在訪談中，HealthEquity公司的執(zhí)行副總裁兼首席安全官Sunil Seshadri談到了醫(yī)療保健數(shù)據(jù)面臨的風(fēng)險日益增加，以及各企業(yè)應(yīng)如何采取行動保持領(lǐng)先。他分享了關(guān)于供應(yīng)商管理、零信任和安全軟件供應(yīng)鏈方面的見解，以及解決遺留系統(tǒng)漏洞的實際步驟。他的建議有助于企業(yè)加強(qiáng)安全性，同時不影響患者護(hù)理。

鑒于供應(yīng)鏈攻擊的增加，醫(yī)療保健企業(yè)應(yīng)如何開展供應(yīng)商風(fēng)險管理以防止數(shù)據(jù)泄露?

對于醫(yī)療保健和福利提供商而言，確保受保護(hù)的健康信息和其他個人身份信息具備穩(wěn)健的網(wǎng)絡(luò)安全至關(guān)重要。

雖然HealthEquity是一家健康儲蓄賬戶(HSA)托管機(jī)構(gòu)和其他消費者導(dǎo)向福利的管理機(jī)構(gòu)，而非醫(yī)療保健提供商，但為緩解供應(yīng)鏈攻擊的風(fēng)險，處理敏感成員數(shù)據(jù)的企業(yè)必須采用以技術(shù)為驅(qū)動、基于風(fēng)險的方法來管理供應(yīng)商風(fēng)險，在供應(yīng)商生命周期內(nèi)整合安全控制，并規(guī)劃持續(xù)的供應(yīng)商盡職調(diào)查(合同前審查、驗證持續(xù)遵守合同義務(wù)、應(yīng)急計劃制定等)。

該方法應(yīng)包括供應(yīng)商細(xì)分、訪問控制、部署零信任和網(wǎng)絡(luò)細(xì)分、安全軟件供應(yīng)鏈和軟件物料清單(SBOM)合規(guī)性、合同安全控制以及持續(xù)合規(guī)等方面。此外，關(guān)鍵供應(yīng)商必須參與網(wǎng)絡(luò)演練，以提高應(yīng)急響應(yīng)準(zhǔn)備程度。

您建議醫(yī)療保健行業(yè)的CISO如何平衡安全性與可訪問性，以確保數(shù)據(jù)得到保護(hù)而不影響患者護(hù)理?

在任何企業(yè)(無論是醫(yī)療保健企業(yè)還是其他企業(yè))中，安全團(tuán)隊都面臨著平衡安全性與可訪問性的重要挑戰(zhàn)。一個關(guān)鍵方面是采用基于風(fēng)險、以成員為中心的方法，確保實施強(qiáng)有力的安全措施而不妨礙工作流程。

作為HSA托管機(jī)構(gòu)和其他消費者導(dǎo)向福利的管理機(jī)構(gòu)，我們可以通過使用零信任模型和自適應(yīng)身份驗證(例如基于風(fēng)險的多因素身份驗證)來定制工作流程，從而在執(zhí)行高風(fēng)險活動時，在減少摩擦的同時加強(qiáng)安全保障。

此外，諸如基于上下文的訪問控制、基于角色的訪問控制、實時數(shù)據(jù)丟失防護(hù)(DLP)以檢查和保護(hù)個人健康信息(PHI)，以及令牌化機(jī)制等控制措施，可以幫助員工安全訪問敏感數(shù)據(jù)，而不會暴露原始敏感記錄。

許多醫(yī)療保健提供商的遺留系統(tǒng)難以輕易修補(bǔ)。安全團(tuán)隊?wèi)?yīng)如何減輕與過時基礎(chǔ)設(shè)施相關(guān)的風(fēng)險?

雖然修補(bǔ)至關(guān)重要，但對過時基礎(chǔ)設(shè)施采用實用、分層的安全方法可以在一定程度上減輕風(fēng)險。我的建議是，通過使用安全層和軟件定義邊界，將遺留系統(tǒng)與面向互聯(lián)網(wǎng)的服務(wù)和其他現(xiàn)代應(yīng)用程序隔離開來。

配置良好的Web應(yīng)用防火墻可以阻止針對遺留系統(tǒng)的已知漏洞利用。終端檢測與響應(yīng)(EDR)解決方案和基于人工智能的行為分析可以提供額外的保護(hù)層。然而，雖然對遺留系統(tǒng)進(jìn)行分段、加固和監(jiān)控可以爭取時間，但遷移至現(xiàn)代化堆棧至關(guān)重要。

醫(yī)療保健行業(yè)的合并與收購帶來了重大安全風(fēng)險。在收購之前應(yīng)執(zhí)行哪些強(qiáng)制性網(wǎng)絡(luò)安全盡職調(diào)查步驟?

合并與收購交易可能引發(fā)重大網(wǎng)絡(luò)安全風(fēng)險，包括數(shù)據(jù)泄露、合規(guī)性問題以及整合挑戰(zhàn)。

在收購前的協(xié)議中，應(yīng)強(qiáng)制執(zhí)行結(jié)構(gòu)化的網(wǎng)絡(luò)安全盡職調(diào)查流程。這涉及對公司管理安全風(fēng)險的政策、控制和措施以及治理實踐的嚴(yán)謹(jǐn)性進(jìn)行全面評估。

技術(shù)評估應(yīng)確認(rèn)實施中的措施是否反映了這些實踐，以確保良好的安全態(tài)勢。收購后，安全從業(yè)人員越來越多地采取的一種做法是“假定已發(fā)生泄露”，即，在將收購對象與母公司集成之前，將其安全控制重建到可接受的狀態(tài)。

有哪些被低估但效果很好的安全措施，更多醫(yī)療保健企業(yè)應(yīng)該實施?

一項被低估但效果很好的安全措施是貶值數(shù)據(jù)。數(shù)據(jù)對公司來說至關(guān)重要，無論是個人健康信息、財務(wù)數(shù)據(jù)，還是更廣泛的消費者非公開信息，都需要公司保護(hù)。

如果相信任何公司的安全控制都不是完美的，那么需要考慮的是，當(dāng)發(fā)生成功的數(shù)據(jù)泄露時，如何讓數(shù)據(jù)對未經(jīng)授權(quán)的一方無法使用。一種有效的做法是，通過應(yīng)用諸如數(shù)據(jù)令牌化或采用正確的密鑰管理實踐對數(shù)據(jù)進(jìn)行加密等措施，確保在數(shù)據(jù)泄露時，通過使數(shù)據(jù)對攻擊者無法使用來最大限度地降低其影響。