数字健康徽标

特别报告:网络安全

Cyber​​sec_header_sized.

最近由NHS英国CIO的vannacry攻击审查已经闪耀着NHS网络防御缺陷的明亮光芒。随着普通数据保护规范,在这个春天生效,以及一系列遗留的微软系统,击中了他们的支持状态的结束,只是在NHS内的网络安全战略的情况下,在哪里立场? Davey Winder调查。

根据NHS英国的首席信息官员颁发的新发布的审查,只有1%的NHS活动由Wannacry直接影响 236家医院信托的80个受影响的80个,加上7,545国会贸易委员会实践的595个。然而,NHS基础设施的脆弱性被揭露了所有人。

在网络安全,未分割的遗留软件和不可平蜜的硬件设备中历史投资不足;随着个人信托内最高级别的纪律和责任差。

虽然在1月底运行的NHS上运行NHS中的设备数量仅为1.8%,但NHS英格兰承认由Wannacry感染的大多数设备在受支持的情况下运行,但未被删除的Win​​dows 7 OS。

事实上,由于攻击本身超过两周的CARECERT咨询,所以由Wannacry影响的那些80个受到Wandacry的信托的信任都没有应用了Microsoft补丁。

“每周智能公告被送到所有健康和护理,确定新的和新兴威胁,提供缓解和修复咨询,”根据NHS数字发言人。

“我们通过引入Carecert SMS进一步开发了我们的警报系统,用于提醒联系人提出了主要事件。”

国家战略,地方焦点

因此,NHS组织现在正在采取哪些网络安全步骤,它们足以防止未来的攻击?

NHS Digital Shokesperson指出,该组织正在增加其支持当地组织的能力 开发增强的安全运营中心.

“这将增加我们监控本地网络的能力,提供具有近实时威胁情报的健康和护理组织在其基础架构上。”

她补充说,NHS数字已经完成了150多个“现场评估标识在本地基础架构中修复的问题”这是后跟“现场支持帮助修复任何已确定的问题”作为现在的非侵入式漏洞扫描过程的一部分。

虽然这是令人鼓舞的,但是,欧洲医学总监博士和NHS医生博士:警告说:在地方一级特别是,我们需要继续推动C级高管赞助并解决网络安全应急计划的关键性。”

这是他说时会智能地址的一个区域“本地组织必须确保有效管理其技术基础设施,系统和服务。”

Fortinet的公共部门主任Graeme Stewart强烈认为,网络安全正在获得更多的通话时间。 “现在在组织层面更好地了解风险,这是推动对个人IT部门的行为变化。”

减少漏洞

聪明地补充说“全国范围内,已签署了与Microsoft的新协议,其中包括其当前Windows设备的补丁操作XP。”

企业威胁检测服务(ETDS) 来自微软是一个很好的开始,但是“卷展栏一直缓慢,只有ETDS将无法解决问题”Warns Mike Pannell,Cycere Consewner,Cyber​​和Majors的安全主张&公共部门在BT。

在春天,NHS Digital将推出新的数据安全和保护工具包,以提供NHS组织“修订后的进程,以评估,衡量和发布其对国家数据监护人的10个数据安全标准的绩效。”

目前,任何可以在NHS内建立弹性的东西,并专注于减少漏洞的补救计划必须受到张开的欢迎。

回顾Wannacry,许多信任无法正确地保护他们面向N3宽带网络的防火墙,在NHS英国报告中突出显示,作为许多错过的缓解机会之一。

N3目前被健康和社会护理网络所取代 (HSCN)根据DESOPSIS的信息治理主任,这将提供“健康和社会护理组织的机会汇集资源,以检测网络级别的网络攻击。”

HSCN包括提供网络监控和网络分析工具,以识别源自互联网的攻击。

教育,教育,教育

在南安普顿大学医院信托的Cio andrian Byrne表示,只要预防未来的攻击就会发生“我们很好,在我们一直都是专注于做好周边安全性的地方,在邮件中有点更多,培训更多。”

Byrne承认,工作人员仍然是最大的脆弱性。 Keiron Salt,Cio Health的东西&在BT运输,当他说的时候就拿起了“卫生组织必须考虑成功的网络安全战略的人民,文化和过程元素;确保适当的培训,知识和过程是相对于风险的。”

当帕洛阿托网络 调查了100 NHS IT经理 在去年年底,它发现只有11%的医生和6%的护士接受网络安全培训。

聪明承认挑战是“将我们的心态更改为系统地评估和管理对我们在网络攻击所带来的服务的威胁的人。” NHS英格兰’s WannaCry review recommends that “NHS组织的董事会应承接年度网络意识培训” and that “所有组织都应考虑是否应从未成功完成此强制培训的工作人员的成员删除访问IT系统和服务。”

这是通过另一种建议的推荐,除强制性和法定培训外,应该有“定期和有针对性的网络和信息安全意识培训适合他们的工作角色。”

网络安全支出是否加起来?

当然,所有这些都花钱。乞求这个问题,是NHS在网络安全上支出吗?

根据NHS英格兰的说法,在Wannacry攻击数字送货局之后 “已扭转“2100万英镑的资本 解决主要创伤中心和救护车信托中的关键漏洞。

已经确定了另外2500万英镑的资金,以支持那些自我评估的组织,他们的自我评估显示他们不符合高度的CAlecert警报。

作为2018/2019和2020/21之间的锻炼的锻炼的一部分,已经确定了150万英镑以重点关注当地基础设施“国家制度和服务,以改善监测,弹性和反应。”

这反对一个上下文背景,即12月 NHS改进技术和数据保证委员会注意到 仅仅在于NHS英国Wannacry评论之一’建议将在10亿英镑的地区成本。

然而,作为尼尔梅勒,BT安全的业务发展总监指出“这不仅仅是NHS是否已经花了足够的问题,而且是否投资正确的安全减轻以使网络风险保持在可接受的水平。 ”

这意味着鉴于风险曝光是基于IT庄园和已知漏洞的准确图片,鉴于潜在的利用,并且能够适当地重视风险。

“经验教训评论”报告 从NHS英国提出了22项建议,从NHS数字制定国家响应议定书,所有批准的IT供应商必须遵守,以确保24/7关于调用支持单位的呼叫护理和联系。

聪明很清楚,一定尺寸适合的所有方法都不会在健康和社会护理中努力,坚持不懈需要做NHS的反应“鉴于大型急性医院或主要创伤中心和小型住宅护理家庭之间的差异,每个组织提供的服务的规模和类型的比例和类型。”

仍有待观察有多少审查建议,以及实现过程需要多长时间。

2018年医疗保健威胁景观

今年的主要网络安全趋势是什么,是为他们准备的NHS?我们将这个问题放在南安普顿大学医院信托Cio,阿德里安Byrne:“我希望通常的电子邮件附件威胁继续。我希望更多地部署移动设备管理。我不’期待看到另一个大零点的东西,因为这些似乎是相当经常的几年间隔。

我希望看到DDOS增加(分布式拒绝服务攻击)和蛮力尝试,因为人们在互联网或云中运行更多服务。但人们希望更多地测试他们的员工,并掌握加密检测等所有基本措施…”