醫療機構IT如何度過 COVID-19 危機

(轉載自 CIO Taiwan 網站)

對在醫療機構而言，安全性是一種「全體動員」的情況，對於一個大部分是遠端作業的健康機構，也是如此。

擔任vCISO的 Gourav Mukherjee 是「沉浸安全(Immersion Security)公司」的管理夥伴，從2020年一月開始，他是全美國數以百家的醫療機構的資安長。除了協助組織的安全性管理之外，Mukherjee現在必須處理企業的永續問題。他說：「這些機構有內部的安全人員，但不夠專業，同時位階也不夠高，因此需要專業資訊安全主管的協助。」

Mukherjee在佛羅里達開會的時候得到了COVID-19新冠肺炎，他被隔離了。儘管當時描述疾病者的經驗跟流感與支氣管炎相似，但他實際的感受更糟糕。「我以為我的情況會好一點，因為我的工作性質是網路安全，提供的是虛擬服務。對我而言，將一些自己必須參加的會議轉為線上會議，應該不會是太大的問題。」

Mukherjee表示，對於健康機構，針對安全性的處理，目前的態度是「全體動員」。也就是盡自己最大的能力，以遠端的方式持續支持組織。「由於目前必須立即處理許多與危機應變有關的事情，因此必須讓較為遠程規劃的安全計畫與文件先擱置到一邊，有太多立即的回應需要執行。」 危機讓在隔離中的Mukherjee必須面對與安全性有關的挑戰，對大部分的人而言，讓業務能夠持續運作下去才是最優先的考慮，所以他們會很快的做出可能是好的業務策略，但安全性可能就比較不是思考的核心了。」

必須以遠距的方式工作，讓他的工作更具挑戰。「除了無法親自出現在現場造成的難度增加，無法讓自己的見解以更直接的方式傳遞給機構。」當必須完全以線上的方式進行會議，這跟之前在現場，讓自己至少跟大家都是平等的溝通有些不一樣。 他所舉的一個例子是，在防疫期間，公司會要求員工使用他們自己的電腦在家工作，因此這些裝置就會以存在於公司的防火牆之外與機構建立連線，但做的仍然是平時在公司內部要執行的作業。

Mukherjee說：「許多的安全機制無法以遠端的方式運作，因為一開始在設定的時候就沒有思考會以遠端的方式運作。大部分的老闆會以企業的永續發展為前提做決定，而安全性，有時甚至只是淪為錦上添花的作為。」 在此非常時刻，能夠讓企業將安全問題緊記在心的最佳作法，Mukherjee的建議，是要能持續辨識、量化以及清楚地各類可能發生安全問題的可能性。「我發現如果自己聚焦在危機的成本對比減少危機的成本，這似乎可以同時有助於在協助安全管理的過程中，有效地傳遞我的觀點。」

對企業而言，成本是新冠肺炎其中的最重要考量因素。 大部分的企業會將安全性措施當成是麻煩事，特別是在決策和情況非常不穩定的情況下，這種看法會被放大。Mukherjee 表示：「如果有人說，我們想要讓這個解決方案在星期五下班前能夠準備好，那就必須盡全力，而不只是像平常的表現那樣。而且，即使我們做了正確的建議，他們可能也無法即時地完成安全性的措施。我們完全專注於風險為中心的決策，如果存在有風險，而存在在他們做出這些更改之一之前，他們無法緩解的風險，我們至少會為他們提供他們可以獲得的最佳風險降低。」

在危機期間的安全教育

所有類型的威脅，都因為在家工作的方便性而快速地加劇。所有人在網路上大量分享以及提供新冠病毒資訊，許許多多的釣魚電子郵件以及夾帶有病毒的電子郵件和網站，後面其實包藏禍心，企圖獲隱藏在背後的不明利益，但卻干擾了公司的正常運作同時也讓假消息四處流竄。 Mukherjee看到許多包裝以緊急訊息，需要[立即點擊]的網路釣魚語法，像是：電子郵件的內容表示，公司要開始資遣員工，然後催促收信的人開啟存在有惡意程式的試算表，看看自己的名字是否名列其中。

他說：「這類的事情是大家一看到就會立即感到有壓力，因此比較不會思考其中的合理性，就想要第一時間處理。」 防止這類立即點擊詐騙的最好方式，Mukherjee表示，就是明確的讓員工知道，公司在才什麼情況下會用什麼方式通知員工重要訊息的方式，像是結束契約、政府要求關閉，或是本地的隔離等。他也建議使用多重管道的方式，像是內部訊息系統，以及來自主管的直接溝通等，同步進行。

另外，也需要告訴員工，公司不會做哪些通知動作，例如：員工不會收到包含有附件的電子郵件，或是需要輸入個人驗證資訊的要求等。 Mukherjee說：「我們只是必須藉由這樣的流程，讓自己額外警惕，以確保不會因為使用者的關係，而受到什麼損傷。」

技術問題會增加 並且出現在工作端

Mukherjee進一步提出警告，就是安全管理團隊可能會在這段時間暴露出更多的弱點，因為他們必須花更多的時間在處理IT本身的工作。

「資訊安全人員在這類特殊時間中，可能必須把大量的時間放在設定VPN、協助讓組織持續運作解決方案的疑難排解上。某些是特別指定的解決方案，因為公司還沒準備好把整個人力都安排在家工作。」 下面是Mukherjee和其他CISO工作人員在危機期間所遇到的一些技術問題：

頻寬限制

當環境劇烈轉變，會出現一些技術問題是理所當然的，特別是與頻寬、連線和遠端視訊相關的問題。Mukherjee指出他有一位客戶瞬間才知道Skype在一個視訊會議中的連線人數上線是75位使用者，這個限制對於公司產生了很大的限制。 許多公司未來因應工作環境的改變，都會立即建置或是擴充他們原本的VPN連線，以便能夠容許更多到公司內部的安全連線，不過在許多情況下，這樣的作法還是不夠的。

McAfee的資訊長 Scott Howitt 告訴我們說：「讓所有人都透過VPN連線在效率上並不好，因為由於頻寬和可用連線的限制，這我們已經有實際的體驗。事實上，我們會鼓勵我們的員工在家工作的時候不使用VPN，除非他們必須直接存取公司的內部網路，否則他們只需透過對SaaS供應商的連線即可。 」

從遠端保護高價值員工

John McClurg 是BlackBerry的資深副總以及資訊安全長，他指出自己的最大挑戰是在他的組織中處理一些特殊使用需求的工程師，確保高價值的員工能夠在家繼續工作，有如在公司的實驗室一般。「這需要一些時間處理，而且必須是一些人的共同合作，因為我們必須確定瞭解這些專業員工的需求，而且當然必須是在安全的情況下進行調整，而又能盡可能確保他們的工作效率。」

版權限制

Jason Hicks 是 Kudelski Security 的資訊安全顧問，指出他所負責的公司已經整個處理過其內部基礎架構，像是VPN、應用程式負載平衡、端點保護技術以及遠端協同工具等，為了是要能確保擁有足夠的版權和技術能力以支持遠端使用者的急遽增加。他補充指出：「我們已經增加了內部的通訊容量，確保員工知道如何以遠端的方式繼續工作。其中包瓜了讓員工知道什麼時候需要使用VPN，什麼時候可以不用。」

在危機面對與驗證需求上取得平衡

為了讓員工在工作上能夠較為順暢，Alert Logic 的技術營運資深副總裁以及資訊長 Sydna Kelley 表示，他們的公司針對「識別與存取管理工具 (IAM)」，放寬了預設逾時時間的設定，讓使用者不致於必須重複地進行帳號驗證。不過她也指出，這是一種危機與妥協之間的作法，因此必須小心考量。

推行端點防護

Ryan Weeks 是Datto的資訊安全長，他表示公司應該針對員工所可能受到的攻擊，重新考慮推行端點防護，像是他的團隊曾經見過遠供使用偽造成COVID-19的互動地圖網站－－安全團隊現在所有管理的工作站，可不是之前熟悉的標準辦公室網路安全控制範圍之內。

建立備援計畫

公司必須讓大家實際上能夠擁有備援計畫，因應像是因為罹患疾病，導致員工或是公司的重要成員幾週無法工作的情況。當Mukerjee隔離的期間，其他的 Immersion Security 公司同事也感染了病毒，所以公司必須快速地因應如何填補失去的員工。

Mukherjee說：「幸運的是，在我們的名冊中有著較為充足的人力，可以在我和我的同事無法實際工作的時候獲得支援。不過其中一位在家工作的專案經理，就必須增加工作負擔了。」 除了確認在這段時間，有哪些員工可以協助處理必要工作之外，他們也有配合足夠能力的外部契約廠商，可以在需要的時候通知他們協助。「我們部分的意外因應計畫，是讓其他的在相關領域有專業的專家們協助處理，而我們也鼓勵我們的客戶這樣做。」

Mukherjee見過一位經過多領域訓練的客戶，以在組織中的個人角色身分，嘗試修復「單點故障」。有些則是以工作輪替的方式進行，「有個在金融服務業的客戶，他們不能不提供銀行的服務，所以就變成讓員工以隔週上班的方式輪替。他們以每週的方式支付給員工薪水，然後在週末的時候進行深度的清潔。這種讓員工隔週工作的方式，大致可以讓一半的員工休息，直到病毒威脅結束為止。」

重視自然災害計畫

公司的位置如果是在一些容易發生自然災害的區域，像是颶風或是地震等，可能會比那些位在相對「安全」區域的組織更加堅強一點。如果組織已經建置有自然災害的準備與還原計畫以及因應流程，或是擁有這類應變機制的國際公司，那麼現在應該是進一步運用的好時機。

Sungard AS 的全球資安長 Shawn Burke 說：「針對重要的企業應用程式以及不同位置的機構，制定與更新全球防疫計畫以及企業永續計畫，是重要而且有重大價值的。保持計畫的有效性，並且每年至少演習一次，可以讓企業以更冷靜的方式回應疫情災害，而不是驚恐。不管發生任何情況，都會有值得我們學習的地方，以更具智慧的方式審視業務的變化，更新計有的計畫，而能因應未來。」

Mukerjee表示，由於位於佛羅里達週的組織經常必須與颶風抗衡，所以與其他的組織相比，他們準備得更好。他說：「在颶風侵襲的時候，面對的情況是一樣的。你有千百位員工現在必須忽然間在以遠端的方式工作，而他們遇到的各種頭痛的事情，其實感受是一樣的。」 「我在佛羅里達那些經歷過颶風災變的客戶，他們面對颶風會做好準備。相較於其他兩個位於美國中部不同地區，沒有遇過這類大區域緊急載害的客戶，他們的應便能力就好得許多。」

(轉載自 CIO Taiwan 網站)