醫療網絡安全:醫院提高網絡彈性的途徑
醫療保健行業中的網絡攻擊削弱了我們提供高質量醫療服務的能力,並可能危及患者的安全,甚至生命。不幸的是,黑客將醫療行業視爲主要目標,尤其是勒索軟件和數據隱私攻擊。我們都不想聽到醫院被入侵的消息,也不想成爲醫院裏必須處理後果的人。每次聽到違規事件,都令人感到不安。
網絡攻擊是不可避免的,但成功的攻擊並不一定總是成功。作爲醫療保健和網絡安全領域的領導者,必須格外警惕,了解漏洞,並爲組織提供盡可能最好的防御,即使面臨持續的預算限制和具有挑战性的網絡安全人才短缺。
以下是醫療行業最爲關心的三個領域。這些優先事項中的每一個都帶來了挑战和機遇:
IoMT設備的增長及其帶來的漏洞的增加
監管環境更具挑战性,不僅在技術方面,也在管理行政方面的能力方面。可利用自動化、人工智能和網絡安全整合來改善保護,並減輕預算和人員問題的影響。
1、確保IoMT安全
IoMT設備爲從業者提供了巨大的機會,可以提高護理質量,也可以讓患者從治療的重要進展中獲益。但這些設備的急劇增長給網絡安全部門帶來了壓力。這是爲什么?
- 更大的攻擊面
IoMT顯著增加了攻擊面。醫院總是擁有大量的IoMT設備,隨着對更多設備進行現代化改造,這個數字必然會繼續增長。
- 缺乏控制
作爲網絡安全團隊,我們無法像控制組織中的其他設備(甚至物聯網)那樣控制IoMT設備。制造商沒有一致的更新政策,物聯網設備往往存在很多漏洞。盡管其他地方的新法規規範了其使用,但制造商在安全性方面卻落後了。
- 缺乏可見性
對於看不見的東西,是無法提供保護的。對於許多醫療保健組織而言,全面了解IoMT設備必須是2023年及以後的首要任務。雖然,可將IoMT設備與網絡的其余部分隔離,但這並不能保證其不會受到攻擊,不過還是有助於更好地了解其。這樣,就可以看到漏洞在哪裏以及對手試圖如何利用,且僅允許IoMT設備通過防火牆進入網絡。
網絡安全整合是幫助降低物聯網風險的另一項舉措。通過整合,可以通過單個控制台獲得更大的可見性和控制力。雖然物聯網制造商在提供適當保護方面進展緩慢,但端的調整已在威脅嚴重影響運營之前將其阻止。
2、管理合規性
醫院不屬於關鍵基礎設施類別。但好在,隨着轉向NIS2,這種情況正在改變。
根據NIST和CIS指南,構建網絡安全框架,這有助於滿足監管合規要求。
小型醫院面臨的挑战之一是,尋找人力來應對不斷變化的監管環境,特別是在行政要求方面。
行政方面說到底就是一個人力挑战,許多醫療機構都面臨着合格人員短缺的問題。
3、利用自動化、人工智能和網絡安全整合
持續的人員短缺,是自動化、人工智能和網絡安全整合被視爲醫療保健行業首要任務的原因之一。利用機器能做的事情越多,就越能減輕自己和員工的負擔。使用整合來消除工具並集中管理控制台也是如此。
但自動化、人工智能和網絡安全不僅僅是解決當前人員挑战的短期解決方案,它們是網絡安全的未來。當涉及到日志排序或識別模式等任務時,人類不可能與機器競爭。人類可能是SOC可能採取的行動的最後一步,但人類必須依靠機器來幫助完成工作。
展望未來
除了這些優先事項之外,作爲網絡安全領導者,還應該採取其他措施來推動行業發展,並支持提供安全、高質量的現代醫療保健。
我們都受益於更多的知識共享。在網絡安全領域,特別是在醫療保健領域,都有一致的目標。
我們必須認識到局限性,但也要認識到優勢。就網絡安全而言,醫療保健可能不是收入最高的領域,但也有着巨大的機會爲社會做出貢獻。
標題:醫療網絡安全:醫院提高網絡彈性的途徑
地址:https://www.utechfun.com/post/323230.html