ClickCease 維護醫療保健行業的網路衛生

目錄

加入我們的熱門時事通訊

加入 4,500+ Linux 和開源專業人士!

每月2次。沒有垃圾郵件。

維護醫療保健行業的網路衛生

約翰·戈馬利

實施期間: 2023年3月24 日 - 技術佈道者

達到可接受的網路衛生水準對所有醫療保健供應商、醫院和製藥公司來說都是一個挑戰。許多安全漏洞發生在遺留系統和冗餘流程中,這些系統和冗餘流程通常未打補丁和不受管理,從而產生暴露的漏洞,從而導致將來的漏洞利用。

幸運的是,藉助現代漏洞修補方法,醫療保健行業的組織可以將修補置於自動駕駛儀上,最大限度地減少與修補相關的中斷,並保護患者的敏感數據。

但是,在我們開始之前,讓我們深入瞭解醫療保健網路安全風險的現代狀態。

醫療保健公司在實現適當的網路衛生方面面臨的挑戰

與其他行業類似,醫療保健行業繼續轉變其業務和運營模式,以改善客戶體驗,同時降低成本。這些轉型不斷發展,並改變了醫療保健提供者和患者的運作方式——努力提高效率、成本效益和安全性。 

 

雖然轉型戰略有助於改變運營和效率,但它們也引入了新的網路攻擊媒介。許多醫療保健安全領導者都面臨著基於雲的應用程式保持安全的挑戰,以及來自連接到遠端醫療平臺的遠端患者機器的勒索軟體攻擊。需要引入許多新技術來取代以前的遺留系統。在許多情況下,保持新舊系統的運行會產生更多的操作複雜性和安全風險。

為了降低組織風險並改善網路安全保護,首席資訊官和首席資訊安全官需要降低複雜性,並從醫療保健IT中刪除重複的應用程式、服務和平臺。通過採取行政行動來解決日益嚴重的網路安全問題,組織可以在保持合規的同時保護其敏感數據。 

針對醫療保健組織的網路攻擊

最近對聖地牙哥、愛爾蘭和紐西蘭醫療保健提供者的勒索軟體攻擊證明瞭此類事件的破壞性影響。不幸的是,許多細節仍未披露。然而,過時的系統和未受保護的醫療設備是常見的安全漏洞,使醫療機構及其敏感數據面臨風險。

如果安全補丁和其他保護措施未能在醫療機構中實施,潛在的安全漏洞可能會使惡意個人控制大量敏感數據,甚至控制對臨床設備的訪問,這可能會使患者處於危險之中。 

醫療設備製造商對於防止醫療保健 IT 中的網路攻擊至關重要。近年來,幾家設備公司遭受了違規行為。來自其他國家的故事報導了與網路安全事件相關的死亡事件,例如在德國,勒索軟體事件導致患者被轉移到不同的醫療機構,不幸的是,在運輸過程中死亡。 後來表明,患者的病情非常糟糕,無論勒索軟體感染如何,都會發生相同的結果。儘管如此,它甚至被認為是一個潛在的原因,這一事實使您重新思考此類事件對醫療機構為患者提供及時護理的品質和能力的重要性。

大約83%的成像技術需要更新,大約75%的輸液泵存在未解決的漏洞,高達72%的醫療中心在同一網路上同時運行IT和醫療設備。許多醫療保健組織需要控制其安全策略。

為本地和基於雲的醫療應用程式提供修補

醫療機構可以通過實施許多網路安全最佳實踐來降低未經授權訪問的風險,包括即時修補關鍵系統,即使在傳統醫療設備上也是如此。

但並非所有醫療機構都具備真正需要的速度。現代醫療保健 IT 修補的一些障礙包括:

  • 預算限制:即使在 COVID-19 之後,醫療保健安全預算也繼續面臨削減,這可能有助於下一點。
  • 人手不足: 許多醫療保健供應商需要更多的IT員工。如果沒有額外的資源,這將要求他們的 SecOps 或 IT 團隊用更少的資源完成更多的事情來修補活動。
  • 檢測能力有限: 醫療保健 IT 團隊通常需要更多資金和專業知識來部署數據丟失防護、電子郵件安全和微分段,以幫助檢測和防止網路攻擊。
  • 警報疲勞持續網路攻擊造成的警報疲勞繼續影響醫療保健提供者。許多供應商都面臨著雇用和保留合格且經驗豐富的IT資源來處理這些攻擊速度的挑戰。網路安全團隊在管理消息和攻擊量方面的工作倦怠和精神壓力正在上升。
  • 網路安全人才缺口:與其他行業類似,醫療保健行業在部署安全更新補丁方面繼續需要幫助來僱用和留住經驗豐富的網路安全人才。
  • 雲安全的挑戰: 許多醫療保健供應商已將其傳統平臺遷移到HIPAA / HITrust雲平臺,這可能會引入新的網路安全需求。

HIPAA 修補要求和 C.F.R 45 強制控制目標

HIPAA 合規性如何?醫療保健供應商不需要保持修補以保持合規性嗎?事實是 - 不是真的。 

HIPAA 合規性並不強制要求將修補作為合規性的一個要素。但是,需要修補系統以符合聯邦法規 (C.F. R) 的多個代碼,包括 45 C.F.R。 § 164.308 (a) (5) (ii) (B),防止惡意軟體。HIPAA 在其合規要求中引用了多個 CFR。修補還與其他 HIPAA 要求相關,因為您需要適當的系統修補才能擁有安全的系統並降低資訊洩露/損壞的風險。

針對HITrust合規性要求的修補

HITrust成立於2007年,以管理資訊安全系統和數據保護措施而聞名於世。HITrust最初是為醫療保健領域開發的,於2019年1月發佈了CSF 9.2。為了滿足HITrust的標準,雲供應商通過符合各種控制類別、實施HITrust合規流程並滿足所有必需的認證要求,在 CSF 框架下進行了大量投資。

為什麼HITrust認證對醫療服務提供者很重要?

許多醫療保健供應商現在要求所有有權訪問醫療保健資訊的供應商在兩年內獲得HITrust CSF認證,以證明足夠的安全和隱私程式。

HITrust CSF 需要 資訊安全風險管理相關的四個控制:

  • 風險管理計劃開發
  • 執行風險評估
  • 風險緩解
  • 風險評估

修補系統在HITrust認證中起著至關重要的作用,它通過減少風險評估階段發現的攻擊面漏洞來提供風險緩解解決方案。

為什麼即時修補可以簡化醫療保健網路安全

幸運的是,有一個經濟實惠的自動化解決方案,使醫療保健提供者能夠將其漏洞修補置於自動駕駛儀上,並完全避免與修補相關的中斷和停機時間。它稱為即時修補 - 在系統運行時在後台提供所有最新的漏洞補丁。通過即時修補,醫療保健組織可以保持修補狀態,而無需使系統離線或安排維護視窗。

與其他行業類似,醫療保健提供救生服務,需要對其關鍵系統進行近100%的更新和可用性。 TuxCare 的自動即時修補解決方案 KernelCare Enterprise 通過快速消除漏洞來保護您的 Linux 系統,而無需您的 IT 團隊安排任何停機時間。

借助 KernelCare Enterprise,醫療保健 IT 團隊可以在所有流行的 Linux 發行版上通過暫存、測試和生產來自動獲取新補丁。TuxCare 還為共用庫、資料庫、虛擬機環境和醫療物聯網設備提供即時修補,因此您的整個生態系統可以在不重啟或中斷的情況下保持修補狀態。

安排 與我們的一位專家進行對話,以獲得有關TuxCare即時修補自動化如何工作的個人化解釋。

 

總結
維護醫療保健行業的網路衛生
文章名稱
維護醫療保健行業的網路衛生
描述
網路衛生對醫院和醫療保健公司來說是一個挑戰。讓我們深入瞭解醫療保健網路安全風險的現代狀態。
作者
發行者名稱
燕尾服護理
發行者徽標

希望在不重新啟動內核、系統停機或計劃維護窗口的情況下自動修補漏洞?

瞭解TuxCare的即時修補

成為TuxCare客座作家

開始使用

郵件

加入

4,500

Linux和開源
專業人士!

訂閱
我們的時事通訊