放射線部如何加強網路安全維護
原始連結:Radiology needs to beef up proactive measures to prevent security breaches. (閱讀時間:8 分鐘)
這是 Radiology Today 雜誌的專欄作家 Beth W. Orenstein 寫的一篇關於放射線部可以採取一些什麼措施來防範網路攻擊的文章。
今年度最有名的網路攻擊大概是 WannaCry 這隻勒索病毒,除了全球性大規模的感染外,對醫療方面造成的衝擊主要是在英國的 NHS,有許多的預約——包括手術——被迫取消。除了造成這類工作停擺的攻擊外,另一種更令人擔心的攻擊是對 CT scanner 的攻擊,如果入侵機器使得檢查時放出大量輻射造成病人的傷害,後果不堪設想。
有什麼方法可以加強網路的安全?
- 不只被動遵守原則,而主動思考可能的危害,並減低損害
-
當購買儀器時就要把製造商的安全維護列入考慮
HIMSS/NEMA 提出過一份文件 Manufacturer Disclosure Statement for Medical Device Security 裡面包含了和廠商簽約的時候可以參考的一串 check list,分成隱私和安全性兩大類,可供參考。另外和廠商的保養合約裡最好也包含軟體持續的安全更新,什麼時候會有新的病毒、新的 bug 出來也說不準。 -
不要設定太過複雜的密碼原則
如果密碼原則太過複雜,使用者就可能因為記不住,反而是用手寫的方式,例如貼個便條紙在螢幕旁,反而更危險。但如果密碼太容易記也很危險,所以建議可以透過一些密碼管理軟體,例如 LastPass。另外,美國國家標準技術研究所其實也已經改提供新的密碼原則了:
- 儘量 user friendly
- 長度 8–64 字元,可使用任何的特殊字元,也包括 emoji
- 不要求定期更改密碼 (轉頭看看國內的網路銀行)
-
加密金鑰要和系統分開放
-
系統權限不要亂開
不是所有人都要給高的權限,足夠完成他的工作就好,另外新人在還不熟悉的情況下,也不要給太大的權限。 -
指派 CSO (chief security officer) 專責網路安全
-
部門裡要有 IT 人員定期做安全測試
-
放射線部最要有自己的內網,而不是和整個醫院共用
除了安全的考量外,在自己的內網裡傳送大量的圖片資料也比較快 -
多用開放原始碼的軟體
因為開放原始碼的軟體有較大的社群來維護,相對起來有漏洞也較快被補起來,如果用的是廠商自己的封閉系統,只好祈禱他們會及時修補。 (個人覺得這點不太實際)
