网络|构建防御文化 确保医院网络安全
Organization-wide cybersecurity: Creating a culture of defense
编译自:Quick Safety,Issue62,October 2021,The Joint Commission
【问题】
网络安全不再被视为单单是IT部门的职责,而是所有能够访问数字信息、电子健康记录、互联网和网络资源的工作人员的责任。如果他们成为通常说的网络钓鱼的牺牲品,那么他一个人就可能危及整个组织的安全。预防需要一种自上而下的组织方法,让所有工作人员不断提高网络安全意识并做好防范,这一概念有时被称为“人
类防火墙”。
建立一个网络安全项目对于医疗机构来说尤其具有挑战性。医疗保健的数字化转变意味着来自整个组织的更多信息将存储在网上。设备操作需求,互操作性规则,通常都优先考虑信息的速度和可访问性,而不是信息安全。此外,许多机构使用一个公共网络,该网络集成了临床系统、医疗系统、商务系统、物理安全和建筑物管理等多个方面。远程医疗、远程患者监控和以患者为中心的数字工具,如移动健康跟踪应用程序和患者门户,将医疗系统的数字景观远远扩展到物理校园之外。
与此同时,对于黑客来说,医疗数据的价值是信用卡信息的十倍。勒索软件攻击者知道医疗服务的网络瘫痪可能会危及患者的生命,因此他们将医疗机构视为非常理想的目标。为了确保医疗数据的安全并保护医疗装备,医疗机构必须防范各种各样的攻击,并教信息部门员工在黑客不断调整其策略的过程中预见不可预测的情况。考虑到勒索软件攻击者的创造力,组织应该提升到业务连续性的高优先级计划——包括注意数据备份的频率和备份的位置,以便尽快恢复组织正常功能。
【应考虑的安全措施】
建立网络安全文化或人类防火墙需要认识到网络安全威胁,包括评估存在的威胁类型,以及纳入组织各级的防范战略。可以采取以下行动来帮助机构防范和抵御网络安全事件。
【 网络|构建防御文化 确保医院网络安全】 领导层在网络安全文化中的作用
最重要的是,创造一种自上而下的网络安全文化。
将对网络安全威胁的感知和组织防范的应急方案作为机构工作职责的一部分。
认识到网络安全威胁的范围始终在不断演变,而且是在机构任何地方都可发生的。
通过要求了解机构组织各层级的网络安全漏洞来构建人类防火墙。
认识到网络安全是患者医疗照护过程的一个非常重要和必要的组成部分。
指定一名首席信息安全官,负责协调提高网络安全意识的工作。
制定一个可以快速实施的强大的业务连续性计划,以保护最多的数据和信息量,并能使组织及时恢复工作状态。
员工教育与培训
不仅为临床医生,而应该为所有员工制定培训计划,包括在职培训课程。
定期评估员工,以确定他们是否能适当地应对“测试”网络挑战。
培训员工以预测非常规的网络入侵。
为组织内的不同职位定制适当的培训,并考虑到特定员工角色所使用的技术。
应急管理
从“何时事件将发生”而不是“如果事件发生”的角度制定网络安全防范措施。
将对网络安全攻击的响应作为组织应急防范计划的一部分。
在应对网络入侵时,包括对任何数据的泄露进行必要的报告和披露。
IT安全团队资源
利用如网络保险运营商、网络安全、基础设施安全局(CISA)、卫生保健和公共卫生(HPH)部门协调委员会、互联网犯罪投诉中心(IC3)和国家标准与技术研究所(NIST)等知名来源的免费可用的资源。
在需要时投资于安全工具和资源。
推荐阅读
- 赛道|安全419年度盘点丨2021年网络安全产业资本看好哪些赛道?
- 山东省|山东省互联网传媒集团与山东云天安全技术有限公司签署战略合作协议共建大众云天网络安全联合实验室
- 韩旭东|新趋势 新技术 新机遇 “大众云天网络安全联合实验室”助推山东省网络安全能力再提升
- 山东省委网信办|新趋势 新技术 新机遇“大众云天网络安全联合实验室”助推我省网络安全能力再提升
- 安全系统|拜登下令加强网络安全:使用双重身份验证和加密术
- 山东云天安全技术有限公司|山东省互联网传媒集团与山东云天安全技术有限公司签署战略合作协议 共建大众云天网络安全联合实验室
- 数字安全|沃尔玛因违反我国《网络安全法》受处罚 360呼吁企业重视数字安全
- 壹站传媒|企业负面舆情信息如何处理,网络舆情管理的意义及方法| 网络
- 欧盟委员会|欧洲议会通过《数字服务法》加强网络巨头经营监管
- 互联网|网络平台拆掉“围墙”活力增