10月18日至22日,参加我们的秋季虚拟训练周活动-注册开放!保存您的现货
网络安全

降低OT网络安全风险,实施最佳实践

网络安全正成为操作技术(OT)用户面临的一个主要问题,并可能以出人意料的方式影响人们。在制定OT网络安全计划时,请参阅示例和四个问题。

通过MediTechSafe 2021年3月12日
提供:MediTechSafe

网络安全已经成为一个组织面临的最重大的财务和声誉风险之一。越来越多的网络安全威胁包括:

  • 德克萨斯州、佛罗里达州、马里兰州和佐治亚州的22多个政府实体最近面临勒索软件攻击
  • 勒索软件袭击许多学校后,路易斯安那州宣布进入紧急状态
  • 卫生与公共服务(HHS)民权办公室(OCR)2018年收到351起数据泄露的通知,暴露了13020821条医疗记录
  • 每年发现将近1.2亿个新的恶意软件。

如今,成为网络事件受害者的可能性非常高。在医疗保健领域,一旦发现违规,组织在管理情况时,每条记录的成本最高可达400美元。事实上,在过去三年里,OCR对医疗保健提供者的平均罚款约为240万美元。

许多组织倾向于将网络安全责任分配给一个由专业人员组成的部门,并且将大部分安全工作集中在技术上是很诱人的。这得到了倡导基于人工智能的入侵检测等技术产品的网络安全供应商的支持。虽然这些产品是实现基本安全的必要工具,但它们不能取代整体的网络安全方法,后者包括强大的网络安全工具、强有力的治理和广泛的组织参与。下面的例子应该有助于说明这一点。

由于医疗设备安全风险而采取的变通措施可能造成的漏洞

退伍军人事务监察长办公室(OIG)发现,加州退伍军人医疗中心的医疗设备存在安全隐患,可能导致数据泄露,影响到133名患者.这一连串的事件是如何发生的:

许多医疗设备在Microsoft Windows XP操作系统(OS)上运行。微软已经停止支持Windows XP,使得这些医疗设备容易受到网络攻击。因此,VA医疗中心决定将高分辨率食管测压(HRM)医疗设备计算机从Windows XP更新为Windows 7.3。更新导致人力资源管理与EHR接口停止工作。biomed和IT人员没有在操作系统更新后解决软件接口问题。

导致网络攻击的解决方法示例。提供:MediTechSafe

导致网络攻击的解决方法示例。提供:MediTechSafe

医疗设备是医院运营的关键,使其成为运营技术(OT)类别的一部分。不可用的OT设备会对临床工作流程造成破坏,导致效率低下或潜在的患者安全问题。因此,该医疗中心的GI供应商开发了一个变通方案,使用非加密闪存驱动器、存储设备、笔记本电脑和个人电子邮件将患者信息从医疗机构的人力资源管理系统转移到电子病历系统。该提供商使用个人电子邮件和短信进行通信,其中包括患者的敏感数据。

此外,整个事件缺乏生物医学、IT、临床医生和风险/隐私/依从组之间的沟通和协调。

主要教训包括:

  • 医疗设备(即OT)网络安全需要特别考虑。在这种情况下,从Windows XP升级到7.3会影响系统的功能和临床意义。
  • 医疗设备(即OT)网络安全需要来自IT、网络安全、资产管理、临床医生和风险/合规管理团队的成员进行跨职能参与。
  • 医疗器械(即OT)网络安全政策文件可作为治理和培训的指导框架。
  • OT网络安全通过一种基于风险的整体方法更加有效,该方法结合了设备、网络、流程、政策和培训以及需要适当领导参与的组织文化层面的实践。

一个涉及CT扫描仪的勒索软件因为操作失误

在一家郊区医院,CT扫描仪控制台没有密码保护。因此,一名清洁工工作人员能够偶尔使用这个连接互联网的控制台检查他们的电子邮件,并在这个控制台上检查电子邮件时成为网络钓鱼攻击的受害者。袭击锁定了CT系统,要求支付600美元的赎金。为了控制扩散风险,CT被关闭了大约3天,医院至少花费了18000美元。如果恶意软件从这个设备扩散到更广泛的企业网络,那么它的破坏性会更大,成本也会更高。

制定OT网络安全战略的四个问题

OT设备可能存在许多需要监控的操作漏洞,例如,在这种情况下,密码过期。某些与安全相关的决策也会影响操作工作流。例如,当多个利益相关者需要在不同的时间访问设备以进行患者护理时,访问控制变得难以实现。因此,广泛的跨职能参与对于OT的有效网络安全至关重要。

在制定强大的OT网络安全战略时,请考虑以下问题:

  • 我的网络安全战略在各种风险情景下是否有效?
  • 我的策略是否提供了所有潜在的网络相关风险的完全可见性?排除范围隐含的风险是什么?
  • 我的策略是否包括正确的治理和支持过程,以及正确的启用技术?
  • 在网络安全方面,我是否有最高行政领导参与治理、资源分配和决策?

-本文最初发表于MediTechSafe知识中心MediTechSafe是CFE媒体内容合作伙伴。由网络内容经理Chris Vavra编辑,控制工程,CFE媒体与技术,cvavra@cfemedia.com


MediTechSafe
Baidu