与哈里斯健康首席网络和信息安全官杰弗里·文森的问答：“唯一安全的一天是昨天。”

开辟一条道路，或者用杰弗里·文森的话说，“站在矛尖上”并不总是那么容易，特别是在像网络安全这样受到高度关注的领域。 但是，当有机会申请拨款来帮助确定共享威胁信息和保护基础设施的方法时， 哈里斯卫生系统 接到电话后，立即开始研究如何改善整个行业的协作。 “我们需要在整个行业共享信息，”他在接受 healthsystemCIO 总编辑凯特·甘布尔 (Kate Gamble) 采访时表示。 “了解是成功的一半。”

Vinson 对这场战斗了如指掌，他在 2013 年来到哈里斯之前，已经在军队和国家安全局积累了丰富的经验。他了解到，赢得这场战斗的关键是确保 CISO 和其他信息安全领导者参与关键的工作。讨论。 他表示：“我们希望参与进来，确保技术的使用方式不仅能保护数据，还能保护从技术中受益的人。” “我们必须了解使命，以及如何在支持业务的同时保护业务。”

自从来到哈里斯以来，文森一直致力于提升信息安全团队的作用，并创造一个网络安全成为“结构的一部分”的环境。 在这次采访中，他谈到了他如何努力改变文化，他认为保护数据的最大障碍是什么——最重要的是患者，以及为什么他认为网络安全专业人员走出阴影如此重要。

使用下面的播放器在此处收听或通过您喜欢的播放器订阅 播客 服务。

播客： 在新窗口中播放 | 下载 （持续时间：23:13 — 13.7MB）

订阅： 苹果播客 | 谷歌播客 | Spotify | 安卓 | 潘多拉 | 爱心电台 | 缝合器 | 追球者 | 播客索引 | 电子邮件 | 调入 | RSS

要点

• 关于建设网络安全文化： “网络在组织结构中根深蒂固……我们从一开始就一直在宣扬和倡导参与其中。”
• 关于与 HHS 合作： “从公共卫生的角度来看，我们需要在整个行业共享这些信息； 知道是成功的一半。 我们希望传达这一信息。”
• 关于保持平衡： “我们当然不想成为阻碍新技术发展的人，但我们希望参与其中，以确保我们不仅可以保护数据，还可以保护那些想要保护新技术的人。从技术中受益。
• 关于为企业提供建议： 在 Harris Health 中，最重要的是网络安全在使命和战略愿景中发挥着重要作用，并与首席执行官密切合作……我们不是事后才想到的。 我们会与首席执行官、合规部门和 IT 合作伙伴一起传递信息，并坐在一起，以确保我们正在降低这种风险。”
• 关于 CISO 在活动中的发言： “我们历来都处于幕后，保护幕后的事物。 但当我们更多地关注风险和不断发展的网络计划时，重要的是我们坐在那张桌子上，帮助围绕网络安全的重要性传达信息。”

与 Harris Health 首席网络和信息官 Jeffrey Vinson 的问答

赌： 嗨，杰弗里，非常感谢您抽出宝贵的时间； 我们真的很感激。 我期待听到您的观点。

文森： 感谢您的款待。 我期待着这次谈话。

赌： 让我们首先了解有关该组织的一些信息。 您能否提供 Harris Health 的高级概述——您拥有哪些医院、您所在的位置等？

文森： 当然。 哈里斯医疗系统为哈里斯县服务不足的人群提供护理，哈里斯县是德克萨斯州人口最多的县，也是美国人口第三多的县。 我们是一个公共安全网。

我们拥有两家主要医院：Ben Taub 医院（一级创伤中心）和 Lyndon B. Johnson 医院（三级创伤中心），以及哈里斯县周围 30 多家诊所。 我们在哈里斯卫生系统所做的努力对该县本身以及整个德克萨斯州的成功至关重要。

“网络是我们文化的一部分”

赌： 我想对你来说，在医院外提供护理会增加这个角色的复杂性——我们稍后会详细讨论。 但首先，您认为网络安全领导者面临的最大挑战是什么？ 最大的障碍是什么？

文森： 当你审视信息安全时，医疗保健仍然是美国受攻击最严重的行业。 其他行业和部门也发生了发展，包括金融服务。 在医疗保健领域，这是一个非常微妙的平衡行为，因为我们的使命是提供患者护理和优质服务。

当您在该领域进行网络安全时，您当然需要锁定您的系统，但当我们谈论医疗保健行业本身时，这不一定是深思熟虑的。 在 Harris Health，网络是我们文化的一部分。 它已根植于我们组织的结构中。 但当你审视整体医疗保健和整体公共卫生时，情况并非总是如此。

本届政府正在发生转变，出台了多项网络法规。 我们于 2022 年 12 月制定了综合支出法案，现在 FDA 正在采取更多行动。 因此，我们正在取得进展，但在医疗保健网络安全方面我们明显落后。

挑战：易受攻击的操作系统

赌： 您认为这是否反映了医疗保健在数字体验方面落后于其他行业的事实？ 还是有其他因素？

文森： 有很多因素。 正如我提到的，这是一个非常微妙的平衡行为。 例如，对于医疗设备，制造商会构建这些解决方案并设置它们并忘记它们。 其中一些已经存在了 20 或 30 年。 他们擅长自己的工作，但他们的操作系统存在漏洞，威胁行为者和网络犯罪分子知道如何利用该技术。

现在，我们有了历史数据。 我们正在研究当医疗机构遭受网络攻击并且勒索软件锁定系统和被利用的漏洞时的死亡率。 这种情况必须改变； 你不能做同样的事情却期待不同的结果。 这是一个挑战。

挑战：缺乏资金

当然，另一个就是资金。 您拥有不同规模的组织：诊所、小型医院、大型医院等。HIPAA 安全规则尚未真正更新； 他们有耻辱墙，并处以罚款，但并没有真正的重点说，“一家拥有如此多收入和如此多患者的医院必须拥有这些东西。” 或者为较小的组织提供帮助。

同样，这也是有动力的，但在这真正发生之前，我们在医疗保健方面将继续落后。 我们甚至还没有触及我们所有人都面临的资源挑战，无论哪个行业。

“需要一个村庄”

这绝对是一场艰苦的战斗。 在新冠疫情期间，多家安全公司免费提供了他们的解决方案，但您需要有人来实施这些解决方案。 正如我之前所说，这是一个微妙的平衡行为。 这些安全解决方案有时会无意中破坏患者护理和服务质量。 您当然不想给患者护理带来挑战，因为您要保护系统。

因此，实施这些解决方案确实需要一个村庄，并且需要大量的沟通。 医疗保健领域的挑战已经存在相当长一段时间了； 我们不认为它们会消失，但现任政府在国家层面确实产生了很多积极的推动力。

你提到了乡村医院。 已经提供了一些资金来帮助乡村医院向前发展，这很重要。 我们当然喜欢我们所看到的。

传达消息

赌： 我认为听到国会山关于网络安全的讨论是非常有效的。 如您所知，这需要很多人不断地鼓噪并提升这些对话的水平。

文森： 确切地。 为了更多地分享有关 Harris Health 的信息，我们于 2015 年从卫生与公众服务部获得了第一笔网络威胁信息共享赠款。 我们确实已经站在矛尖了。 从公共卫生的角度来看，我们需要在整个行业共享这些信息； 知道是成功的一半。 我们希望传达这一信息。

哈里斯健康系统的总部位于贝莱尔，但我们也是德克萨斯医疗中心的一部分。 因此，我们正在进行大量的合作，以确保我们从网络角度保护该地区。

人工智能的“护栏”

赌： 当你观察我们在人工智能和机器学习方面看到的一些趋势时，显然存在很大的潜力。 但从网络安全的角度来看，存在一些担忧。 你的做法是什么？

文森： 我们绝对监控我们组织的使用情况。 当你将其扩展到更大的公共卫生领域时，这项技术可以发生很多积极的事情。 但正如我们所知，对于任何积极的事情，威胁行为者和网络犯罪分子都知道如何对其进行逆向工程并将其用于自己的优势。

因此，尽管我们确信它将不断推动医疗保健行业的发展并同时提供优质的护理，但我们确实观察到。 我们监控。 我们从行业的角度来看待正在发生的事情。 国会山上有很多讨论，以确保这项技术不会被用来做坏事，而只会被用来做好事。

用数据“画一幅画”

我们将确保为我们的组织设置护栏并了解其使用方式。 因为如您所知，对于 ChatGPT 和其他形式的人工智能，一旦信息被输入其中，它就会被公开供公众使用。 在网络世界中，有一种东西我们称之为数据聚合； 您可能认为这只是一小段数据，但是一旦您开始聚合所有这些数据，您就可以绘制一幅图画。 因此，尽管人工智能确实存在许多隐私问题，但从患者护理的角度来看，可以带来很多好处。

启用和保护业务

赌： 看起来你的很多角色都是为了取得平衡或试图保持平衡。

文森： 绝对地。 在 Harris Health，我们融入了业务，这意味着我们不仅仅从技术角度来看待它。 我们必须了解使命，了解我们如何融入并支持该业务，同时保护它。 我们当然不想成为阻碍新技术发展的人，但我们希望参与其中，以确保我们不仅可以保护数据，还可以保护那些将从中受益的人。来自技术。

“我们不是事后的想法”

赌： 您之前提到过拥有安全文化——我想多谈谈这一点。 实现这一目标的关键是什么？

文森： 它为高层定下了基调。 我在这里已经十年了，我们从一开始就一直在讲道、倡导，自下而上地参与各种会议。 这需要时间。 我想说的是，十年后，我们已经做到了； 从董事会会议室一直到收发室。 这就是我所说的成为文化的一部分的意思。

我们的首席执行官 Esmaeil Porsa 博士给了我们很大的支持。 他每月参加我们的威胁情报会议，我们在市政厅会议上发言。 我们的董事会当然与那里正在发生的事情保持一致。 我们有时每天都会通过我们的信息为企业提供建议。

在 Harris Health 中，网络安全在使命和战略愿景中发挥着重要作用，并与首席执行官密切合作，这一点至关重要。 我很高兴地说我们不是事后才想到的。 我们在那里传递信息，并坐在首席执行官、我们的合规和 IT 合作伙伴（事实上，我们所有的合作伙伴）旁边，以确保我们正在减轻这种风险，因为我们当然希望为这一伟大使命做出贡献哈里斯健康 (Harris Health) 并成为成功的一部分。

这就是我们能够做到的。 消息传递、品牌推广、谈论网络以及了解最新情况。 2015年获得这笔资助确实很重要。整个行业的情况已经成熟，但我们可以看到我们当时所做的工作从国家战略的角度继续蓬勃发展，甚至从医疗器械安全的角度来看。 有时，开辟一条道路并处于矛尖并不容易，但十年来我们一直做得很好，而且事情确实开始开花结果。

网络安全的十年演变

赌： 担任该职位已有一段时间了，您已经看到了 CISO 的演变。 您之前曾提到过这一点，但您是否认为安全领导者成为更具战略性的业务领导者并且不再仅仅关注网络是一个渐进的过程？

文森： 在过去的十年里，它确实有所增长。 但你必须照顾它，对吗？ 你必须给它浇水，让它成熟。 从历史上看，我们一直处于幕后，保护幕后的事物。 但当我们更多地关注风险和不断发展的网络计划时，重要的是我们坐在那张桌子上，帮助围绕网络安全的重要性创建信息。

我们希望每个人都成为网络大使——这一信息来自我们的首席执行官。 正如我之前在谈话中所说，医疗保健是最受攻击的行业之一，因此，弹性非常重要。 我们必须在那里讨论网络问题如何影响临床操作，如何影响我们的组织，以及当这种情况发生时我们如何生存。

“我们是战略愿景的一部分。 我们就在这之中。”

这就是我们组织过去 10 年网络的演变。 几年前，很多人都会将我们视为技术基础，但现在我们是这一战略愿景的一部分。 我们就在这之中。 我们正在引进技术； 让我们看看风险。 我们必须确保每个人都知道我们在这里。 我们是组织结构的一部分，从临床部门到采购，再到法律和合规部门。 到目前为止，这是一次伟大的旅程。

网络领导者作为“企业顾问”

赌： 当然。 我认为这就是与其他领导者建立牢固关系发挥作用的地方，这样网络安全就不会被视为阻碍者或大厅监视器。

文森： 绝对地。 建立这些关系和信任非常重要，因为正如您提到的，我们不想被视为权宜之计。 我们希望每个人都能审视风险并问自己：“这是一个好的决定吗？” 或“我们考虑过这个吗？” 我们已经发展成为某些方面的业务顾问并可以提供评估。

作为顾问，我们致力于支持和推动业务发展。 确实，业务需求大于风险。 随着我们的前进，很高兴被邀请并知道我们的咨询很重要。

赌： 正如您之前所说，医疗保健不断受到攻击，随着大型组织遭受数据泄露和其他事件，人们似乎有了更多的认识。 这是否在某些方面更容易传达网络安全投资的重要性？

文森： 确实如此。 这种意识无处不在——甚至电视节目也谈论勒索软件。 大多数美国人都知道几年前殖民地管道发生的事情以及我们在东海岸遇到的燃料问题。 由于安全问题，肉类加工厂也面临着挑战。 大家都心知肚明。

是的，它确实有帮助。 这对于社会化我们的使命以及我们在这里的原因大有帮助。 我告诉你，阻力很小。 人们明白了。 这是一种演变。

通往哈里斯之路

赌： 正确的。 所以，我想谈谈你的职业道路。 你已经在哈里斯工作了大约 10 年——那之前呢？

文森： 当我从伊丽莎白城州立大学获得工业技术电子学本科学位时，我的网络安全之旅就开始了。 我在那里加入后备军官训练队，所以我继续参军并成为一名信号官。 进入通信和安全领域是一个自然的过程。

在军队期间，我也是一名预备役军人。 那时它还不被称为 SOC；而是被称为 SOC。 这是一个网络监控中心。 我在那里工作了几年，负责监控信息，最终在主要情报机构之一——国家安全局——工作了几年。 我在那里转型并进入金融服务行业，担任一家组织的网络主管。

“唯一安全的一天是昨天”

这就是我的旅程。 我这样做已经超过四分之一个世纪了。 这个行业令人兴奋——唯一安全的一天是昨天。 这是一段旅程，你必须保持非常熟练。 威胁每天都在变化。 威胁行为者不断演变。 还有内部威胁——无论是有意还是无意，这种情况都会发生。 这是我旅程的一部分。

CISO 的任期已经很长了。 您可能知道，大多数组织中该职位的职业预期约为两年半。 哈里斯健康中心为我提供了做我最擅长的事情的机会。 我们在这里不断地享受我们的使命。

早期职业经历

赌： 我一直认为领导人有军事背景很有趣，这在医疗保健领域确实很常见。 这并不奇怪； 有很多联系。

文森： 绝对地。 当然，在我原来的经纪公司的经历也没有什么坏处。

赌： 我确信这是很好的准备，而且是在金融领域。 向医疗保健的过渡并不容易，但显然您很享受挑战。

文森： 我是。 金融服务业与医疗保健业完全不同。 在这个行业，你可以更加严格，因为归根结底，你是在保护投资。 在医疗保健领域，您正在努力保护这些生命。 这就是为什么我谈论微妙的平衡行为。

“这不仅仅与技术有关”

事关重大。 许多干扰可能会影响护理质量以及患者的治疗结果。 你需要意识到这一点。 你需要了解业务。 你需要了解使命。 您必须成为业务的一部分，了解核心成果应该是什么，并确保您正在朝着这些目标迈进。 因为这不仅仅与技术有关；还与技术有关。 这是关于阐明风险、理解风险并减轻风险，以便我们能够完成我们的使命并做得很好。

网络安全的可见性

赌： 我最不想谈的是我们看到的一个趋势，即越来越多的网络安全领导者在会议上发言和接受采访。 发生了转变，这真的令人耳目一新。 这是朝着正确方向迈出的一步。

文森： 绝对是。 在过去的几年里，网络一直是新闻中谈论最多的事情之一。 这很重要，因此，您显然需要一位领导者能够阐明这些担忧并谈论正在出现的威胁。 因为从历史上看，我们是因技术而诞生的。 我们诞生于 IT 使命，但网络有它自己的领域。 如果你看看军队，他们现在拥有自己的网络司令部——这就是它的重要性。

安全领导者的发言和走在前面的演变绝对重要。 我们也应该如此，对吧？ 我们是业务的一部分，因此，我们应该能够阐明正在发生的事情，理解并提出这些挑战，并解释它如何影响业务。 我就是这样看的。 每个人都应该成为网络大使，并了解您想要实现的目标的底线和结果。