2024 智慧醫療研討會台北場 會後報導
握有大量患者 PHI、PII 機敏資訊的醫療產業,一向被犯罪勒索者列為優先攻擊對象;而且這些資料外洩事件,多數源自第三方合作廠商端。為此,醫院可導入 SecurityScorecard 評級機制,找出高風險供應商。
文/明雲青
據 IBM 全球網路安全報告(https://technews.tw/2022/08/04/healthcare-industry-suffers-the-most-from-cyber-threats/)顯示,醫療機構因擁有大量患者的 PHI、PII 機敏個資,故被勒索者列為首要目標。SecurityScorecard 亞太區資深解決方案架構師李世勤表示,隨著醫療數位轉型,導致各院所介接越來越多第三方供應商,讓駭客有更多可乘之機,造成 Data Breach 事件居高不下。
不幸的是,多數醫院在發生資料外洩事故後,很晚才會知道,特別假使事故源頭在於供應商,醫院往往淪為最後一個知情者,此時早有大量病患個資在暗網流傳。因此醫療機構如何建立更好的視角,隨時掌握供應鏈與第三方夥伴的安全態勢,可謂重大課題。
此時 SecurityScorecard 可發揮關鍵助力,讓醫療院所無需大費周章發送問卷(詢問其核心供應商的資安策略),也不必再三追問第三方有無落實定期修補,便能透過簡單快速的非侵入方式,獲知第三方廠商的安全風險實況。
怎樣做到上述內容?李世勤說,首先醫院可將所有供應鏈名單導入至 SecurityScorecard 平台,以便於呈現整體的風險報表。其次建立自動化流程,意即讓諸多工序逐一轉換為自動化運行方式,例如當接收到某供應商資安評級偏低的相關警示後,便自動發送問卷,藉以追蹤其風險態勢。再來透過一連串供應鏈安全管理措施,提升整體供應商的資安韌性。
[ 加入 CIO Taiwan 官方 LINE 與 Facebook ,與全球 CIO 同步獲取精華見解 ]
李世勤進一步解釋,針對第一步的名單導入,他的建議是無論供應商屬於技術性、抑或非技術性,例如像是物流或食物供應商,全部都導入到 SecurityScorecard 平台,以利呈現整體安全評級,避免出現破口。接著醫院可按照每家供應商對其業務的影響程度高低,分類為不同層級,再針對不同群組展現對應管理作為。
至於接下來的自動化,重點在於建立自動化告警功能,譬如每當任何一家供應商發生資料外洩事件,務必要立即知道,不容許有所拖延。此後也要打造一個持續監控機制,確保整個供應鏈可以互動、交流並尋求改善。
進入最後階段,便是針對一些突發事件、例如發現某個零日漏洞,便在最短時間內,將這個資訊發送給可能使用相關高風險產品的供應商,引導他們上 SecurityScorecard 平台接收因應對策的建議。
(本文授權非營利轉載,請註明出處:CIO Taiwan)