医疗保健中的网络弹性：减少医院停机时间

如果系统混乱并且备份不起作用，组织将需要考虑是否支付赎金。 韦斯说，网络保险提供商可以帮助做出这一决定。

“不幸的是，我认为这取决于当时的商业决策，如果你别无选择，那么归根结底是我们需要让这些系统恢复运行，因为我们还有病人的生命处于危险之中，”他说。 “最终，可能有理由支付赎金并让一切恢复正常运行。”

韦斯说，如果组织可以自行恢复完整的备份，那么就不需要支付赎金。

当备份未完成或不完整时，医疗保健组织将面临是否支付赎金以恢复系统的业务决策。 他说，组织应该考虑业务成本，例如备份需要多长时间以及捕获最后一次备份的时间。

莫里斯说，网络攻击的关键目标是“止血”。 然而，他补充说，在这段时间拔掉基本服务往往是反应过度。

“如果您是一家成熟的 IT 运营和网络安全组织，很少会达到拔掉所有电源的程度，”Morris 说。 “你不会因为指甲被打碎就砍掉整条手臂。”

斯通还警告不要拔掉系统电源，以便在攻击后有资源进行调查。

“我们永远不应该建议关闭系统电源，因为一旦这样做，您就会失去几乎所有（如果不是全部）取证能力，”他解释道。 “所以，让系统运行，尽可能隔离它们。 使用虚拟网络规则，物理拉动电缆，但尽量不要将其关闭。”

莫里斯说，当人们惊慌失措并在攻击期间关闭所有系统时，“这不是弹性，因为那时你根本没有进行任何操作。”

阅读更多： 零信任为医疗保健领域的身份验证和访问奠定了基础。

网络攻击后的网络弹性

Stone 警告说，备份速度太慢，无法在攻击后用于恢复。 他建议采用“分层弹性”策略。 前两层由快照组成，可以快速恢复。 斯通表示，第二层快照用于取证审查，第三层涉及备份。 “该备份层用于长期数据保留和数据合规性，并可能恢复您可能在很长一段时间内没有使用的应用程序。”

“我建议我们花三到七天的时间 安全模式快照 在主阵列上，”他说。 “从那里开始，您可以放置​​一个中间层的低成本存储。 您可以从主层复制这些快照，并在您负担得起的情况下保留它们，最好是 6 到 12 个月，因为您将来会将它们用于取证目的。”

他说组织应该考虑补丁管理， 漏洞扫描 和身份管理。 莫里斯指出，许多违规行为是由于凭证被盗和未修补的漏洞而发生的。

就身份管理而言，斯通建议组织保管凭证。 “你必须去检查管理员凭据，使用它们一段时间，然后重新签入并轮换这些凭据，”斯通说。

攻击后的时间有助于弄清楚发生了什么。 不过，莫里斯建议，在此期间避免相互指责。

“网络攻击之后，您将最了解您的工具、人员和流程，”莫里斯说。 “你想利用这段时间，因为就机会而言，没有这样的时间。”