2020年医疗行业面临的6大安全威胁
|
奥秘挟制体系举办挖矿,在全部行业都是一个日益严峻的题目。医疗保健行业行使的体系对付挖矿者是一个很诱人的方针,由于保持这些体系的运行至关重要。体系运行的时刻越长,犯法分子就越有也许通过发掘加密钱币赢利。Carpenter说道,在医院里,他们也许不会急于拔掉这些呆板的插头(假如猜疑有加密钱币挟制举动),(受传染的)呆板运行的时刻越长,犯法分子就受益越多。 这是假设医疗保健行业从业职员可以或许检测到加密钱币挟制举动。挖矿挟制代码不会危害体系,但会耗损大量的计较手段。人们最有也许在体系和出产力低落时发明它们。一些挖矿人会限定他们的代码来低落被检测到的风险。许多医疗机构没有IT或安详职员来辨认和应对这种加密钱币挟制进攻。 6. 入侵物联网装备 医疗装备安详多年来一向是医疗保健规模的一个热门题目,许多联网的医疗装备都很轻易受到进攻。题目的要害在于许多医疗装备的计划并没有思量到收集安详题目。在能打补丁的环境下,补丁凡是也只能提供有限的掩护。 按照 2019 年头爱迪德 (Irdeto) 环球互联财富收集安详观测陈诉,82% 的医疗机构暗示他们在已往 12 个月里经验过针对物联网装备的收集进攻。这些进攻造成的均匀财政影响为 346,205 美元。这些进攻造成的最常见影响是营业下线 (47%),其次是客户数据泄漏 (42%)和终端用户安详受损 (31%)。 在制造商开始制造更安详的装备之前,医疗保健行业懦弱的医疗和其他联网装备将一连带来风险。但更新、更安详的型号要代替旧型号装备还必要数年的时刻。 低落医疗安详风险的一些提议 增强对要害体系的维护和更新事变。那些老旧的未打补丁的体系作为要害装备被嵌入个中,这一究竟导致这些体系很是轻易受到打单软件的影响。这也许很坚苦,由于维护进程也许会粉碎要害体系或使供给商支持体系的手段受损。 在某些环境下,对付已知的裂痕没有可用的补丁。Carpenter 提议在供给商没有或不能修复或更新体系的环境下对他们施加压力,对供给商强势一些,问问他们为什么这些体系不能或没有更新,并从行业角度施加压力。 对员工举办培训。按照 KnowBe4 的研究,在培训员工辨认收集垂纶阴谋方面,医疗保健行业低于均匀程度。许多医疗机构局限都很小——不到 1000 名员工,这也许是一个缘故起因。Carpenter暗示,不只仅是汇报他们应该做什么,是要成立一个举动前提项目,逊??们不要点击垂纶链接。 这个项目会给员工发送模仿的垂纶邮件。点击这些链接的员工会当即收到反馈,汇报他们本身做了什么以及他们在将来怎样去做正确的工作。这样的项目可以发生庞大的影响。 假如可以或许一连举办培训,培训会发生结果。KnowBe4 的研究表白,拥有 250 到 999 名员工的医疗机构在颠末一年的收集垂纶培训和测试后,被收集垂纶的也许性可以从 27.85% 降落到 1.65%。 留意员工信息。收集垂纶进攻越本性化,乐成的机遇就越大。在鱼叉式垂纶进攻中,进攻者试图尽也许多地相识方针自己。Carpenter说道,假如 “不在办公室” 的回覆给出了可以接洽的人的名字,(进攻者)可以通过这些名单和相关来成立信赖。 增强防止和应对威胁的手段。Long说道,本身(对医疗安详)最担忧的一件事是,医护职员没有手段在发明变乱往后对其举办恰当的观测,没有手段对变乱举办记录和评估,也无法举办充实的取证,以共同法律或法令动作。医疗机构也穷乏可以或许举办彻底修复的事恋职员,有了这些事恋职员这种环境就不会再产生了。他的提议是:从员工或相助搭档哪里得到专业常识。而且安详性必要成为董事会和打点层的优先思量的事项,确定安详优先级后的第一步是确保你有一位具有相干履历的专职 CISO。 Long 暗示局限较小的医疗处事提供商也许没有资源雇佣 CISO,但他们如故必要优先思量安详性。他们也许必要在怎样得到一流的安详专业常识方面更具有缔造性。也许是通过相助相关或托管安详处事,但没有方案可以或许更换直接走上前说,“我的病人的安详必要获得保障,我必需举办相助,或在这里找到吻合的安详专业职员。”
【本文是51CTO专栏作者“李少鹏”的原创文章,转载请通过安详牛(微信公家号id:gooann-sectv)获取授权】 戳这里,看该作者更多好文
(编辑:湖南网) 【声明】本站内容均来自网络,其相关言论仅代表作者个人观点,不代表本站立场。若无意侵犯到您的权利,请及时与联系站长删除相关内容! |
