年1 - 2月刊
2021
更好的防线
Selena Chavis著
郑重声明
第33卷第1页
专家们对NIST网络安全框架以及组织的不足之处进行了权衡。
美国国家标准与技术研究院(NIST)是美国商务部的一个非监管机构,负责实施网络安全和隐私的标准和最佳实践。NIST的核心任务是推进NIST网络安全框架(CSF),该框架是一份指南,旨在帮助公共和私人组织在数字网络中恶意行为者比以往任何时候都多的情况下实施系统和策略来保护数据。
在医疗保健领域,风险比以往任何时候都高。的HIPAA杂志最近的一份报告显示,从2017年第一季度到2018年第四季度,医疗保健电子邮件欺诈攻击增加了473%。黑皮书发现,从2016年第三季度到2019年第三季度,超过93%的医疗保健组织经历了数据泄露,57%的组织在同一时间段内发生了5次以上的数据泄露。值得注意的是,仅在2020年9月,就有970万条记录遭到泄露。大家都说,这场大流行使情况变得更加可怕。
因此,医疗保健组织必须确定应对快速发展的网络威胁环境的最佳方法,同时推进关键任务战略。对于资源紧张的普通高管来说,这是一个具有挑战性的前景,一些行业专家说,这很容易达不到最佳的保障措施。
根据Ron Moser, CISA, CRISC, CCSFP, CHQP,电子医疗网络认证委员会的高级审查员和从业者,医疗机构必须明智地分配有限的资源。“这包括妥善分配资金以应对网络安全风险。试图在所有领域实施最高级别的网络保护是没有效果的,”莫泽解释说。相反,必须识别每项关键资产,确定其价值,评估其风险,并根据这些评估实施保护措施。NIST CSF提供了一种基于风险的方法,可以将控制组织为五个并发且连续的功能:识别、保护、检测、响应和恢复。”
实现NIST核心元素:更深层次的观察
更明确地说,NIST CSF的五个核心要素如下:
•识别:培养组织对管理系统、人员、资产、数据和能力的网络安全风险的理解;
•保护:概述适当的保障措施,以确保提供关键的基础设施服务;
•检测定义适当的活动来识别网络安全事件的发生;
•回应定义并采取与检测到的网络安全事件相关的适当措施;和
•恢复:确定适当的活动,以维持弹性计划,并恢复因网络安全事件而受损的任何功能或服务。
Cyber Tygr的首席执行官Ty Greenhalgh表示,大多数医疗机构都犯了一个错误,即依赖IT主管来承担NIST CSF实施的责任。然而,如果没有董事会层面的行政领导参与,许多组织缺乏成功实施所需的自上而下的适当优先级。
“组织需要一种实用的方法来应对网络安全挑战。董事会和执行管理层希望更好地了解网络安全管理决策的制定过程。”“NIST CSF弥合了组织领导层与信息技术和安全团队之间的沟通鸿沟,帮助定义网络成熟度目标,支持复杂的网络风险管理决策,并改善董事会对网络安全和网络风险管理计划的监督。”
因此,组织需要确定他们的业务目标和高级优先级,以清楚地定义战略决策、系统的范围,以及支持所选业务线或过程的资产。Greenhalgh说:“医疗机构的第一步应该是了解他们的需求,以及该框架如何适合该组织。”他指出,支持CSF自动化的技术支持流程可以在很大程度上帮助组织以可持续的方式实施该框架。“仔细检查一个组织的独特需求是至关重要的,因为每个组织都面临不同的威胁、漏洞和风险承受能力。NIST CSF的设计是开放和灵活的,能够解决独特的挑战。”
根据电子医疗保健网络认证委员会执行董事兼首席执行官Lee Barrett的说法,如果实施得当,NIST CSF支持控制,通过将其组织到一个持续的风险管理和事件响应框架中,帮助管理人员解决HIPAA合规性问题。beplay最新备用网站他说:“NIST CSF框架可以与许多现有的标准、指导方针和实践一起使用和调整,包括HIPAA要求的标准。”
值得注意的是,民权办公室(OCR)在2016年发布了一条人行横道,以帮助医疗保健组织识别HIPAA安全规则和NIST CSF之间的映射。此外,虽然组织可能已经将其安全计划与一种或两种方法保持一致,但人行横道可以帮助识别任何潜在的差距。OCR指出,“解决这些差距可以加强对安全规则的遵守,并提高实体保护[受电子保护的健康信息]免受各种威胁beplay最新备用网站的能力。”
根据Greenhalgh的说法,这一点很重要,他指出,超过80%的组织接受了OCR的HIPAA审计,未能达到其对风险分析和风险管理的期望。“即使在今天,OCR仍然发现未能进行彻底的风险分析是他们审查的组织最常见的违反HIPAA安全规则的行为之一。很多时候,这是由于组织满足于以合规性为中心或以检查表为中心的网络安全流程,而不是更广泛的协作参与,这应该有beplay最新备用网站效地识别和管理组织风险,保护患者隐私和保护业务价值,”他补充说,一些组织缺乏对风险分析需要什么的清晰理解,将这一要求与差距或技术分析相混淆。
医疗机构在哪些方面存在不足
虽然许多组织已经实施了与NIST CSF一致的网络安全计划,但Moser表示,在实践中很容易变得自满,而不是保持持续的纪律。因此,错失了将威胁最小化的机会,并可能发生数据泄露和其他事故。
Moser说:“组织必须努力消除这种自满情绪,确保所有员工都有安全和隐私意识,包括管理监督和实施奖励和适当的惩罚和制裁。”
格林哈尔指出,许多医疗机构过于依赖外围安全。“我们需要更多地关注城堡围墙内发生的活动。他建议:“组织需要整合技术,将所有网络设备的活动限制在完成指定任务所需的功能上。”“这就是所谓的零信任,直到最近才变得难以捉摸。”
最近,美国网络安全和基础设施安全局(Cybersecurity & Infrastructure Security Agency)针对卫生和公共卫生部门发布了AA20-302A警报,这是坏人如何危害医院的一个例子,该警报指出,网络犯罪分子如何使用Ryuk和Conti等勒索软件从内部感染组织。
Greenhalgh指出:“当许多设备活动没有或无法监控时,很难确定哪些设备正在与与Ryuk相关的恶意ip进行通信。”“传统的安全工具不容易识别和管理医院内医疗和物联网设备的漏洞。如果检测到易受攻击的设备,就会有成千上万的此类设备需要实施控制。”
来自网络安全和基础设施安全局警报的主要发现表明,恶意网络行为者专门针对医疗保健和公共卫生部门使用TrickBot和BazarLoader恶意软件,通常导致勒索软件攻击、数据盗窃和医疗保健服务中断。此外,报告指出,在2019冠状病毒病大流行期间,这些问题尤其令人担忧。
Greenhalgh指出,在疫情期间,联网医疗设备和远程操作的使用有所增加,这吸引了更多的不良行为者,并补充说,这些类型的解决方案在设计时并不包括安全性。他强调说:“这些设备不支持杀毒软件,对于试图通过远程桌面协议攻击医疗机构网络的黑客来说,它们非常容易受到攻击。”“医院里有成千上万的这种易受影响的设备,每一个都为勒索软件攻击和病人伤害提供了一个开放的后门。”
这些设备可以以传统IT设备通常无法做到的方式与物理世界进行交互。Greenbalgh说,通过输液泵给药等活动可能带来的潜在危害需要从网络安全和隐私的角度明确认识和解决。
关于COVID-19带来的风险增加,Barrett将部分问题归因于组织暂时放松了与远程办公相关的某些控制,并且在某些情况下,授权使用个人设备而不是公司发行的设备和公司管理的工作站。
巴雷特说:“公司必须迅速实施适当的缓解控制措施,并尽快切实地恢复到完全遵守公司政策的状态。”他指出,其他挑战包括,由于儿童保育等其他流行病现实,需要支持更灵活的工作时间表。beplay最新备用网站“这种灵活性必须以一种方式进行管理,以确保对公司功能的持续支持达到可接受的水平,包括可用性要求、事件检测和响应。”
Barrett强调,NIST CSF的所有五个领域都必须基于组织风险进行评估。他认为,如果不确定并保持对所有关键资产的强有力控制,组织就无法以持续的方式衡量这些资产的风险。“必须根据已识别的威胁、发生的可能性以及发生的影响来保护每项资产。必须检测到针对资产发生的事故并做出适当的响应,并且必须在确定的最大允许持续时间内实现有效的恢复。
未来最佳实践
格林哈尔格指出,根据2015年《网络安全法》的指示,卫生与公众服务部(HHS)召集了一个由医疗保健网络安全和隐私领域的150名公共和私营专家组成的工作组。该小组的成立是为了帮助医疗保健部门与网络安全的最佳实践保持一致。工作组成员Greenhalgh指出,成果之一是《医疗行业网络安全实践》文件,该文件概述了医疗行业面临的五大网络威胁和10项最佳缓解措施。
“本文档中的控制已经映射到NIST CSF。对于小型组织来说,这是一个很好的起点,对于中型和大型组织来说,这是一个与NIST CSF结合使用的框架,”他说。“还有其他几个卫生与公众服务部工作组已经制定了旨在加速降低风险的文件。(详情可浏览医疗及公共卫生部门协调委员会网络安全工作小组网页,网址为healthsectorcouncil.org/hscc-recommendations.)
在连接设备方面,格林哈尔建议遵循在梅奥和克利夫兰诊所实施的系统和解决方案。他解释说:“这是一个集成的解决方案组合,旨在影响这些资产的发现、监控、漏洞管理、安全和利用管理。”“与任何新一代技术一样,跨部门的工作流程需要重新设计。这种操作上的转变类似于HIM实施电子病历或计算机辅助编码和临床文件改进时的情况。”
莫泽说,定期进行第三方评估,以确保客观的审查,并暴露可能不会被发现的漏洞,这是任何网络安全战略的基础部分。“重要的是,不要仅仅关注于‘通过’这样的审查,更重要的是,要学会如何进一步加强整个组织的网络安全卫生。来自可信的认证和认可机构的正式第三方审查对于获得和确保客户信任至关重要。
- Selena Chavis是佛罗里达州的一名自由撰稿人,她的文章经常出现在各种贸易和消费者出版物上,内容涵盖从企业和管理到医疗保健和旅游的所有主题.
