醫(yī)院正成為網(wǎng)絡(luò)犯罪分子眼里越來(lái)越誘人的目標(biāo)。醫(yī)院網(wǎng)絡(luò)規(guī)模龐大，這些網(wǎng)絡(luò)上的PC保持正常運(yùn)行至關(guān)重要，還有大部分與醫(yī)療保健相關(guān)的計(jì)算機(jī)系統(tǒng)在不受支持的操作系統(tǒng)上運(yùn)行，這意味著保護(hù)醫(yī)院免受網(wǎng)絡(luò)攻擊越來(lái)越復(fù)雜。

于是黑客趁機(jī)為非作歹，分發(fā)勒索軟件或企圖竊取有關(guān)患者的敏感個(gè)人數(shù)據(jù)。

現(xiàn)在，為了應(yīng)對(duì)網(wǎng)絡(luò)犯罪分子對(duì)醫(yī)院構(gòu)成的日益嚴(yán)重的威脅，尤其是由于醫(yī)療網(wǎng)絡(luò)越來(lái)越依賴物聯(lián)網(wǎng)和聯(lián)網(wǎng)設(shè)備，歐盟網(wǎng)絡(luò)安全機(jī)構(gòu)ENISA發(fā)布了有關(guān)改善醫(yī)院網(wǎng)絡(luò)防御的建議。

雖然初衷針對(duì)醫(yī)療保健業(yè)，但是大多數(shù)建議適用于更廣泛的領(lǐng)域。

ENISA的執(zhí)行董事Juhan Lepassaa說(shuō)：“該機(jī)構(gòu)竭力確保歐洲的醫(yī)療行業(yè)網(wǎng)絡(luò)安全，而 保護(hù)患者并確保我們醫(yī)院的彈性是這項(xiàng)工作的一個(gè)重要部分。”

《醫(yī)院網(wǎng)絡(luò)安全采購(gòu)指南》白皮書(shū)推薦了十條優(yōu)秀實(shí)踐，讓醫(yī)療行業(yè)提高應(yīng)對(duì)網(wǎng)絡(luò)攻擊的能力。

1. 讓IT部門(mén)參與采購(gòu)

這聽(tīng)起來(lái)很簡(jiǎn)單，但是一開(kāi)始讓IT部門(mén)參與采購(gòu)可以確保在技術(shù)采購(gòu)過(guò)程的每一步都考慮到網(wǎng)絡(luò)安全，因?yàn)榭梢跃托录夹g(shù)如何與現(xiàn)有網(wǎng)絡(luò)相適應(yīng)、需要另外采取哪些安全措施提出建議。

2. 實(shí)施漏洞識(shí)別和管理流程

這是不完美的世界，好多產(chǎn)品含有漏洞，有的是已知漏洞，而有的是尚未發(fā)現(xiàn)的漏洞。制定一項(xiàng)策略來(lái)管理設(shè)備整個(gè)生命周期中的漏洞，可以幫助安全團(tuán)隊(duì)控制潛在的安全隱患。

3. 為軟硬件的更新制定策略

安全研究人員常常會(huì)發(fā)現(xiàn)設(shè)備和操作系統(tǒng)中的新漏洞。然而，醫(yī)療網(wǎng)絡(luò)在確保已打上補(bǔ)丁方面做得很糟糕——這是WannaCry勒索軟件當(dāng)初嚴(yán)重影響NHS的原因之一。該白皮書(shū)建議IT部門(mén)確定在每一個(gè)網(wǎng)段中打上補(bǔ)丁的最合適時(shí)機(jī)，并為無(wú)法打補(bǔ)丁的系統(tǒng)確定變通辦法，比如分段。

4. 增強(qiáng)無(wú)線通信的安全控制

應(yīng)通過(guò)嚴(yán)格的控制措施限制對(duì)醫(yī)院網(wǎng)絡(luò)的訪問(wèn)，這意味著應(yīng)監(jiān)控和了解所連接設(shè)備的數(shù)量，以便識(shí)別任何企圖獲得訪問(wèn)權(quán)限的意外或不需要的設(shè)備。該白皮書(shū)建議，未經(jīng)授權(quán)的人員不應(yīng)該訪問(wèn)Wi-Fi，網(wǎng)絡(luò)密碼應(yīng)是強(qiáng)密碼。

5. 制定測(cè)試策略

購(gòu)買(mǎi)新計(jì)算產(chǎn)品的醫(yī)院應(yīng)建立一套最低限度的安全測(cè)試，對(duì)添加到網(wǎng)絡(luò)中的新設(shè)備進(jìn)行測(cè)試，包括一旦設(shè)備添加到網(wǎng)絡(luò)上就進(jìn)行滲透測(cè)試，充分考慮到黑客會(huì)企圖濫用設(shè)備。

6. 制定業(yè)務(wù)連續(xù)性計(jì)劃

只要系統(tǒng)故障可能會(huì)干擾醫(yī)院的核心服務(wù)（這里是患者護(hù)理），就應(yīng)該制定業(yè)務(wù)連續(xù)性計(jì)劃;在這種情況下，必須明確定義供應(yīng)商的角色。

7. 考慮互操作性問(wèn)題

機(jī)器傳輸信息和數(shù)據(jù)的能力是醫(yī)院能夠正常運(yùn)行的關(guān)鍵，但萬(wàn)一遭遇網(wǎng)絡(luò)攻擊或停機(jī)，這種能力可能會(huì)受到損害。如果這種運(yùn)行受到危及，醫(yī)院應(yīng)有備用計(jì)劃。

8. 對(duì)所有組件進(jìn)行測(cè)試

應(yīng)該定期測(cè)試系統(tǒng)，以確保它們提供良好的安全性，同時(shí)兼顧易用性和安全性——比如說(shuō)，IT部門(mén)應(yīng)確保用戶未將復(fù)雜的密碼更改為較簡(jiǎn)單的密碼。所有這些都應(yīng)在測(cè)試過(guò)程中加以檢查。

9. 允許審查和記錄

保留有關(guān)網(wǎng)絡(luò)上測(cè)試和活動(dòng)的日志，可以確保萬(wàn)一遭到攻擊，更容易跟蹤發(fā)生的事件以及攻擊者如何訪問(wèn)了系統(tǒng)，并且評(píng)估哪些信息受到了破壞。該白皮書(shū)說(shuō)：“保持日志安全是最重要的安全任務(wù)之一。”

10. 加密靜態(tài)和傳輸中的敏感個(gè)人數(shù)據(jù)

為了確保符合《數(shù)據(jù)保護(hù)通用條例》，并確保患者和員工的安全，應(yīng)該對(duì)敏感信息進(jìn)行加密，那樣如果外人確實(shí)可以訪問(wèn)系統(tǒng)，這些信息對(duì)他們來(lái)說(shuō)也可能無(wú)用。

如果遵循該建議，醫(yī)療保健機(jī)構(gòu)就可以確保盡可能保護(hù)好網(wǎng)絡(luò)、員工和患者，免受網(wǎng)絡(luò)攻擊。

責(zé)任編輯：Ct