![根据全国县市卫生官员协会(National Association of County and City Health officers)的数据,只有33%的组织制定了针对网络安全威胁的计划,并启动了患者身份保护协议。](http://www.alohadebbie.com/sites/default/files/field/image/Cybersecurity_HIMSS19_Staff_DF.jpg)
根据全国县市卫生官员协会(National Association of County and City Health officers)的数据,只有33%的组织制定了针对网络安全威胁的计划,并启动了患者身份保护协议。
随着全国县和市卫生官员协会2018年,国家卫生保健违规行为对这些组织来说仍然是代价高昂和灾难性的。每个病人记录的曝光费用可能高达400美元,黑客总是试图同时访问数十万病人的医疗信息。与此同时,全国协会还指出,只有33%的组织计划反对网络安全威胁并启动患者身份保护协议。
网络安全威胁延续到2019年
当然,2019年只会火上浇油。的一些大多数人预期医疗保健网络安全威胁今年的主题是个性化和选择性的增加,以及社交工程。特别是,这种趋势倾向于恶意行为者利用职业和个人活动之间日益模糊的界限。当人们使用工作账户访问个人资源或不加防范地遵循自带设备(BYOD)政策时,可能会导致意外数据暴露或为黑客提供进入个人工作场所网络的门户。
此外,网络钓鱼有望成为一种更高级的黑客手段,骗子会根据被骗者的广告偏好和社交媒体信息调整他们的电子邮件和信息。我们也不应该忘记,当黑客获取受害者的社会安全号码和信用卡数据时,身份盗窃的浪潮日益高涨。
医疗保健网络安全威胁中对个性化的日益关注使大多数医疗保健组织处于更高的危险中。除了直接和直接的软件攻击,黑客还会瞄准人为因素,试图从内部侵犯数据。如果服务提供者连最基本的防御能力都没有,它们就无法为进一步规划和减轻新出现的威胁拨出资源。
因此,避免患者数据泄露和减少和解罚款的第一步应该是在安全测试自动化的帮助下定期消除已知的威胁和系统漏洞。测试自动化为确保提供者的基础设施安全性带来了一个主要优势。它解决了基本问题,定义了单个系统的不同组件中最可能出现的瓶颈,以及检测不同应用程序和平台之间的集成漏洞。
测试自动化并不能为医疗保健系统安全保证提供灵丹妙药,应该与其他测试技术一起使用以提高效率。然而,它可以划掉已知的漏洞,以节省安全测试人员在探索性测试和减少潜在威胁上的时间。
下面是一个成功的安全测试自动化路线图示例。它展示了自动化安全测试之外可能的应用程序、限制和流程。
从全面的运行状况IT资产调查开始
医疗保健组织的内部IT基础设施是包含许多元素的系统,在测试自动化之前应该确定每个元素。这个清单不仅包括个人电脑、存储设备、服务器和安装的软件,还包括企业(或个人的BYOD)移动设备和医疗设备。
映射和理解这些物理资产、它们的位置、用途和它们运行的应用程序,安全专家可以评估风险并确定测试活动的优先级。
每种资产的风险都可以归为以下一类:
•组件(操作系统,固件,补丁,外部应用程序)
•系统范围的变化
•新的软件配置错误
风险分类允许组织发现并关注最紧迫的漏洞。它还有助于跨越医疗保健软件安全中更常见的问题,如未打补丁的操作系统、糟糕的身份验证、不充分的安全协议、弱密码等。
尽管这些漏洞微不足道,但它们可能是黑客的第一个目标。由于知道医疗保健机构可能缺乏强有力的安全政策,网络犯罪分子可以诉诸更简单的攻击,仍然可以成功获得未经授权的数据访问。另一方面,安全测试专家可以自动连续扫描,甚至消除此类漏洞。
自动化网络安全测试
基于定义的风险,安全测试专家可以将测试自动化的任务划分为功能性、非功能性、应用程序和基础设施安全扫描,以及应用程序逻辑测试组。测试团队还可以定义成功标准,以确保以有利于组织的方式处理关键的漏洞。
最佳实践之一意味着,分配给测试自动化的每个应用程序都可以分解为功能。这种方法提供了大量的应用程序测试覆盖范围,并帮助更有效地识别不同的漏洞。此外,安全测试专家可以根据发现的漏洞的严重程度对其进行分类,并相应地计划进行修复,可以通过一次升级,也可以通过多个补丁。
模拟网络攻击
尽管一系列自动化测试有助于揭示某些系统组件中的漏洞,但它仍然不能确保整个系统能够承受可能的破坏。为了确保恶性活动不会导致数据暴露或被盗,安全测试专家应该发起模拟攻击。它通常关注SQL注入、URL重定向和防火墙中的开放端口等安全基础。
安全测试团队还应该识别敏感系统,一旦受到攻击,这些系统可能会中断护理服务的交付。这种系统可以是与急性病人护理或手术相关的设备,例如麻醉监视器或透析机。根据这些应用程序或物理资产的敏感性,应该在有限制的情况下访问这些应用程序或物理资产,或者在模拟攻击期间完全不应作为目标,以确保患者的安全。
模拟攻击应该不时地重复,用系统更新、新的应用程序和设备覆盖新出现的漏洞。当然,它们应该被自动化以节省时间和精力。通过这种方式,安全测试专家将能够创建一个案例场景,然后调整它以覆盖更多变量,而不是手动重复整个过程。
安全测试自动化之外
一旦他们完成了基础设施安全测试自动化,安全测试人员将获得组织漏洞的整个知识库,它们的范围和严重性。这些信息可以作为进一步自动化的基础,例如:
•安全工作流
•持续的安全监控工具
•用于防止入侵的威胁检测
•威胁的反应
提供医疗服务的最佳实践在不断变化,因此卫生IT系统默认支持灵活的更新和升级。然而,这样一个系统中的每一个新组件都创造了一个承诺和一个潜在的漏洞。因此,安全测试应该被视为一个持续的过程,需要加强、调整和定期重复。
当然,提供商应该考虑使用手动测试工具来探索即将到来的威胁,并补充他们的自动测试结果,偶尔在不同的活动之间转移他们的焦点。只有保持灵活性,医疗保健组织才能保护自己免受基本和更高级的威胁。
编者注:作者Maxim Chernyak是at测试自动化和性能测试实验室的负责人A1QA他是功能和非功能测试的测试自动化方法和工具的专家。负责QA团队对最先进的质量工程实践的教育和采用。