醫療保健行業的CISO在當前安全形勢下如何強化自身？

E安全5月10日訊對醫療保健組織機構來說，如今真的比以前安全嗎？要建立更有效的安全態勢，這是一個時刻需要考慮的問題。

醫療行業形勢不容樂觀

過去，零售和金融服務行業是惡意攻擊者最青睞的目標，而現如今，醫療保健行業也在主要攻擊目標之列。發生這種變化的原因很簡單：相比其它類型的個人可識別信息相比，受保護的健康信息（PHI）在暗網更有利可圖。此外，醫療保健機構還保留著其它有用的數據，例如訪問憑證、個人可識別信息和財務記錄。

Distil Networks公司的首席執行官拉米·埃塞德，黑市上一份醫療檔案售價高達3452元。

然而，大多數人並未意識到，醫療數據被盜遠比信用卡和社保卡信息被竊更具破壞性。

第一，被竊醫療記錄能被用來實施各種犯罪活動：更多的個人數據盜竊、支付卡欺詐、醫療保險欺詐等等。

第二，這些攻擊通常會是持續性的，受害者在餘生中可能還會受到影響。

不過，人們不得不被迫選擇相信醫療保健組織機構會防止醫療數據外泄。不幸的是，許多醫療保健機構資源、預算和時間有限，還在為保護系統安全努力。

本文系E安全官網獨家編譯報道

醫療保健行業的CISO（首席信息安全官）應注意哪些事項

埃塞德表示，醫療保健行業面臨著滿足合規的重重壓力，例如美國健康保險攜帶和責任法案（HIPAA）、歐盟《通用數據保護條例》等通用數據保護規則、《支付卡行業數據安全標準》（PCI-DSS）等。

從另一行業轉行到醫療保健行業的CISO需要了解行業形勢。此外，CISO必須認識到，將安全整合到醫療保健機構的軟體開發生命周期是一件困難的事。

埃塞德建議醫療保健行業的CISO首先應審查健康信息信任聯盟（HITRUST）的共同安全框架（CSF）。

其次，許多醫療保健機構應熟悉NIST 800-53R4框架，尤其處理醫療保險和醫療補助服務中心（CMS）的醫療機構。美國政府將NIST 800-53R4框架作為安全計劃的核心。

埃塞德建議從基礎抓手，同時不要忘了API。

本文系E安全官網獨家編譯報道

一般而言，醫療保健機構需要從以下基礎做起：

• 培訓、教育並提高員工對社交工程和內部威脅的意識。

• 更好地了解網路犯罪分子的動機，以及網路犯罪分子正在尋找的關鍵資產，之後採取相應的保護控制措施。

• CISO應建立必要的安全審計、流程、程序和合規。

埃塞德認為，採用開放式Web應用程序安全項目（OWASP）安全開發指南不失為一個好主意，因為20個OWASP自動化威脅（OAT）中，有7個被認定為醫療保健行業的主要威脅。

相關閱讀：

2017 OWASP十大安全趨勢榜單變化解析

OWASP API安全項目簡介

此外，切勿忽視網站內容和API的訪問控制，因為過去曾在用戶界面傳達的安全實踐正向API後端轉移。

埃塞德解釋稱，除了傳遞更快和易於集成的優勢，使用API也存在一些安全優勢。將這種邏輯集成到API有助於解決UI相關的一般安全問題。

網路犯罪分子會使用惡意程序（OWASP將其稱之為自動化威脅）攻擊登錄屏幕、竊取患者記錄，並執行賬戶欺詐活動。然而，有人使用網頁數據抓取程序竊取獨特內容，以提供保單報價。

他指出，不準確的報價會讓客戶沮喪，大肆抓取數據甚至可能會拖慢速度並導致宕機。雖然API拓寬了組織機構的攻擊面，但同樣的安全開發也可實施最佳實踐保護組織機構。

E安全註：本文系E安全官網獨家編譯報道，轉載請聯繫授權，並保留出處與鏈接，不得刪減內容。

@E安全，最專業的前沿網路安全媒體和產業服務平台，每日提供優質全球網路安全資訊與深度思考。