随着《网络安全与韧性法案》在 Wetsminster 体系中不断推进,NHS 数字领导者已呼吁供应商签署一份自愿性网络安全宪章,以提升对勒索软件等威胁的防御韧性,并更好地保障供应链安全。
NHS 在网络安全漏洞方面有着悠久且不尽人意的历史,也许最著名的是其系统在 2017 年 WannaCry 事件中遭到持续攻击。最近,南伦敦地区的卫生服务受到了针对 Synnovis 的网络攻击影响,该公司为该地区多个 NHS 信托机构提供病理实验室服务。
鉴于日益增长和不断变化的威胁形势,以及事件频率和严重程度的不断上升,NHS 表示近几个月来情况已有显著改变。
在致供应商的一封公开信中,卫生与社会关怀部 ( DHSC ) 的国家健康与护理首席信息安全官 Phil Huggins、NHS England 的网络运营总监 Mike Fell 以及 NHS England 的国家转型总监 Vin Diwakar 表示: “作为 NHS 的重要合作伙伴,我们认为共同协作、团结一致进行防御至关重要。”
NHS 要求供应商在合理必要的情况下 —— 例如对于支持临床系统或处理机密患者数据的组织 —— 承诺保持其 IT 系统的维护和补丁更新,达到并维持数据安全和保护工具包 ( DSPOT ) 下至少‘Standards Met’的级别,配合 NHS England 现有的 MFA 政策应用多因素认证,部署对关键基础设施的全天候网络监控和日志记录,并建立针对关键数据的不可更改备份,同时制定适当的业务连续性与恢复计划。
该宪章还要求供应商在董事会层面开展事故响应演练,及时报告影响 NHS 客户的网络攻击并与其合作解决,同时只提供按照科技、创新与技术部 ( DSIT ) 及国家网络安全中心 ( NCSC ) 软件行为准则生产的软件。
Huggins、Fell 及 Diwakar 要求供应商通过签署宪章,承诺成为 “卓越且值得信赖的合作伙伴”。
“这份自愿性宪章将包含上述要求,并展示您作为健康与护理系统可信赖及安全合作伙伴的承诺。我们将在秋季推出一份自我评估表,届时供应商可以签署该宪章。这将为供应商充分理解八项声明并做好承诺提供时间。”他们如是说。
持续改进的挑战
鉴于在当前威胁环境下持续提升网络韧性是一项重大挑战,NHS 领导者还表示,他们已准备好并愿意确保卫生服务部门自身也发挥作用,例如开发定制工具,使供应商能够根据 NHS 需求审核自身供应链,并明确规定国家供应商管理平台及风险保障模型的要求。
NHS 还将审查其自身机构在签订合同时使用的合同框架,以确保适当的安全计划及预期。这是政府更广泛举措的一部分。
该卫生部门计划在未来几个月内举办一系列网络研讨会,并希望在秋季启动供应商网络安全论坛。
BlackFog 创始人兼首席执行官 Darren Williams 表示:“对于威胁行为者而言,敏感数据是最终目标,而 NHS 供应商则是大量高度机密信息的守护者。仅在第一季度,全球范围内医疗保健领域就成为勒索软件攻击的首要目标,共记录 57 起事件。”
“因此,NHS 呼吁其供应商提升网络安全实践以应对供应链上不断升级的威胁,这并不足为奇。鉴于一系列影响公私部门的勒索软件攻击,激励供应商的措施势在必行。这不仅关乎保护患者数据,更是确保关键服务的连续性。”
好文章,需要你的鼓励
工业升级的关键,或许在于智能本身。“工业+机器人”将成为通向下一阶段工业体系的核心抓手。——黄仁勋。
香港中文大学等机构联合发布TalkVid数据集,包含1244小时高质量说话视频,覆盖7729名不同背景说话者和15种语言。该数据集专门解决现有AI说话视频生成技术的种族、年龄、语言偏见问题。同时发布TalkVid-Bench评估基准,能够检测模型公平性。实验证明使用该数据集训练的模型在各群体上表现均衡,为构建更加公平包容的AI技术奠定基础。
瑞士政府正式发布了自主研发的人工智能模型,该模型完全基于公共数据进行训练。这一举措标志着瑞士在AI技术自主化方面迈出重要一步,旨在减少对外国AI技术的依赖,同时确保数据安全和隐私保护。该模型的推出体现了瑞士对发展本土AI能力的战略重视。
MIT和Jina AI联合开发的jina-code-embeddings代码嵌入模型,通过改造预训练代码生成模型实现高效代码检索。该模型支持自然语言查询代码、技术问答和跨语言代码搜索,尽管参数规模较小(0.5B-1.5B),但在25项基准测试中表现优异,为AI辅助编程和智能开发环境提供了高性价比的基础工具。