像趨勢科技這樣致力於建立良好網路安全的廠商,一直以來都扮演著資安產業內的兩個角色。一個是日以繼夜、不眠不休地努力讓世界各地企業、政府和消費者免於最新威脅所害。另一個則是致力於讓個人和組織都能更加認識威脅情勢的變化 – 打造一個交換數位資訊零風險的世界。
而醫療保健是我們這兩個身份目前都在努力中的目標。一方面,有越來越多網路犯罪分子將其當作目標,另一方面,也有部分組織對於病患健康資料(PHI)的資料外洩威脅反應遲緩。
醫療保健占美國資料入侵外洩事件的43%
醫療保健記錄對網路犯罪份子來說是個極具吸引力的目標,他們所需要的各種敏感資訊(像是社會安全號碼)都集中在一個地方。這珍貴的資料可以在深層網路的地下市場賣個好價錢,因為它讓網路犯罪份子的身份詐騙成功率可以變得更高。正因為這資料的價值,也就能夠清楚的知道為什麼美國資料竊盜資源中心最新的 2014年資料入侵外洩報告內可以發現醫療保健占了所有入侵外洩事件的43%。
也正因為如此,非營利的ECRI Institute將「醫療IT系統的資料完整性缺失」列為2014年的頭號病人安全關切也就不令人驚訝了。當你看到它甚至排名還在藥品短缺或測試結果報告錯誤之上,就可以知道它顯然是個嚴重的問題。
IT 工作者最大的挑戰
醫療體系內的 IT 和資安工作人員所面臨的挑戰是他們必須改善資料防護而不會去阻礙到醫護人員快速存取生命垂危的患者資料。因為許多醫院 IT 環境的龐大規模加上複雜性,這當然是一件艱巨的任務,但並非不可能。
以下簡要地列出醫療 IT 工作者所面臨的一些關鍵挑戰:
- 自帶裝置,大數據,物聯網
- 事件回應 – 網路災害復原
- 虛擬桌面基礎設施 – 行動運算
- 存取控制
- PHI DLP(病患健康資訊的資料外洩防護)
- 應用程式漏洞(無論舊或新)
因為攻擊本身變得越來越加隱蔽、針對性和狡詐,醫療IT工作者將不得不盡其所能地去將病患健康資訊外洩的風險最小化。在接下來的兩篇文章中,我們會探討威脅情報和一些關鍵的最佳實作可以如何地幫上忙。
@原文出處:Cybersecurity in Healthcare: a Unique Challenge作者:JD Sherry