E安全5月10日讯  对医疗保健组织机构来说，如今真的比以前安全吗？要建立更有效的安全态势，这是一个时刻需要考虑的问题。

Distil Networks公司的首席执行官拉米·埃塞德，黑市上一份医疗档案售价高达3452元。

然而，大多数人并未意识到，医疗数据被盗远比信用卡和社保卡信息被窃更具破坏性。

第一，被窃医疗记录能被用来实施各种犯罪活动：更多的个人数据盗窃、支付卡欺诈、医疗保险欺诈等等。

第二，这些攻击通常会是持续性的，受害者在余生中可能还会受到影响。

不过，人们不得不被迫选择相信医疗保健组织机构会防止医疗数据外泄。不幸的是，许多医疗保健机构资源、预算和时间有限，还在为保护系统安全努力。

从另一行业转行到医疗保健行业的CISO需要了解行业形势。此外，CISO必须认识到，将安全整合到医疗保健机构的软件开发生命周期是一件困难的事。

埃塞德建议医疗保健行业的CISO首先应审查健康信息信任联盟（HITRUST）的共同安全框架（CSF）。

其次，许多医疗保健机构应熟悉NIST 800-53R4框架，尤其处理医疗保险和医疗补助服务中心（CMS）的医疗机构。美国政府将NIST 800-53R4框架作为安全计划的核心。

埃塞德建议从基础抓手，同时不要忘了API。

一般而言，医疗保健机构需要从以下基础做起：

• 培训、教育并提高员工对社交工程和内部威胁的意识。

• 更好地了解网络犯罪分子的动机，以及网络犯罪分子正在寻找的关键资产，之后采取相应的保护控制措施。

• CISO应建立必要的安全审计、流程、程序和合规。

埃塞德认为，采用开放式Web应用程序安全项目（OWASP）安全开发指南不失为一个好主意，因为20个OWASP自动化威胁（OAT）中，有7个被认定为医疗保健行业的主要威胁。

相关阅读：

2017 OWASP十大安全趋势榜单变化解析
OWASP API安全项目简介

此外，切勿忽视网站内容和API的访问控制，因为过去曾在用户界面传达的安全实践正向API后端转移。

埃塞德解释称，除了传递更快和易于集成的优势，使用API也存在一些安全优势。将这种逻辑集成到API有助于解决UI相关的一般安全问题。

网络犯罪分子会使用恶意程序（OWASP将其称之为自动化威胁）攻击登录屏幕、窃取患者记录，并执行账户欺诈活动。然而，有人使用网页数据抓取程序窃取独特内容，以提供保单报价。

他指出，不准确的报价会让客户沮丧，大肆抓取数据甚至可能会拖慢速度并导致宕机。虽然API拓宽了组织机构的攻击面，但同样的安全开发也可实施最佳实践保护组织机构。