鉴于供应链攻击的增加，医疗保健企业应如何开展供应商风险管理以防止数据泄露?

对于医疗保健和福利提供商而言，确保受保护的健康信息和其他个人身份信息具备稳健的网络安全至关重要。

虽然HealthEquity是一家健康储蓄账户(HSA)托管机构和其他消费者导向福利的管理机构，而非医疗保健提供商，但为缓解供应链攻击的风险，处理敏感成员数据的企业必须采用以技术为驱动、基于风险的方法来管理供应商风险，在供应商生命周期内整合安全控制，并规划持续的供应商尽职调查(合同前审查、验证持续遵守合同义务、应急计划制定等)。

该方法应包括供应商细分、访问控制、部署零信任和网络细分、安全软件供应链和软件物料清单(SBOM)合规性、合同安全控制以及持续合规等方面。此外，关键供应商必须参与网络演练，以提高应急响应准备程度。

您建议医疗保健行业的CISO如何平衡安全性与可访问性，以确保数据得到保护而不影响患者护理?

在任何企业(无论是医疗保健企业还是其他企业)中，安全团队都面临着平衡安全性与可访问性的重要挑战。一个关键方面是采用基于风险、以成员为中心的方法，确保实施强有力的安全措施而不妨碍工作流程。

作为HSA托管机构和其他消费者导向福利的管理机构，我们可以通过使用零信任模型和自适应身份验证(例如基于风险的多因素身份验证)来定制工作流程，从而在执行高风险活动时，在减少摩擦的同时加强安全保障。

此外，诸如基于上下文的访问控制、基于角色的访问控制、实时数据丢失防护(DLP)以检查和保护个人健康信息(PHI)，以及令牌化机制等控制措施，可以帮助员工安全访问敏感数据，而不会暴露原始敏感记录。

许多医疗保健提供商的遗留系统难以轻易修补。安全团队应如何减轻与过时基础设施相关的风险?

虽然修补至关重要，但对过时基础设施采用实用、分层的安全方法可以在一定程度上减轻风险。我的建议是，通过使用安全层和软件定义边界，将遗留系统与面向互联网的服务和其他现代应用程序隔离开来。

配置良好的Web应用防火墙可以阻止针对遗留系统的已知漏洞利用。终端检测与响应(EDR)解决方案和基于人工智能的行为分析可以提供额外的保护层。然而，虽然对遗留系统进行分段、加固和监控可以争取时间，但迁移至现代化堆栈至关重要。

医疗保健行业的合并与收购带来了重大安全风险。在收购之前应执行哪些强制性网络安全尽职调查步骤?

合并与收购交易可能引发重大网络安全风险，包括数据泄露、合规性问题以及整合挑战。

在收购前的协议中，应强制执行结构化的网络安全尽职调查流程。这涉及对公司管理安全风险的政策、控制和措施以及治理实践的严谨性进行全面评估。

技术评估应确认实施中的措施是否反映了这些实践，以确保良好的安全态势。收购后，安全从业人员越来越多地采取的一种做法是“假定已发生泄露”，即，在将收购对象与母公司集成之前，将其安全控制重建到可接受的状态。

有哪些被低估但效果很好的安全措施，更多医疗保健企业应该实施?

一项被低估但效果很好的安全措施是贬值数据。数据对公司来说至关重要，无论是个人健康信息、财务数据，还是更广泛的消费者非公开信息，都需要公司保护。

如果相信任何公司的安全控制都不是完美的，那么需要考虑的是，当发生成功的数据泄露时，如何让数据对未经授权的一方无法使用。一种有效的做法是，通过应用诸如数据令牌化或采用正确的密钥管理实践对数据进行加密等措施，确保在数据泄露时，通过使数据对攻击者无法使用来最大限度地降低其影响。

企业网D1net(www.d1net.com)：

国内主流的to B IT门户，旗下运营国内最大的甲方CIO专家库和智力输出及社交平台-信众智(www.cioall.com)。旗下运营19个IT行业公众号(微信搜索D1net即可关注)。

版权声明：本文为企业网D1Net编译，转载需在文章开头注明出处为：企业网D1Net，如果不注明出处，企业网D1Net将保留追究其法律责任的权利。