云安全联盟(CSA)发布了一篇题为《医疗保健供应链网络安全风险管理》的论文。该报告是由卫生信息管理工作组起草的,提供了医疗保健交付组织(HDO)可用于管理与其供应链相关的网络安全风险的最佳实践。
HDO面临着许多来自不同类型的供应链供应商的风险,包括食品供应商、软件供应商、医疗设备、药品和日常医疗用品。这种复杂性和相互依赖性极大地增加了网络事件的后果,不管是敏感的个人信息泄露还是供应链的实际供应中断。
“医疗保健交付组织每年都会在数千家供应商上花费数十亿美元。然而,研究表明,目前评估和管理供应商风险的方法是失败的。向云计算和边缘计算的转移扩大了HDO的电子领域,不仅使其更难保护其基础设施,而且使它们成为了更具吸引力的网络攻击目标。
“鉴于供应链的重要性,HDO识别、评估和缓解供应链网络风险以确保其业务弹性是至关重要的。”该论文的第一作者、卫生信息管理工作组联合主席James Angle说。
由于HDO及其供应商仍然是高价值目标,受到网络攻击的代价将比以往任何时候都要高。此外,目前供应链风险管理方法的问题也正在造成额外的经济负担,因为卫生与公众服务部和民权办公室对各组织的罚款和调查也都在增加。
“不幸的是,对供应链的利用不仅是一种潜在风险,而且是一种现实。不安全的供应链会严重影响HDO的风险状况和安全,更不用说其底线了。”风险、审计、控制和合规专业人士、CSA研究员、论文投稿人Michael Roza说道。“因此,HDO有义务确保其供应链合作伙伴能够遵守数据管理政策,以确保其组织和用户的安全。”
在应对供应链内的网络风险和安全时,给HDO的建议是:
- 盘点所有供应商,然后按优先次序排序,确定其认为是战略供应商的供应商。
- 根据风险对供应商进行分级,尽可能的使用第三方风险评级服务。
- 在合同中要求供应商保持安全标准。
- 制定重新评估供应商的时间表。
