醫(yī)院正成為網(wǎng)絡(luò)犯罪分子眼里越來越誘人的目標。醫(yī)院網(wǎng)絡(luò)規(guī)模龐大，這些網(wǎng)絡(luò)上的PC保持正常運行至關(guān)重要，還有大部分與醫(yī)療保健相關(guān)的計算機系統(tǒng)在不受支持的操作系統(tǒng)上運行，這意味著保護醫(yī)院免受網(wǎng)絡(luò)攻擊越來越復(fù)雜。

于是黑客趁機為非作歹，分發(fā)勒索軟件或企圖竊取有關(guān)患者的敏感個人數(shù)據(jù)。

現(xiàn)在，為了應(yīng)對網(wǎng)絡(luò)犯罪分子對醫(yī)院構(gòu)成的日益嚴重的威脅，尤其是由于醫(yī)療網(wǎng)絡(luò)越來越依賴物聯(lián)網(wǎng)和聯(lián)網(wǎng)設(shè)備，歐盟網(wǎng)絡(luò)安全機構(gòu)ENISA發(fā)布了有關(guān)改善醫(yī)院網(wǎng)絡(luò)防御的建議。

雖然初衷針對醫(yī)療保健業(yè)，但是大多數(shù)建議適用于更廣泛的領(lǐng)域。

ENISA的執(zhí)行董事Juhan Lepassaa說：“該機構(gòu)竭力確保歐洲的醫(yī)療行業(yè)網(wǎng)絡(luò)安全，而 保護患者并確保我們醫(yī)院的彈性是這項工作的一個重要部分?！?/p>

《醫(yī)院網(wǎng)絡(luò)安全采購指南》白皮書推薦了十條優(yōu)秀實踐，讓醫(yī)療行業(yè)提高應(yīng)對網(wǎng)絡(luò)攻擊的能力。

1. 讓IT部門參與采購

這聽起來很簡單，但是一開始讓IT部門參與采購可以確保在技術(shù)采購過程的每一步都考慮到網(wǎng)絡(luò)安全，因為可以就新技術(shù)如何與現(xiàn)有網(wǎng)絡(luò)相適應(yīng)、需要另外采取哪些安全措施提出建議。

2. 實施漏洞識別和管理流程

這是不完美的世界，好多產(chǎn)品含有漏洞，有的是已知漏洞，而有的是尚未發(fā)現(xiàn)的漏洞。制定一項策略來管理設(shè)備整個生命周期中的漏洞，可以幫助安全團隊控制潛在的安全隱患。

3. 為軟硬件的更新制定策略

安全研究人員常常會發(fā)現(xiàn)設(shè)備和操作系統(tǒng)中的新漏洞。然而，醫(yī)療網(wǎng)絡(luò)在確保已打上補丁方面做得很糟糕——這是WannaCry勒索軟件當(dāng)初嚴重影響NHS的原因之一。該白皮書建議IT部門確定在每一個網(wǎng)段中打上補丁的最合適時機，并為無法打補丁的系統(tǒng)確定變通辦法，比如分段。

4. 增強無線通信的安全控制

應(yīng)通過嚴格的控制措施限制對醫(yī)院網(wǎng)絡(luò)的訪問，這意味著應(yīng)監(jiān)控和了解所連接設(shè)備的數(shù)量，以便識別任何企圖獲得訪問權(quán)限的意外或不需要的設(shè)備。該白皮書建議，未經(jīng)授權(quán)的人員不應(yīng)該訪問Wi-Fi，網(wǎng)絡(luò)密碼應(yīng)是強密碼。

5. 制定測試策略

購買新計算產(chǎn)品的醫(yī)院應(yīng)建立一套最低限度的安全測試，對添加到網(wǎng)絡(luò)中的新設(shè)備進行測試，包括一旦設(shè)備添加到網(wǎng)絡(luò)上就進行滲透測試，充分考慮到黑客會企圖濫用設(shè)備。

6. 制定業(yè)務(wù)連續(xù)性計劃

只要系統(tǒng)故障可能會干擾醫(yī)院的核心服務(wù)（這里是患者護理），就應(yīng)該制定業(yè)務(wù)連續(xù)性計劃;在這種情況下，必須明確定義供應(yīng)商的角色。

7. 考慮互操作性問題

機器傳輸信息和數(shù)據(jù)的能力是醫(yī)院能夠正常運行的關(guān)鍵，但萬一遭遇網(wǎng)絡(luò)攻擊或停機，這種能力可能會受到損害。如果這種運行受到危及，醫(yī)院應(yīng)有備用計劃。

8. 對所有組件進行測試

應(yīng)該定期測試系統(tǒng)，以確保它們提供良好的安全性，同時兼顧易用性和安全性——比如說，IT部門應(yīng)確保用戶未將復(fù)雜的密碼更改為較簡單的密碼。所有這些都應(yīng)在測試過程中加以檢查。

9. 允許審查和記錄

保留有關(guān)網(wǎng)絡(luò)上測試和活動的日志，可以確保萬一遭到攻擊，更容易跟蹤發(fā)生的事件以及攻擊者如何訪問了系統(tǒng)，并且評估哪些信息受到了破壞。該白皮書說：“保持日志安全是最重要的安全任務(wù)之一?！?/p>

10. 加密靜態(tài)和傳輸中的敏感個人數(shù)據(jù)

為了確保符合《數(shù)據(jù)保護通用條例》，并確?；颊吆蛦T工的安全，應(yīng)該對敏感信息進行加密，那樣如果外人確實可以訪問系統(tǒng)，這些信息對他們來說也可能無用。

如果遵循該建議，醫(yī)療保健機構(gòu)就可以確保盡可能保護好網(wǎng)絡(luò)、員工和患者，免受網(wǎng)絡(luò)攻擊。

責(zé)任編輯：Ct