应对网络安全 医疗机构远落后其他行业

2月19日，在HIMSS17大会召开前一天，“HIMSS网络安全论坛”在美国奥兰多举行。论坛上，来自Intermountain、美国国家标准与技术研究所(NIST)、波士顿儿童医院、匹兹堡大学医学中心等机构的首席信息安全官(CISO)和首席信息官(CIO)针对医疗行业网络安全的现状、投入、挑战、威胁和风险，做了全方位的分析。

有评论认为，单独把网络安全作为论坛主题，并在HIMSS召开一整天的会谈，在某种程度上，就足以证明信息安全对医疗行业的重要程度。

论坛内容包含以下6大要点：

1.网络袭击越来越多。

和其他行业一样，过去几年，医疗行业遭遇的网络袭击次数也急剧上升。虽然不少袭击只是简单的恶意软件，攻击目标比较宽泛，但是针对性的钓鱼、恶意袭击却越来越多。假冒知名公司或个人的网络袭击屡见不鲜，甚至出现了针对高层管理人员的“鲸钓”(whaling)。

2014年，波士顿儿童医院曾成功战胜黑客，但其案例恰恰说明，在网络袭击面前，医疗系统无法置身事外。

2.医疗行业应对策略落后其他行业。

过去几年，不少行业和公司——尤其是金融和国防领域——在网络安全方面取得进步，但医疗行业相对滞后。医疗行业疏于防范，缺乏资金，不规范的合并、收购更让局面雪上加霜。

医疗机构有关网络袭击的信息共享也亟待发展。还有声音认为，医疗机构过于重视有形资产和基础设施，却忽视了数据。另外，在云服务、远程和移动数字系统面前，IT环境的界限也越来越模糊。

3.安全是个商业问题。

很多机构认为，网络安全是个技术问题，需要由技术部门出面解决。不过，大多数安全问题起源于技术领域之外，人事和程序都可能带来网络风险。有评论认为，需要由管理层出面支持，在整个机构打造有关安全防范的公司文化。

信息技术、机构战略必须和安保计划齐头并进，否则，网络安全项目很难取得成功。

4.云端安全性更高。

诸多发言人表示，一个管理良好、设计合理的云技术基础设施比传统的本地数据中心安全性更高。原因很简单，云服务供应商在设备、技术和管理方面已经达到一定高度。需要注意的是，必须围绕云服务制定周密的计划和标准。

5.认清风险，有效投资。

医疗机构本身应该加大网络安全投资，但仅此一项难以充分保障安全。在此之外，可联手进行网络风险评估的第三方机构，发现问题，再辅以内部评估，花合理的钱，办有效的事。

6.制定高标准。

良好的运营标准能显著降低组织的运营风险，充分践行这些标准，能取得事半功倍的效果。美国国家标准与技术研究所(NIST)制定的“网络安全框架”(Cybersecurity Framework)就颇受欢迎，而且相对简单。按照这一框架，医疗机构可以评估自身风险，并进行防范和应对。

为了保障网络数据安全，医疗机构还有很多工作要做。他们需要认清自身风险，加强沟通交流。好消息是，HIMSS最近建立了“网络安全社区”(Cybersecurity Community)，每个月都会举行论坛，分享医疗行业在网络安全方面最新的进展和经验。（来源：健康界，文/王琦琛（编译））

原文来源：Becker’s Hospital Review

原文标题：Six Takeaways on Healthcare Cybersecurity from the 2017 HIMSS Forum

微信扫一扫实时了解行业动态

微信扫一扫分享本文给好友