降低OT网络安全风险，实施最佳实践

网络安全已经成为一个组织最重要的财务和声誉风险之一。网络安全威胁不断增加的例子包括:

• 德克萨斯州、佛罗里达州、马里兰州和佐治亚州的超过22个政府机构最近面临勒索软件攻击
• 在勒索软件袭击多所学校后，路易斯安那州宣布进入紧急状态
• 卫生与公众服务部(HHS)而且民权办公室(OCR)2018年收到351起数据泄露通知，曝光13020821份医疗记录
• 每年几乎有1.2亿种新的恶意软件被发现。

如今，成为网络事件受害者的可能性非常高。在医疗保健领域，一旦发现漏洞，组织在管理情况方面的每条记录成本最高可达400美元。事实上，在过去3年里，OCR对医疗保健提供商的平均罚款约为240万美元。

许多组织倾向于将网络安全责任分配给一个由专业人员组成的部门，并且很容易将大部分安全工作集中在技术上。这得到了网络安全供应商的支持，这些供应商倡导基于人工智能的入侵检测等技术产品。虽然这些产品是基本安全的必要工具，但它们不能替代全面的网络安全方法，其中包括强大的网络安全工具、强有力的治理和广泛的组织参与。下面的例子应该有助于说明这一点。

由于医疗设备安全风险，由变通措施引起的潜在违规

美国退伍军人事务监察长办公室(OIG)发现，加州退伍军人医疗中心的医疗设备存在安全风险，可能导致133名患者的数据泄露。事情是这样发生的:

许多医疗设备都使用微软Windows XP操作系统(OS)。微软已经停止支持Windows XP，这使得这些医疗设备容易受到网络攻击。因此，VA医疗中心决定将高分辨率食管压力测量(HRM)医疗设备计算机从Windows XP更新到Windows 7.3。更新导致hrm - ehr接口停止工作。生物医学和IT人员没有解决软件界面问题后的操作系统更新。

医疗设备是医院运营的关键，使其成为操作技术(OT)类别的一部分。不可用的OT设备会破坏临床工作流程，导致效率低下或潜在的患者安全问题。因此，医疗中心的GI供应商开发了一种解决方案，使用非加密闪存驱动器、存储设备、笔记本电脑和个人电子邮件将患者信息从设施HRM传输到EHR。提供者使用个人电子邮件和短信进行的通信包括敏感的患者数据。

此外，整个事件缺乏生物医学、IT、临床医生和风险/隐私/合规团体之间的沟通和协调。

主要经验包括:

• 医疗设备(即OT)的网络安全需要特别考虑。在这种情况下，从Windows XP更新到7.3影响了系统的功能，具有临床意义。
• 医疗设备(即OT)网络安全需要与IT、网络安全、资产管理、临床医生和风险/合规管理团队的成员进行跨职能接触。
• 医疗设备(即OT)网络安全政策文件可以作为治理和培训的指导框架。
• OT网络安全通过基于风险的整体方法更加有效，该方法结合了设备、网络、流程、政策和培训以及组织文化层面的实践，需要适当的领导参与。

一个由于操作失误导致的CT扫描仪勒索软件

在一家郊区医院，CT扫描仪控制台没有密码保护。因此，一名清洁工偶尔能够使用这个连接互联网的控制台检查他们的电子邮件，并在此控制台上检查电子邮件时成为网络钓鱼攻击的受害者。这次攻击锁定了CT系统，并要求支付600美元的赎金。为了控制扩散风险，CT被拆除了大约3天，花费了医院至少1.8万美元。如果恶意软件从这台设备扩散到更广泛的企业网络，它的破坏性和成本都将更大。

制定OT网络安全战略的四个问题

在制定强大的OT网络安全策略时，请考虑以下问题:

• 我的网络安全策略在各种风险场景下是否有效?
• 我的策略是否对所有潜在的网络相关风险提供了充分的可见性?在范围的排除中隐含地承担了哪些风险?
• 我的策略是否包括正确的治理和支持流程，以及正确的启用技术?
• 我是否有高级行政领导参与网络安全工作的治理、资源分配和决策?

-本文最初发表于MediTechSafe的知识中心．MediTechSafe是CFE Media的内容合作伙伴。由网页内容经理克里斯·瓦夫拉编辑，控制工程， CFE媒体与技术，cvavra@cfemedia.com．

原始内容可以在www.meditechsafe.com．

您是否具有本内容中提到的主题的经验和专业知识?你应该考虑为我们的CFE媒体编辑团队做出贡献，并获得你和你的公司应得的认可。点击在这里开始这个过程。