资金、人员问题阻碍网络安全工作
莫拉·凯勒
郑重声明
第29卷第12页

说服高管在技术和人才方面进行投资可能是一项挑战。

在一个技术控制医疗保健多个方面的时代，对网络安全的关注变得至关重要，因为医院和医疗保健组织认识到数据泄露会如何掠夺他们的重要资产，更重要的是，会危及患者和员工的健康。在一个财政紧张的时代，一些医疗机构很难拿出必要的资金来对抗网络威胁。

然而，医疗保健行业的领导者正慢慢开始改变他们在考虑如何投资适当的资源，以处理患者隐私和网络安全问题。

Logicalis美国安全解决方案副总裁Ron Temske表示，许多医疗机构没有投入必要的资金来建立强大的安全态势，他们采取了“这不会发生在我身上”的方法，或者错误地认为他们不会成为目标。对其他人来说，这只是钱的问题。

Temske说:“由于资金有限，很难证明在安全方面的支出是合理的，而不是新的医疗设备、病人门户等。”“这种方法的问题在于，它只解决了收购成本，而不是一旦发生违规行为，这些决定的后果。对组织声誉的损害，因违反HIPAA而导致的罚款，潜在的生命损失——这些都是必须考虑的真实因素。”

毫无准备的医疗保健组织没有能力检测——更不用说有效地调查和解决——一旦发生医疗数据泄露。Protenus的联合创始人兼总裁罗伯特•洛德(Robert Lord)表示，医疗机构通常使用过时的遗留产品、电子表格，甚至是纸张和荧光笔来发现组织内发生的数据泄露。他说，这些过时的方法往往会让漏洞在很长一段时间内不被发现，最终给组织和患者带来代价高昂的后果。

洛德说:“目前，医疗保健面临的最大未解决的网络安全威胁是内部威胁和违反HIPAA的行为。“大多数医疗机构目前在检测内部健康数据泄露方面采取了被动姿态，尽管这些数据泄露占泄露总数的40%以上。”

他说，隐私官没有使用高级分析来检测违规行为，这意味着他们往往只能追溯既往地解决案件。此外，安全团队被淹没在警报、误报和报告中，这些警报没有确定优先级并提供上下文。

洛德说:“我们希望医疗保健领域的网络安全能够从被动的姿态转变为主动的姿态，使医疗保健组织能够更好地应对健康数据安全的威胁。”“我们也希望看到更多的医疗机构开始认识到高级分析在更好地检测、减轻和解决对患者隐私的威胁方面的价值，这是一种有希望的趋势。”

根据HIMSS健康信息系统高级主管Rod Piechowski的说法，网络安全经常资金不足，因为它历来被认为是it部门的责任——具有讽刺意味的是，it部门也因缺乏资金支持而受害。

“保护健康信息的机密性、完整性和可用性是建立可信系统的基础，”佩特罗夫斯基说。“如果患者不信任它，他们就不会参与。如果一个组织不被信任，它将很难生存。”

网络安全资金不足也可能与医疗机构缺乏技术、隐私和安全知识有关。

“对于医疗保健和临床信息系统，大多数董事会成员关注的是护理、等候名单和直接护理，因为他们需要这样做，”弗雷泽健康公司(Fraser health)信息隐私经理和隐私官肖恩-李·汉密尔顿(seanna - lee Hamilton)说。“虽然这些临床方面可以理解地处于最前沿，但在传输、电子邮件、无线解决方案和远程访问方面发生的事情，以及它们与公认的保护措施的法规遵从性之间的关系，却没有得到足够的关注。”beplay最新备用网站事实上，医院的大多数员工都不知道网络安全或最佳安全措施到底发生了什么，或者没有发生什么。”

汉密尔顿认为，当发生网络事件时，缺乏理解是最重要的，他补充说，资金不足加剧了这个问题，所以当出现漏洞时，“人们惊慌失措，他们不知道该怎么做，他们想知道我们为什么要等着解决问题。”

“现实情况是，在资金不足的情况下，人手太少，流程太少，无法确保医院能够迅速恢复并恢复正常的工作流程，”她继续说。“因此，对于没有在网络安全、适当的规划和人员方面进行投资的普通医院来说，从长远来看，他们将付出高昂的代价，不仅会中断对患者的护理，还会失去患者和工作人员的信任。”

核心问题
虽然在某些方面，网络安全可能被视为一个IT问题，但人们会期望聪明的组织正在开发多学科的网络安全管理团队。然而，根据CynergisTek安全战略副总裁、首席安全顾问、CHS Clyde Hewitt的说法，情况似乎并非如此，他说:“目前的安全管理框架已经将75%以上的必要控制分配给了非技术领域，而不是技术领域。”

现在许多攻击都针对非it系统，如生物医学设备、打印机、安全摄像头和建筑控制系统，这些传统上被忽视了。还部署了网络钓鱼和社会工程来查找可能容易被欺骗提供未经授权访问的特定帐户或员工。

休伊特表示，医院必须采取以下三个步骤来加强网络安全防御:

•加强访问管理，尤其是特权账户。双因素身份验证是阻止、威慑或延迟许多黑客的关键控制。

•建立可靠的事件管理流程，专注于早期发现和补救。这包括对IT员工和高管进行培训，教他们如何在不可想象的情况发生时做出反应。

•实施业务连续性管理，包括停机和灾难恢复程序，能够在从攻击中恢复的同时提供患者护理。

获得资金
Temske建议，可以通过采用网络安全框架来获得高管层的支持，其中在医疗保健领域最受欢迎的是美国国家标准与技术研究院(National Institute of Standards and Technology)和健康信息信托联盟(health Information Trust Alliance)的模型。他说:“通过遵循这些框架中的一个，你就不用再猜测安全性了。”“这也建立了一个坚实的计划，如果真的发生违规行为，可以帮助你在财务上合理，因为你将坚持长期的安全策略，而不是随意和不连贯的安全支出。”

教育高管和董事会，让他们知道什么是危险的——无论是在安全和患者隐私方面。休伊特说，许多组织的领导者，尤其是那些大型卫生系统的领导者，开始充分认识到什么是利害攸关的。让他们批判性地分析和思考问题是关键。

休伊特表示:“医院董事会和高管们很难确定合适的网络安全投资水平。“认为所有组织都有一个正确的数字是不现实的。”

他建议组织从风险分析开始，然后根据可用资源、环境、现有技术和领导层的风险偏好实施计划和程序。休伊特警告说，这种策略并非万无一失。资金不足或资金过剩可能导致流程失败，从而阻止领导层将最高网络安全风险与最重要的补救活动联系起来。休伊特说，为了打破这种循环，安全负责人必须根据降低风险的活动而不是项目来制定预算请求。

他指出:“如果不是这样，基于历史预算的惯性，而不是不断变化的威胁形势，将推动资金支持拼凑的遗留解决方案。”“这种情况也可能导致超支，因为对非理性或不现实风险的恐惧会推动对解决方案的投资，而这些解决方案可能不是当务之急。”

回答棘手的网络安全问题——或者发现他们没有答案——是突出需要增加资金的领域的最好方法。

根据汉密尔顿的说法，医疗保健领导者可能会对基本的网络安全战略问题感到困惑，比如“我们准备好了吗?”我们准备好了吗?我们有网络安全战略吗?我们有多脆弱?就我们的网络安全工作组而言，我们处于什么位置?我们需要什么来继续前进?”

她说:“为了获得足够的资金，医院领导需要充分了解医院的现状、威胁，以及网络事件可能造成的业务、声誉和信任损失，这些损失本来可以通过多花一点钱来阻止。”

寻找人才
在大多数市场，对安全人才的需求远远超过了供应。医疗保健机构正在与制造业、银行业和能源业等其他领域展开竞争，这些领域已经表明，它们愿意支付更高的工资，并提供更好的职业道路。

”《福布斯》休伊特说:“2016年的报告显示，网络安全职位空缺有100万个，预计到2020年这一数字将增长到150万以上。因此，有必要从其他渠道寻找潜在的候选人，甚至在内部培养一些人才。”

休伊特说，内部培训策略在充分利用医疗保健会员制组织、拥有经验丰富的人才和愿意以合作伙伴的身份服务的外部承包商，以及频繁的高层培训的情况下，效果最好。采用这种方法的组织必须投资于员工培训，鼓励专业发展，包括在适当的时候调整工资水平——如果不这样做，就会造成技能/薪酬失衡，并导致人员流失，休伊特说。

HIMSS北美隐私与安全总监、CISSP、CIPP、法学博士Lee Kim表示，随着防止数据泄露在医疗机构中越来越成为当务之急，网络安全专业人员的形象也将得到提升。她说:“过去，这个话题很深奥，网络安全专业人士只是在幕后。”“虽然网络专家确实在一线工作，但我们发现，越来越多的企业正在让这些人成为高管的一部分，以帮助领导有关强大网络安全的冲锋。”

网络安全专业人员必须具备IT以外的广泛技能。Hewitt说，了解业务流程、供应商管理、物理安全、威胁意识和业务连续性管理(不仅仅是灾难恢复)是必不可少的。

至于网络安全人员的构成，他表示，负责与健康信息保护相关的所有行政、物理和技术安全的部门主管应该是一位全面的安全专业人士，在多个领域拥有经验，包括行政领导和预算编制，并了解合规性、审计和技术。beplay最新备用网站

休伊特表示，支持这一职位需要的网络安全专业人员和医生专业人员一样多。他指出，正如聘请一名医生治疗所有患者是不可行的一样，医疗保健高管也不应指望聘请一名网络安全专家来满足所有安全需求。

休伊特说:“例如，网络安全经理需要战略领导，管理风险分析过程，教育员工和开发项目。”“安全架构师和工程师将设计解决方案并实施新技术。其他安全专业人员操作技术系统，管理供应商，并监控结果。以上每一种职业都需要不同的培训、证书、技能和经验。”

汉密尔顿表示，网络安全/IT部门应该直接向首席执行官或首席信息官汇报。她说:“无论是公共机构还是私人机构，其负责人都是组织的脸面，因此他们会直接受到安全或隐私泄露的影响，当然也会受到任何形式的网络攻击的影响，他们要对内部和他们所服务的社区负责。”“如果你在设计上有适当的资源来保护隐私和安全，那么(专门负责这项职能的)全职员工的数量应该反映出组织的规模和复杂程度，以及他们管理的信息类型。”

汉密尔顿建议医院直接向国际隐私专家协会等专业组织招聘。她说，这样做，公司就有更多的机会找到有能力和专业知识的合格候选人。

休伊特表示，定期评估对于提供中途纠正、填补招聘中的特定技能缺口以及增加员工数量都很有价值。

休伊特说:“医院必须计划(设计)并实施一个坚实的安全管理计划，将先进的技术、训练有素的员工、成熟的流程和执行支持结合起来。”“这需要专业人才。面临的挑战是，这类人才价格昂贵，而且一旦部署，他们可能对运营项目不感兴趣。”

Temske表示，对于那些无法克服人员短缺和获取和留住人才等挑战的企业来说，托管安全服务提供商正成为一个受欢迎的选择。他说:“走这条路还有一个额外的好处，那就是可以减少休假、员工离职、培训和认证等方面的挑战。”“显然，仍然需要一些技术来保护敏感数据，但有更灵活的选择，包括管理安全服务，作为市场解决方案的一个组成部分。”

休伊特说:“医疗管理人员可能会考虑将安全项目的开发、技术的实施和流程——甚至是熟练的资源——外包出去，然后利用当地的资源来运营这个系统。”

莫拉·凯勒是明尼阿波利斯的作家和编辑。