ENISA：医院网络安全采购指南

数世咨询 2022-06-08

医院正日益成为网络罪犯的诱人目标。医院网络的规模，个人电脑在这些网络中的重要作用，以及大部分与医疗相关的计算机系统在不受支持的操作系统上运行的方式，意味着保护医院免受网络攻击变得越来越复杂。

分发勒索软件或试图窃取有关患者的敏感个人数据，这都是黑客正在利用的东西。

现在，为了应对网络犯罪分子对医院构成的日益严重的威胁-尤其是随着医疗网络越来越依赖物联网和连接的设备 -欧盟网络安全机构ENISA已发布有关改善医院网络防御的建议。

尽管该建议针对医疗保健，但是大多数建议都更广泛地适用于所有组织。

ENISA执行董事Juhan Lepassaa表示：“保护患者和确保医院的恢复能力是该机构确保欧洲卫生部门网络安全工作的关键部分。”

《医院网络安全采购指南》文件推荐了十种使卫生部门更能抵御网络攻击的良好做法。

1.让IT部门参与采购

让It部门从一开始就参与采购，可以确保在技术采购过程的每一步都考虑到网络安全，因为可以就新技术如何与现有网络相适应以及可能需要哪些额外的安全措施提出建议。

2.实施漏洞识别和管理流程

这是一个不完美的世界，这里有包含漏洞的产品，这些漏洞是已知的或尚未发现的。制定适当的策略来管理设备整个生命周期中的漏洞，可以帮助安全团队控制潜在的安全隐患。

3.制定硬件和软件更新策略

安全研究人员经常会发现设备和操作系统中的新漏洞。然而，医疗网络在确保补丁的应用方面一直很差，这也是WannaCry勒索软件对NHS造成如此严重影响的原因之一。该白皮书建议IT部门确定在网络的每个网段中应用补丁的最合适时机，并确定无法补丁的计算机的变通办法，例如分段。

4.增强无线通信的安全控制

应当通过严格的控制来限制对医院网络的访问，这意味着应该监视和知道所连接设备的数量，以便识别试图获得访问权限的任何意外或不需要的设备。该文件建议，未经授权的人员不应访问Wi-Fi，网络密码应强大。

5.建立测试政策

购买新计算产品的医院应建立一套最低限度的安全测试，以对添加到网络中的新设备进行测试，包括一旦将其添加到网络中就进行渗透测试，以考虑到黑客如何尝试滥用它。

6.建立业务连续性计划

只要系统故障可能会破坏医院的核心服务（在本例中是患者护理），就应该制定业务连续性计划，并且在这种情况下，供应商的角色必须得到明确定义。

7.考虑互操作性问题

机器传输信息和数据的能力是医院能够正常运行的关键-但是如果发生网络攻击或停机，这可能会受到损害。如果此操作受到影响，医院应有备用计划。

8.启用所有组件的测试

应该对系统进行定期测试，以确保它们提供良好的安全性，同时兼顾易用性和安全性–例如，IT部门应确保用户未将复杂的密码更改为更简单的密码。所有这些都应在测试过程中进行检查。

9.允许审核和记录

保留有关网络上的测试和活动的日志，可以确保在受到威胁的情况下，更容易跟踪发生的事件以及攻击者如何访问系统，以及评估哪些信息受到了破坏。该论文说：“保持日志安全是最重要的安全任务之一。”

10.加密静态和传输中的敏感个人数据

为了确保符合《通用数据保护条例》并确保患者和医护人员的信息安全，应对敏感信息进行加密，确保即便外部人员访问了内部系统，获取的信息对他们来说也是毫无用处的。

通过遵循此建议，医疗保健组织可以尽可能保护网络，员工和患者信息免受网络攻击。

点击“阅读原文”获取完整版英文报告！

↓↓↓