云安全聯(lián)盟(CSA)發(fā)布了一篇題為《醫(yī)療保健供應(yīng)鏈網(wǎng)絡(luò)安全風(fēng)險管理》的論文。該報告是由衛(wèi)生信息管理工作組起草的，提供了醫(yī)療保健交付組織(HDO)可用于管理與其供應(yīng)鏈相關(guān)的網(wǎng)絡(luò)安全風(fēng)險的最佳實(shí)踐。

HDO面臨著許多來自不同類型的供應(yīng)鏈供應(yīng)商的風(fēng)險，包括食品供應(yīng)商、軟件供應(yīng)商、醫(yī)療設(shè)備、藥品和日常醫(yī)療用品。這種復(fù)雜性和相互依賴性極大地增加了網(wǎng)絡(luò)事件的后果，不管是敏感的個人信息泄露還是供應(yīng)鏈的實(shí)際供應(yīng)中斷。

“醫(yī)療保健交付組織每年都會在數(shù)千家供應(yīng)商上花費(fèi)數(shù)十億美元。然而，研究表明，目前評估和管理供應(yīng)商風(fēng)險的方法是失敗的。向云計算和邊緣計算的轉(zhuǎn)移擴(kuò)大了HDO的電子領(lǐng)域，不僅使其更難保護(hù)其基礎(chǔ)設(shè)施，而且使它們成為了更具吸引力的網(wǎng)絡(luò)攻擊目標(biāo)。

“鑒于供應(yīng)鏈的重要性，HDO識別、評估和緩解供應(yīng)鏈網(wǎng)絡(luò)風(fēng)險以確保其業(yè)務(wù)彈性是至關(guān)重要的?！痹撜撐牡牡谝蛔髡?、衛(wèi)生信息管理工作組聯(lián)合主席James Angle說。

由于HDO及其供應(yīng)商仍然是高價值目標(biāo)，受到網(wǎng)絡(luò)攻擊的代價將比以往任何時候都要高。此外，目前供應(yīng)鏈風(fēng)險管理方法的問題也正在造成額外的經(jīng)濟(jì)負(fù)擔(dān)，因?yàn)樾l(wèi)生與公眾服務(wù)部和民權(quán)辦公室對各組織的罰款和調(diào)查也都在增加。

“不幸的是，對供應(yīng)鏈的利用不僅是一種潛在風(fēng)險，而且是一種現(xiàn)實(shí)。不安全的供應(yīng)鏈會嚴(yán)重影響HDO的風(fēng)險狀況和安全，更不用說其底線了?！憋L(fēng)險、審計、控制和合規(guī)專業(yè)人士、CSA研究員、論文投稿人Michael Roza說道。“因此，HDO有義務(wù)確保其供應(yīng)鏈合作伙伴能夠遵守數(shù)據(jù)管理政策，以確保其組織和用戶的安全?！?/p>

在應(yīng)對供應(yīng)鏈內(nèi)的網(wǎng)絡(luò)風(fēng)險和安全時，給HDO的建議是:

• 盤點(diǎn)所有供應(yīng)商，然后按優(yōu)先次序排序，確定其認(rèn)為是戰(zhàn)略供應(yīng)商的供應(yīng)商。
• 根據(jù)風(fēng)險對供應(yīng)商進(jìn)行分級，盡可能的使用第三方風(fēng)險評級服務(wù)。
• 在合同中要求供應(yīng)商保持安全標(biāo)準(zhǔn)。
• 制定重新評估供應(yīng)商的時間表。