醫療保健業必須加固零信任理念以應對資料遭受的攻擊
資料泄露對醫療保健業的威脅
近年來醫療保健業遭受到日益嚴重的資料遭受攻擊,這些攻擊主要集中在網路伺服器、錯誤配置的雲端設定、未保護的終端裝置以及身份管理和特權存取控制等問題。這些攻擊透過竊取醫療記錄、身份和特權存取證據來獲取利益。平均而言,一次攻擊對醫療保健業者的恢復成本為 1,010 萬美元,四分之一的醫療保健業者表示曾因勒索軟體攻擊而完全停止運營。
醫療保健業者必須在雲端資安的基礎上進一步落實零信任理念。市場調研公司 Forrester 近期報告指出,醫療保健業者正快速採用雲端服務,以期增強資安能力。全球 88%的醫療保健決策者已採用公共雲平臺,59%正採用 Kubernetes 以確保核心企業系統的高可用性。醫療保健業者平均每年在不同公共雲平臺上的支出達 950 萬美元。這一做法在某種程度上已經取得了成效。
雲端平臺對醫療保健業的重要意義
Forrester 報告中最具價值的部分是證據顯示,亞馬遜網路服務( Amazon Web Services)、Google 雲平臺(Google Cloud Platform)、微軟 Azure(Microsoft Azure)和 IBM 雲(I BM Cloud)等大型雲端服務供應商的共同努力已經逐步證實了雲端平臺相對於過時的網路伺服器更具資安保障。而這種認知對於醫療保健業者而言,是個極大的好訊息。美國衛生和人類服務部的最新資料顯示,在過去 18 個月中,共有 458 家醫療保健業者的網路伺服器遭受到攻擊,逾 6900 萬個病人的個人資料被泄露。
然而醫療保健業者還需要更多努力,加固最高風險點的防護,首先從終端裝置和更好的身份、存取和特權存取管理入手。
從零信任理念中找到弱點的優勢
Forrester 的報告結論是,醫療保健業者成為攻擊目標的主要原因是它們使用過時的技術,尤其是在儲存敏感病人資料方面。醫療保健業者極需保持臨床緊急照護的緊迫感,使得這種弱點更加突出。Ivanti 首席產品長 Srinivas Mukkamala 告訴 VentureBeat:“威脅行動者日益瞄準的是網路衛生狀況不佳問題,其中包括過時的漏洞管理流程。”
特別是,當組織在保護勒索軟體、軟體漏洞、API 相關攻擊和軟體供應鏈攻擊等方面落後時,Ivanti 的研究報告 Press Reset: A 2023 Cybersecurity Status Report 顯示與此相一致。醫療保健業者在這些核心領域與其他行業相比相對落後,這也顯示出緊急落實零信任理念對所有醫療保健組織而言的重要性。
零信任路徑圖:每個醫療保健業者需要根據其最大威脅量身定制
目標是逐步建立更強大的安全體系,同時又不會過度提高預算或向董事會要求大規模投資。一個理想的起點是制定一個零信任路徑圖。對於負責醫療 IT 和資安事務的企業安全和資訊技術高級副總裁(CISO)和首席訊息官(CIO)而言,他們需要使用一些標準資料來量身定制零信任安全措施以解決其所面臨的獨特業務挑戰。
首先是國家標準和技術研究所美國國家資訊安全中心(National Institute of Standards and Technology's National Cybersecurity Center of Excellence, NIST NCCoE)的 Cybersecurity White Paper (CSWP),其中包括使用 NIST 風險管理框架(RMF)遷移到零信任架構的過程。第二個檔案是由 John Kindervag(在 Forrester 任職時創立了零信任)和 Dr. Chase Cunningham 等多位行業領袖撰寫的總統國家安全電信諮詢委員會(NSTAC)有關零信任和可信身份管理的草案。該檔案將零信任架構定義為“對待所有使用者都潛在威脅的架構,只有在對使用者進行適當取證並授權其存取之後,才允許其存取資料和資源。” Cybersecurity and Infrastructure Security Agency (CISA)出版了總統 NSTAC 出版物中心,可提供該委員會的相關報告。
最小特權存取原則在各個威脅面上的執行成為防範勒索軟體攻擊的重要任務
“我們知道,一旦壞人進入網路並侵略(它),第一次受攻擊的機器可以在網路中移動,然後是下一個機器,再然後是下一個機器。因此一旦他們發現了這一點,你面臨勒索軟體攻擊並可能有資料外洩的風險就會增加。” CrowdStrike 的執行戰略專家兼醫療保健資訊技術主管 Drex DeFord 在接受 VentureBeat 的採訪時表示。
美國衛生和人類服務部( HHS)的衛生部門資安協調中心(HC3)提供了一系列威脅簡報,醫療保健業者的 CISO 和 CIO 應該考慮訂閱並及時理解最新資訊。衛生部門資安協調中心(HC3)對這些簡報的深入分析與見解值得讚揚。為了理解醫療保健業者所面臨的勒索軟體挑戰的規模,VentureBeat 還建議閱讀 2023 年 6 月 8 日的 Types of Threat Actors That Threaten Healthcare 展示文稿。另一篇簡報揭示了國家級攻擊是最複雜且難以解決的:2022 年 11 月 3 日的 Iranian Threat Actors and Healthcare 簡報。
CISO 的兩個高優先事項:危機評估和事故應變儲備服務
醫療保健業者和相關機構需要在所有系統中建立清晰的基礎,以取證現有的 IT 環境和技術堆疊是否安全。“當你做危機評估時,對整個環境進行全面檢查,確保你不被黑,而你自己卻還不知情,這是非常重要的,” DeFord 在接受 VentureBeat 的採訪時指出。在這篇文章的訪談中,DeFord 和其他一些 CISO 還建議醫療保健業者如果尚未採用,應獲得一個事故應變儲備服務。“這樣可以確保在發生任何安全事件時,你可以立即聯絡到某個人,並得到即時的幫助,” DeFord 建議道。
物聯網、邊緣計算和存取裝置使得終端安全成為一場持續戰鬥
大多數傳統物聯網感應器、以及存取到它們的機器和醫療裝置並不是以安全性為主要目標設計的。這正是攻擊者所喜歡的地方。資訊技術專家 Dr. Srinivas Mukkamala 表示醫療保健領導者必須意識到管理終端、物聯網和醫療裝置的成本,並不斷提升安全性。 “組織必須繼續朝向零信任的終端管理模型發展,以做好準備,並改善安全架構。” Mukkamala 告訴 VentureBeat。Absolute Software 的 2023 年韌性指數(Reliability Index)顯示,平均每個終端裝置上都安裝了 11 種不同的安全代理程式,每一個都以不同的速度降低並產生記憶體衝突,這使得終端裝置無法受到保護,並容易遭到攻擊。過多使用安全代理程式與未安裝任何安全代理程式的情況一樣糟糕。醫療保健業者的 CISO 和 CIO 需要審核安裝的每個終端代理程式,並查明它們是否相互衝突。審核的核心是理解每個終端裝置有哪些身份具有存取許可權,包括第三方承包商和供應商。收集的審核資料對於制定最小特權存取策略以加固終端上的零信任非常寶貴。
保護病患身份需要優先考慮零信任
醫療保健業者在確保 IT 和資安投資創造業務價值方面承受巨大壓力。任何醫療保健業者最重要的資產之一是病患的信任。更多醫療保健業者需要考慮如何在零信任的框架下建立安全的客戶體驗。TeleSign 執行長 Joe Burton 告訴 VentureBeat,儘管客戶的體驗因其數位化轉型目標而有很大不同,但將資安和零信任融入客戶工作流程中是非常重要的。這對於當今遭受攻擊的醫療保健業者來說是很好的建議。他說:“如果客戶明白這些摩擦是為了確保他們的安全,那麼他們就不會介意這些摩擦。”他還表示機器學習是一項有效的技術,可以在平衡摩擦的同時簡化使用者體驗。他告訴 VentureBeat,透過這種摩擦,客戶可以從中獲得品牌、公司或醫療保健業者對資訊安全的先進理解,最重要的是,對於保護病患資料和隱私的重視。
延伸閱讀
- AI 生成對於醫療保健的應用引發爭議
- 矽谷孵化器 YC 最新 Demo Day 展示了對醫療保健、晶片設計、人工智慧等領域的引人入勝的賭注
- HD 籌資 560 萬美元,打造用於東南亞醫療保健的 Sierra 人工智慧
- 得克薩斯州醫療保健提供商 HMG Healthcare 表示駭客竊取了未加密的病人資料
- Google 隆重推出 MedLM,專注於醫療保健的生成式 AI 模型
- 人工智慧聊天機器人應該能改善醫療保健,但研究顯示有些聊天機器人正在延續種族主義。
- Apollo for Reddit 的創作者已轉向更小而奇特的事物
- 網站 Wattapad 放棄「付費故事」,轉向免費增值模式
- 為什麼 CISOs 需要零信任作為勒索軟體的屏障
- Apple 棄用 Lightning 存取器,轉向 USB-C,經過整整 11 年
