8月2017

快速反应可以限制网络攻击的损害
Selena Chavis著
郑重声明
第二十九卷第八页

业内专业人士对一个精心设计的应对计划的特点发表了看法。

网络攻击对当今的医疗保健利益攸关方构成了明显而现实的危险。事实上，这种威胁是如此的主流，以至于许多行业专业人士认为，问题不再是攻击是否会发生，而是何时发生。

在组织层面上，响应计划为有效的防御和缓解战略提供了基础。Sharecare的健康数据服务业务部门总裁吉姆•贝利表示，尽管各种规模和行业的组织都在不断遭受网络攻击，“如果其中一个攻击成功地突破了你的防御，那么网络响应计划，或我们所说的事件响应计划，可能会极大地影响攻击的结果。由于系统、网络和应用程序的复杂性，要从网络事故中进行适当的检查和恢复，既困难又耗时。”

埃克特律师事务所(Eckert Seamans Cherin & Mellott)数据安全和隐私业务组创始人兼主席、法学博士桑迪•加芬克尔表示，当网络事件发生时，医疗机构绝对没有时间。“违规反应是一场与时间赛跑的游戏。调查事件、召集响应团队成员和决策者、确定受影响人员、调集资源、创建和发布通知所花费的时间越长，实体受到的影响就越大，”他解释说，并补充说，风险来自多个方向，包括私人索赔、监管调查和股东诉讼。

因此，准备就绪对于最大限度地减少影响至关重要，MRO(一家信息披露管理公司)隐私、合规和HIM政策副总裁、MA、RHIA、CHPS、CHPC、SSGB的Rita Bowen说，并补充说，医疗机构必须通过事件响应团队保持警惕和积极主动。beplay最新备用网站“在MRO，我们有一个隐私和安全事件响应小组和一个数据保护指导委员会，”她指出。“为了积极主动，数据保护指导委员会正在研究医疗保健环境中发生的事件，并提出这样的问题:如果这发生在我们身上怎么办?我们会根据需要修改流程和政策，以确保做好准备。”

MRO IT副总裁、CISSP安东尼•穆雷(Anthony Murray)表示，这类具体的“假设”场景对于完善的网络响应计划越来越重要。他说:“我们看到的是，有必要对当今世界上发生的事件和事件类型变得更加具体。”“计划往往失败的一些原因是它们有非常笼统的指导方针和一般行为。为了在今天真正发挥作用，我们需要非常具体的职责和责任。”

贝利说，如果没有对网络响应计划的这种关注，将会产生许多后果，包括遭受直接的经济影响。还有一些间接的后果。例如，组织可能不得不花费资源来保持客户和业务单位对系统影响的更新。组织还可能面临停机、遏制时间、敏感记录泄露的恢复时间以及合规性或合同处罚等后果。beplay最新备用网站

网络应对101:奠定基础
Murray说，网络响应应该成为组织总体治理计划的一部分。业内专业人士建议，对于任何网络响应策略，以下组成部分都是基础:建立事件响应团队、准备和预防、事件识别后的程序以及响应协议。

事件应变小组
根据加芬克尔的说法，一个高绩效的团队包括以下几点:

•公司团队领导;
•法律顾问和/或外部顾问;
•它;
•传播/公共关系;和
•风险管理。

根据事件的性质，通常需要其他部门和外部资源。例如，如果一个组织有网络责任保险，Bowen指出，运营商将需要被通知。

准备和预防
穆雷说，通常最好的防守是主动进攻。医疗保健组织应该花时间充分构建员工能力，然后部署最小化“攻击面”所需的工具、技术和技巧。

事件识别后的程序
Garfinkel表示，在发现漏洞或事件后，网络响应团队将需要回答以下关键的初步问题:

•谁来通知团队中的每个人?
•团队在哪里会面?
•如何让远程团队成员参与讨论?

响应协议
Murray说，一旦确定了事件，响应协议就会立即启动，并指出团队成员必须迅速确认事件和来源。然后开始封锁和隔离。他解释说:“这是你开始分析的地方，通过限制可能存在危险的数据来最小化影响。”然后，团队可以继续进行威胁根除、清理和恢复，或者恢复正常。制定了通知受泄露影响的人员的通信策略，然后进行事件后分析。

加芬克尔详细阐述了以下七种应对方案:

•确认事件和来源;
•查明原因，保存证据;
•修复;
制定内部和外部沟通计划;
•通知受影响的人和监管机构;
•及时提交内部报告;和
•关闭。

穆雷说，总的来说，医疗机构理解并接受这些策略，尽管是在竖井里——通常是在隐私和安全方面发挥关键作用的部门。“医疗保健面临的挑战是:我们如何在整个组织中传播这一信息?你如何让运营人员充分参与进来?”

Bowen表示，隐私和安全是所有员工的责任，而不仅仅是IT部门。通过这种方式，如果发生诸如网络钓鱼邮件之类的事件，那么员工就会了解情况，认识到该事件并相应地向适当的责任方报告该事件。她说:“为了帮助MRO员工在打开附件或点击链接之前识别和确保电子邮件发件人的有效性，我们将所有来自MRO网络之外的电子邮件都标记为来自MRO组织之外的声明。”“保持这种持续的意识很重要。”

持续维护和可持续性
贝利指出，医疗保障是一种不稳定的情况，所有的计划都应该被视为“活文件”，定期进行审查、更新和测试。“维护确保供应商和关键的内部和外部联系信息是最新的，”他说。“此外，威胁是不断变化的，因此需要在事件响应计划中加以适当处理。”

例如，如果事件响应团队成员经常处于“救火模式”，他们将花费宝贵的时间做出反应和响应，而不是更新和测试关键计划。贝利说，如果这个计划不能提供准确的内容，它的价值就会降低。

穆雷指出，持续的可持续性始于高管的支持，确保资金可用于部署配备适当人员的网络响应计划。为了使计划保持最新和相关，工作人员必须致力于领先于州和地方法律以及医疗保健领域的具体变化。“计划必须不断调整，”他解释说。“勒索软件在不断进化。组织可能需要引入新技术来应对变化和新威胁。”

穆雷说，仅仅一年半以前，MRO对勒索软件的反应还不是很正式。当组织进行基础设施更新时，它抓住机会构建技术和可恢复性，以提供更细粒度的恢复点目标。这将实现更快速的数据备份、更高的精度和更快的恢复。现在，该组织有了一个更正式的勒索软件计划，可以帮助它避免陷入必须协商数据或接受数据丢失的境地。

Garfinkel表示，虽然有公共资源可以帮助实体制定网络事件响应计划，但最好的方法是利用在事件规划和响应方面有经验的律师的服务。他表示:“这为公司提供了最佳机会，可以根据特定实体的结构和目的量身定制有效的计划。”

测试的关键作用
业内专业人士一致认为，在实际事件发生之前实施网络事件响应计划是最有效的。Garfinkel说:“在网络事件响应中，速度是至关重要的，演练计划的执行会让公司在实际发生网络事件时更加灵活和迅速。”

Bailey说，如果没有对事件响应计划进行测试，组织就会在很大程度上否定制定事件响应计划的初衷——快速、适当和彻底的响应。他指出:“由于计划没有经过测试或过时而浪费的时间，本可以用来调查、控制和根除问题。”“这对许多系统造成了直接的财务影响，每分钟的停机时间相当于数万美元的收入损失。”

Murray指出，测试有助于保持流程和协议的新鲜感。它允许组织确保所有团队成员都知道他们所扮演的角色，并确定每个角色在执行中是否有意义。他说:“你不能仅仅把它记录下来，每年和一群人在一个房间里复习一次。”

在运行中进行更改
尽管Garfinkel承认，大多数数据安全专家认为黑客在技术复杂性和纯粹的创造力方面领先于游戏，但持续的维护和测试策略使医疗保健组织能够做出最佳响应。他表示:“我们实际上不可能指望跟上网络犯罪分子的步伐，他们不断展示出自己攻破几乎所有系统的能力。”“攻击不断发生，无处不在，发生在各种类型的行业、各种规模和类型的实体中。”

很难解释每一个可能的场景，因此“适应性是必须的，”贝利说，并补充说，安全分析师不可能总是为每个事件制定预定义的协议。他解释说:“该计划应该考虑到最可能的威胁，但也要考虑到某些安全偏差和管理例外流程。”“威胁行为者不按规则行事，所以有必要制定一个能够反击他们行动的计划。”

加芬克尔指出，最近勒索软件攻击激增，这与传统的恶意软件攻击不同，后者只寻求获取信息。“灵活和敏捷的思维是有效反应所必需的，因为‘曲线球’更多的是规则而不是例外。团队领导在与法律顾问合作时，应准备好在情况需要时脱稿，”他表示。

Bailey说，所有的卫生保健组织都应该以不断改进为目标，并指出应该持续评估威胁媒介。他说:“渗透测试、开放赏金计划、内部测试以及遵循关键的安全出版物，使组织能够领先于当前的威胁，并努力应对它们。”“安全分析师每天、每周和每月都要执行任务，就是为了识别和应对这些新的威胁。”

- Selena Chavis是佛罗里达州的一名自由撰稿人，她的文章经常出现在各种贸易和消费者出版物上，内容涵盖从企业和管理到医疗保健和旅游的所有主题。

隐私和安全:不仅仅是网络应对
网络攻击的增加意味着医疗机构必须时刻保持警惕。然而，业内专家很快指出，隐私和安全远不止是网络反应。最近发生在德克萨斯州纪念赫尔曼医疗系统的事件导致了240万美元的罚款，这突显了这一现实。

和解协议以及一项纠正行动计划是2015年向媒体不当披露一名患者姓名的结果。一位病人在预约时出示了一张伪造的德州驾照，纪念赫尔曼医院的工作人员向警方报告了这一可疑的伪造行为。在新闻报道称该事件可能侵犯了患者的权利后，卫生与公众服务部(Health and Human Services)展开了调查，并得出结论称，卫生系统的行为是在法律范围内。

然而，纪念赫尔曼后来发布了一份新闻稿，为自己的行为辩护，其中包括病人的名字。事实上，这种披露确实违反了HIPAA。

MRO的It副总裁安东尼•默里警告说:“将这一切与网络和计算机事件联系起来是危险之一。”“它强调了这样一个事实，即隐私和安全是而且必须是一个企业范围的对话，每个人都必须对这个过程负责。”你要确保为员工提供正确的工具，让他们做出正确的决定，尤其是在出现不利事件的时候。”

埃克特律师事务所(Eckert Seamans Cherin & Mellott)数据安全和隐私业务组的创始人兼主席桑迪•加芬克尔(Sandy Garfinkel)表示，不恰当地披露患者姓名的时机并非发生在应对事件的激烈阶段。相反，管理人员似乎错误地认为，其他公开披露患者姓名的行为减轻了医院的保密责任。加芬克尔说:“因此，这是一个案例，表明需要对通信人员进行更仔细的培训，了解有关患者信息隐私的法律法规，而不是在网络事件响应过程中遇到的问题。”“也就是说，通信和公共关系部门是网络事件响应团队的重要组成部分，他们的外部信息在公布之前应该由合适的团队成员和法律顾问进行审查。”

- - - - - - SC