网络安全：做这十件事可以使您的网络免受黑客的攻击

 
医院正成为网络罪犯越来越诱人的目标。医院网络的规模，PC在这些网络上保持可操作性的至关重要性，以及使大部分与医疗保健相关的计算机系统在不受支持的操作系统上运行的方式，这意味着使医院免受网络攻击的复杂性越来越高。
这是黑客正在利用的东西，即分发勒索软件或试图窃取有关患者的敏感个人数据。
现在，为了应对网络犯罪分子对医院构成的日益严重的威胁-尤其是随着医疗网络越来越依赖物联网和连接的设备-欧盟网络安全机构ENISA发布了有关改善医院网络防御的建议。尽管该列表针对医疗保健，但是大多数建议都更广泛地适用。
SEE：网络安全的成功策略(ZDNet特别报告)|以PDF格式下载报告(TechRepublic)
ENISA执行董事Juhan Lepassaa表示：“保护患者并确保我们医院的弹性是该机构确保欧洲卫生部门网络安全的工作的关键部分。”
《医院网络安全采购指南》论文建议了十项良好实践，以使卫生部门更能抵御网络攻击。
1.让IT部门参与采购
听起来很简单，但是从一开始就让IT部门参与采购可以确保在技术采购过程的每一步都考虑网络安全，因为可以就新技术如何与现有网络相适应以及采取哪些其他安全措施提出建议。可能需要。
2.实施漏洞识别和管理流程
这是一个不完美的世界，那里有包含漏洞的产品，这些漏洞是已知的或尚未发现的。制定适当的策略来管理设备整个生命周期中的漏洞，可以帮助安全团队控制潜在的安全隐患。
3.制定硬件和软件更新策略
安全研究人员通常会发现设备和操作系统中的新漏洞。但是，从历史上看，医疗网络一直无法确保应用补丁程序-这是WannaCry勒索软件如此严重影响NHS的原因之一。
该白皮书建议IT部门确定在网络的每个网段中应用补丁的最合适时机，并确定无法补丁的计算机的变通办法，例如分段。
4.增强无线通信的安全控制
应当通过严格的控制措施限制对医院网络的访问，这意味着应该监视并知道所连接设备的数量，以便识别试图获得访问权限的任何意外或不需要的设备。该文件建议非授权人员不能访问Wi-Fi，并且网络密码应该很安全。
5.建立测试政策
购买新计算产品的医院应建立一套最低限度的安全测试，以对添加到网络中的新设备进行测试，包括一旦将其添加到网络中就进行渗透测试，以考虑到黑客如何尝试滥用它。
6.建立业务连续性计划
只要系统故障可能会破坏医院的核心服务(在这种情况下是患者护理)，就应该制定业务连续性计划，并且在这种情况下，供应商的角色必须得到明确定义。
7.考虑互操作性问题
机器传输信息和数据的能力是医院能够正常运行的关键-但是在网络攻击或停机时，这可能会受到损害。如果此操作受到影响，医院应有备份计划。
8.启用所有组件的测试
应该对系统进行定期测试，以确保它们提供良好的安全性，同时兼顾易用性和安全性–例如，IT部门应确保用户未将复杂的密码更改为更简单的密码。所有这些都应在测试过程中进行检查。
9.允许审核和记录
保留有关网络上的测试和活动的日志可确保在受到威胁的情况下，更容易跟踪发生的情况以及攻击者如何访问系统，以及评估哪些信息已受到破坏。该论文说：“保持日志安全是最重要的安全任务之一。”
10.加密静态和传输中的敏感个人数据
为了确保符合GDPR(通用数据保护条例)并确保患者和医护人员的安全，应该对敏感信息进行加密，这样，如果外部人确实可以访问系统，则对他们来说可能毫无用处。
通过遵循此建议，医疗保健组织可以确保尽可能地保护网络，员工和患者免受网络攻击。