随着《网络安全与韧性法案》在 Wetsminster 体系中不断推进,NHS 数字领导者已呼吁供应商签署一份自愿性网络安全宪章,以提升对勒索软件等威胁的防御韧性,并更好地保障供应链安全。
NHS 在网络安全漏洞方面有着悠久且不尽人意的历史,也许最著名的是其系统在 2017 年 WannaCry 事件中遭到持续攻击。最近,南伦敦地区的卫生服务受到了针对 Synnovis 的网络攻击影响,该公司为该地区多个 NHS 信托机构提供病理实验室服务。
鉴于日益增长和不断变化的威胁形势,以及事件频率和严重程度的不断上升,NHS 表示近几个月来情况已有显著改变。
在致供应商的一封公开信中,卫生与社会关怀部 ( DHSC ) 的国家健康与护理首席信息安全官 Phil Huggins、NHS England 的网络运营总监 Mike Fell 以及 NHS England 的国家转型总监 Vin Diwakar 表示: “作为 NHS 的重要合作伙伴,我们认为共同协作、团结一致进行防御至关重要。”
NHS 要求供应商在合理必要的情况下 —— 例如对于支持临床系统或处理机密患者数据的组织 —— 承诺保持其 IT 系统的维护和补丁更新,达到并维持数据安全和保护工具包 ( DSPOT ) 下至少‘Standards Met’的级别,配合 NHS England 现有的 MFA 政策应用多因素认证,部署对关键基础设施的全天候网络监控和日志记录,并建立针对关键数据的不可更改备份,同时制定适当的业务连续性与恢复计划。
该宪章还要求供应商在董事会层面开展事故响应演练,及时报告影响 NHS 客户的网络攻击并与其合作解决,同时只提供按照科技、创新与技术部 ( DSIT ) 及国家网络安全中心 ( NCSC ) 软件行为准则生产的软件。
Huggins、Fell 及 Diwakar 要求供应商通过签署宪章,承诺成为 “卓越且值得信赖的合作伙伴”。
“这份自愿性宪章将包含上述要求,并展示您作为健康与护理系统可信赖及安全合作伙伴的承诺。我们将在秋季推出一份自我评估表,届时供应商可以签署该宪章。这将为供应商充分理解八项声明并做好承诺提供时间。”他们如是说。
持续改进的挑战
鉴于在当前威胁环境下持续提升网络韧性是一项重大挑战,NHS 领导者还表示,他们已准备好并愿意确保卫生服务部门自身也发挥作用,例如开发定制工具,使供应商能够根据 NHS 需求审核自身供应链,并明确规定国家供应商管理平台及风险保障模型的要求。
NHS 还将审查其自身机构在签订合同时使用的合同框架,以确保适当的安全计划及预期。这是政府更广泛举措的一部分。
该卫生部门计划在未来几个月内举办一系列网络研讨会,并希望在秋季启动供应商网络安全论坛。
BlackFog 创始人兼首席执行官 Darren Williams 表示:“对于威胁行为者而言,敏感数据是最终目标,而 NHS 供应商则是大量高度机密信息的守护者。仅在第一季度,全球范围内医疗保健领域就成为勒索软件攻击的首要目标,共记录 57 起事件。”
“因此,NHS 呼吁其供应商提升网络安全实践以应对供应链上不断升级的威胁,这并不足为奇。鉴于一系列影响公私部门的勒索软件攻击,激励供应商的措施势在必行。这不仅关乎保护患者数据,更是确保关键服务的连续性。”
本文链接:http://www.xihao.site/showinfo-1-75951.htmlNHS要求供应商签署网络安全契约
