近日，陜西省各醫(yī)療衛(wèi)生機構(gòu)接到緊急通知：目前已有多家醫(yī)院中勒索病毒，要求做好勒索病毒防范。

特別是民營醫(yī)療衛(wèi)生機構(gòu)，凡是開通城鎮(zhèn)職工醫(yī)保的醫(yī)院請及時聯(lián)系硬件運營商，做好勒索病毒防范工作。請大家高度重視。全省已經(jīng)有多個醫(yī)院中勒索病毒，渭南市，商洛市也有。請盡快做好防護工作。有服務(wù)器的將服務(wù)器口令改為強口令，殺毒軟件更新至最新，服務(wù)器打勒索病毒補丁。

醫(yī)療行業(yè)在網(wǎng)絡(luò)安全領(lǐng)域是一個獨特的存在。它是唯一一個服務(wù)對象中大部分客戶和訪問都不重復的行業(yè)。它跟蹤個人健康的發(fā)展，以避免重大健康問題的出現(xiàn)。

邁向大健康時代，中國也在推動不同層面的醫(yī)療數(shù)據(jù)互聯(lián)互通，例如：北京市屬醫(yī)院電子病歷可以互相調(diào)閱，上海37家公立醫(yī)療機構(gòu)實現(xiàn)檢驗檢查互認...隨著越來越多的醫(yī)療健康系統(tǒng)互聯(lián)和數(shù)據(jù)互認，潛伏的安全隱患越來越多，影響范圍也越來越大，誰將成為醫(yī)療健康產(chǎn)業(yè)鏈上數(shù)據(jù)安全最薄弱的環(huán)節(jié)呢?

以下觀點來自BeyondTrust的首席技術(shù)官兼首席信息安全官Morey Haber，原文發(fā)布于HealthcareITNews，對于互聯(lián)互通時代用戶權(quán)限管理提供了一些實用的技能和管理理念。HC3i特翻譯成文，為各醫(yī)療衛(wèi)生機構(gòu)CIO提供參考。

醫(yī)療信息互聯(lián)互通，誰是產(chǎn)業(yè)鏈的安全“黑洞”?

當考慮到個人醫(yī)療保健模式時，進行跟蹤和檢查的數(shù)據(jù)并不在醫(yī)院信息管理的中心位置。數(shù)據(jù)可以在全科醫(yī)生的辦公室，護理科室，保險公司或社區(qū)醫(yī)院等。此外，保險和支付等財務(wù)信息與病歷等信息混雜在一起，為存儲的數(shù)據(jù)增加了一定程度的敏感性。

最后，科技在醫(yī)療保健領(lǐng)域發(fā)揮了巨大作用。從各類診斷設(shè)備到植入活體組織的醫(yī)療設(shè)備，從日常體檢到護理等都離不開各種設(shè)備。這些設(shè)備與服務(wù)提供方部署的服務(wù)器、工作站和物聯(lián)網(wǎng)設(shè)備都可能存在類似的安全缺陷，同樣可能受到黑客攻擊和破壞，從而對基本操作造成潛在干擾，并可能導致危及生命的情況。

“處于健康服務(wù)產(chǎn)業(yè)鏈條上的每一位高管，都應(yīng)努力確保他們不是個人身份信息供應(yīng)鏈中最薄弱的環(huán)節(jié)�！盉eyondTrust首席信息安全官莫雷·哈伯認為，千萬不能盲目自信。

“我們從不孤立地去考慮醫(yī)療數(shù)據(jù)安全問題。”他說，《健康保險可攜帶性和責任法案》(HIPAA)為制定電子賬單醫(yī)療信息的行業(yè)標準提供指導，并要求對受保護的健康信息進行保護和保密處理。

醫(yī)療信息互聯(lián)互通，90%漏洞源自管理員權(quán)限過多

即使在十年之后，要對醫(yī)療數(shù)據(jù)安全保護進行全局考慮，仍然面臨諸多挑戰(zhàn)，這也體現(xiàn)在基本的網(wǎng)絡(luò)安全衛(wèi)生方面。

通過執(zhí)行漏洞評估、修補程序管理和特權(quán)訪問管理來維護安全資產(chǎn)。

采用安全的流程和協(xié)議進行數(shù)據(jù)存儲、處理和備份。

刪除報廢操作系統(tǒng)，并處理敏感數(shù)據(jù)。

如果全面考慮醫(yī)療信息存在的所有地點，從藥店、診所、急診、醫(yī)院，任何消費者都無法知道醫(yī)療衛(wèi)生機構(gòu)是否在維護基本的網(wǎng)絡(luò)安全衛(wèi)生以保護他們的信息。事實上，他們中的許多人可能并沒有保護好網(wǎng)絡(luò)安全衛(wèi)生。從統(tǒng)計上看，大多數(shù)違規(guī)行為都是基于基本衛(wèi)生方面的缺陷。

根據(jù)2018年微軟漏洞報告，90%的漏洞與管理員權(quán)限過多有關(guān)。BeyondTrust 2018特權(quán)訪問威脅報告顯示，81%的漏洞始于被盜和/或弱密碼。據(jù)forrester研究，80%的違規(guī)行為是特權(quán)賬戶濫用或濫用的結(jié)果。

“事實上，我認為這是HIPPA的一個缺陷，”Haber說。正如隱私保護計劃、PCI和其他數(shù)據(jù)隱私法案一樣，開發(fā)一個評級系統(tǒng)來對醫(yī)療服務(wù)提供商的網(wǎng)絡(luò)安全衛(wèi)生進行評級，并將這些評級結(jié)果向消費者和其他提供商公開，將是一件好事。這將類似于餐廳的健康評級，人們和組織可以確定他們是否可以信任一個組織，把自己的個人隱私信息交給他們。”

九招，不做醫(yī)療健康產(chǎn)業(yè)鏈安全最薄弱一環(huán)!

那么，醫(yī)療保健服務(wù)機構(gòu)的CIO可以做些什么來應(yīng)對分散醫(yī)療數(shù)據(jù)數(shù)據(jù)這一挑戰(zhàn)呢?

哈伯建議：“首席信息官和首席信息官應(yīng)該回到網(wǎng)絡(luò)安全的基礎(chǔ)上來，把它們做好�！贬t(yī)療保健服務(wù)機構(gòu)的高管應(yīng)努力確保他們不是個人識別信息供應(yīng)鏈中最薄弱的環(huán)節(jié)。

哈伯建議，這些基本要素包括：

盤點網(wǎng)絡(luò)上的所有資產(chǎn)和資源。識別并移除任何影子IT或流氓設(shè)備。

定期進行漏洞評估和配置管理，以識別風險。

執(zhí)行修補程序管理，采用服務(wù)分級協(xié)議讓IT和供應(yīng)商承擔風險緩沖。

采用身份管理方法來管理用戶、帳戶、權(quán)利和角色，以預防不適當?shù)挠脩粼L問。

執(zhí)行訪問權(quán)限管理以保護敏感帳戶不被濫用。

供應(yīng)商訪問時需使用安全的遠程訪問技術(shù)，以避免不受控制的資產(chǎn)被破壞。

確保防病毒、防火墻、VPN的安全防御及時更新，在維護范圍內(nèi)并定期審查預期壽命。

制定事件響應(yīng)計劃并進行測試。

招聘白帽道德黑客進行滲透測試，檢查高級和潛在的持久性缺陷，這些缺陷可能被黑客利用。

特別強調(diào)：CIO不應(yīng)該用賬戶訪問敏感信息

從日常護理到急診室的重癥護理，個人健康信息需要在任何時間或任何地點都可獲得。這意味著數(shù)據(jù)必須是實時的，并且可以隨時提供給適當授權(quán)的個人。

讓數(shù)據(jù)持續(xù)可用不是一個挑戰(zhàn)，但確定適當?shù)脑L問可能非常困難。這就是為什么身份管理中使用身份和訪問管理系統(tǒng)是如此的重要，它可以為員工創(chuàng)建適當?shù)慕巧�，讓他們有�?quán)訪問，并提供認證報告以確定訪問是否合適。

“CIO不應(yīng)該考慮使用賬戶訪問敏感信息，”哈伯建議，他們應(yīng)該考慮以身份的形式進入。從電子郵件到應(yīng)用程序、資源訪問，身份可以有多個與之關(guān)聯(lián)的帳戶。如果管理人員能夠在身份、人等更高的層次上管理敏感信息的訪問，并且能夠很好地執(zhí)行網(wǎng)絡(luò)安全基礎(chǔ)操作，那么他們的防御措施就很有可能大幅降低安全風險，避免發(fā)生事故最終導致違規(guī)�！�