6月
2017
思想领袖问答:医疗保健可以信任其安全措施吗?
李·德奥里奥著
郑重声明
第二十九卷第六页
医疗行业哪一天没有数据泄露的新闻?犯罪范围从勒索软件和医疗身份盗窃到无意暴露和普通的窥探。在所有可能的情况下,这将需要行业的各个方面共同努力,以保持数据的相对安全,并提高消费者的信心。
为了进一步了解情况,以及如何帮助阻止恶意行为,FTR采访了Gurucul的首席执行官Saryu Nayyar。Gurucul是一家基于身份的威胁情报技术提供商。Nayyar是公认的信息安全、身份和访问管理以及安全风险管理方面的专家,在建立Gurucul之前,他曾在Oracle和Sun Microsystems担任产品战略方面的领导职务。她还在Ernst & Young的IT安全实践中担任了几年的高级职位。
功能处理量:网络安全专业人员短缺吗?如果是这样,医疗机构从哪里找到合格的人才?
SN:是的,网络安全专业人员的短缺是有据可查的;然而,更多的人并不总是正确的答案—主要是因为许多医疗保健安全挑战无法通过手动方法解决—例如,监控外部攻击者或恶意内部人员对emr的未经授权访问和使用(HIPAA要求)。访问事务的绝对数量使人工安全评估变得不可能。机器学习和安全分析等创新可以自动检测风险,从而减少人力工作量。使用新技术,让更少的安全专业人员专注于需要人工调查的高风险事件,是解决合格专家短缺的更现实的方法。
功能处理量:在保护数据方面,医疗机构如何相互帮助?
SN:对等组共享可疑活动和威胁是检测针对医疗机构的新攻击(如勒索软件)的一种非常有效的方法。此外,通过国家卫生信息共享与分析中心[NH-ISAC] (www.nhisac.org)是学习行业最佳做法(包括早期采用者正在实施的新方法和缓解战略)的绝佳途径。
功能处理量:攻击大多是可以预防的吗?
SN:如果攻击很容易预防,那么我们就不会看到未被发现的安全漏洞平均停留时间超过229天,也不会看到连续不断的数据盗窃事件成为头条新闻。由于云计算和移动计算,网络边界逐渐消失,攻击逃避基于签名、模式和规则的预防性防御,实现可接受的预防和检测水平变得更加困难。医疗保健IT环境越来越分散,用户、应用程序和数据分布在许多设备、位置和网络中。
人不是绝对正确的。他们会犯错误,点击不该点击的附件,或者密码被盗,或者被网络钓鱼,从而进入网络。但是,使用分析的基于风险的身份验证和基于风险的数据传输评估等技术可以预测、预防、阻止和检测攻击。
功能处理量有可能比黑客领先一步吗?
SN:领先于攻击者的一种方法是减少他们可以瞄准和妥协的攻击面,并使用分析来实时监控行为以检测异常情况。这包括传统的做法,如漏洞评估和修补软件、端点和服务器中的缺陷。
最近,出现了一种新的方法,重点是使用机器学习技术来保护身份。这个想法是移除多余的访问权限,以减少网络钓鱼和社会工程攻击的表面积,这些攻击通常被用来劫持帐户并在医疗保健网络中获得立足点。在某些情况下,机器学习模型可用于对权利和活动进行风险评分,以检测特权访问或可能不必要且应被撤销的访问的异常使用。清理访问权限是一种主动的方式,可以与持续监控异常活动相结合,领先黑客一步。
功能处理量黑客如何决定攻击哪些设施?
SN:这取决于攻击者的性质和他们的目标。在勒索软件等金融攻击中,医疗保健等特定行业的组织通过网络钓鱼电子邮件和其他社会工程技术成为攻击目标。如果一个特定的组织是预定的受害者,就会发生更多有针对性的攻击。在这种情况下,攻击者可能会在数天、数周或数月的时间内进行侦察,以确定IT基础设施中的弱点,这些弱点可以被利用来破坏网络安全边界,或者可以用来从外部窃取数据的面向外部的web应用程序中的缺陷。
功能处理量技术还是人是最好的防御?
SN:答案是人、流程和技术的结合。一个很好的类比是智能手机,它使用地图和GPS数据来帮助用户避免拥堵和事故,语音识别和各种警报。人类的决策正在被智能逐年提高的更智能、无摩擦的技术所辅助。安全才刚刚开始,在机器学习和分析的使用方面,在许多方面都落后于其他学科。
功能处理量:对于成为勒索软件受害者的组织,您有什么建议?
SN:在拥有充足IT预算的理想情况下,防止外部访问的频繁数据备份是最好的保护。然而,一旦组织受到勒索软件的威胁,复制数据的成本与支付赎金的成本就成了一个商业风险决策。每种情况都是独特的,支付赎金的决定取决于许多变量。公司应该制定一个计划,在应对勒索软件攻击的同时保持运营。他们还应该在攻击发生前就如何回应客户和媒体制定计划。
功能处理量:医疗保健行业可以向其他行业学习什么?
SN:多年来,金融机构一直是黑客的主要目标,因为成功的数据泄露可以很容易地获利。然而,医疗保健数据现在对于出于经济动机的攻击来说变得更加有价值。NH-ISAC的前身是金融服务信息共享与分析中心[FS-ISAC] (www.fsisac.com)。FS-ISAC率先使用了几乎所有常见的安全措施和当今可用的最佳实践。假设他们像金融服务组织一样经常受到攻击,这是一个很好的教训,可供医疗保健机构学习和采取行动。
功能处理量:该行业如何缓解患者对数据极度脆弱的担忧?
SN:美国的医疗保健组织被要求转向电子病历,但很少考虑实施适当的数据保护和访问管理措施。减轻患者对数据漏洞的担忧的唯一方法是遏制数据泄露和披露的浪潮。投资使用机器学习和分析来完成人类无法完成的任务的新技术,以及信息共享,是朝着正确方向迈出的两步。
多年来,攻击者一直在使用工具、自动化和协作来领先安全措施一步;医疗保健也必须这样做。能够更早地预测、检测和预防攻击将有助于减轻恐惧。没有一家企业或首席执行官希望因为重大数据被盗而成为媒体的特写。
-李·德奥里奥是郑重声明.
