序修補(bǔ)管理和特權(quán)訪問管理來(lái)維護(hù)資產(chǎn)平安

●使用平安流程和協(xié)議對(duì)數(shù)據(jù)進(jìn)行存儲(chǔ)、處理和備份

●刪除處理敏感數(shù)據(jù)的老舊操作系統(tǒng)

"從藥房、全科醫(yī)生到急診中心，任何患者都不知道醫(yī)療機(jī)構(gòu)是否在維護(hù)基本的網(wǎng)絡(luò)平安方面能夠愛護(hù)他們的信息。從統(tǒng)計(jì)上看，大多數(shù)醫(yī)療機(jī)構(gòu)都無(wú)法確?；颊咝畔⒌恼嬲桨?。'

依據(jù)2022年微軟發(fā)布的漏洞報(bào)告顯示，90%的漏洞都是與管理員的過度權(quán)限有關(guān)。BeyondTrust公司2022特權(quán)訪問威逼報(bào)告顯示，81%的漏洞始于密碼被盜或弱密碼。據(jù)Forrester討論表示，80%的違規(guī)行為是特權(quán)賬戶濫用或誤用的結(jié)果。

CIO和CISO可以做什么？

那么，CIO和CISO如何應(yīng)對(duì)愛護(hù)廣泛分散數(shù)據(jù)這一挑戰(zhàn)呢？Haber建議："CIO和CISO應(yīng)當(dāng)回到網(wǎng)絡(luò)平安的基礎(chǔ)，把它們做好。'這些基本要素包括：

●探究網(wǎng)絡(luò)上全部有價(jià)值的資源識(shí)別并移除設(shè)備影子。

●定期進(jìn)行漏洞評(píng)估和配置管理，以識(shí)別風(fēng)險(xiǎn)。

●對(duì)標(biāo)服務(wù)水平協(xié)議進(jìn)行程序修補(bǔ)管理以降低風(fēng)險(xiǎn)

●使用權(quán)限治理法來(lái)管理用戶、帳戶、權(quán)利和角色，防止不當(dāng)?shù)挠脩粼L問。

●使用特權(quán)訪問管理來(lái)愛護(hù)敏感帳戶不被濫用。

●使用平安的遠(yuǎn)程訪問技術(shù)供廠商訪問。

●確保從防病毒軟件、防火墻和VPN的平安防備是最新版本，定期維護(hù)，并審核設(shè)備預(yù)期壽命。

●制定應(yīng)急響應(yīng)方案并測(cè)試。

●考慮雇傭符合職業(yè)道德的白帽黑客來(lái)執(zhí)行測(cè)試

數(shù)據(jù)的實(shí)時(shí)性和可用性

個(gè)人醫(yī)療信息需要在任何時(shí)間、地點(diǎn)可用。這意味著，數(shù)據(jù)必需是實(shí)時(shí)的，并實(shí)時(shí)供應(yīng)給正確授權(quán)的個(gè)人。

盡管使數(shù)據(jù)始終保持可用不是一項(xiàng)難事，但保證正確的訪問特別困難。這就是為什么身份權(quán)限管理如此重要，它可以為員工創(chuàng)建適當(dāng)?shù)慕巧?，讓他們有?quán)訪問，并在權(quán)限受限時(shí)上報(bào)。

Haber補(bǔ)充道"首席信息官和首席信息官應(yīng)當(dāng)考慮使用基于角色的權(quán)限來(lái)訪問電子郵件、應(yīng)用程序以及其他資源。身份可以