NHS要求供应商签署网络安全契约

随着《网络安全与韧性法案》在 Wetsminster 体系中不断推进，NHS 数字领导者已呼吁供应商签署一份自愿性网络安全宪章，以提升对勒索软件等威胁的防御韧性，并更好地保障供应链安全。

NHS 在网络安全漏洞方面有着悠久且不尽人意的历史，也许最著名的是其系统在 2017 年 WannaCry 事件中遭到持续攻击。最近，南伦敦地区的卫生服务受到了针对 Synnovis 的网络攻击影响，该公司为该地区多个 NHS 信托机构提供病理实验室服务。

鉴于日益增长和不断变化的威胁形势，以及事件频率和严重程度的不断上升，NHS 表示近几个月来情况已有显著改变。

在致供应商的一封公开信中，卫生与社会关怀部 ( DHSC ) 的国家健康与护理首席信息安全官 Phil Huggins、NHS England 的网络运营总监 Mike Fell 以及 NHS England 的国家转型总监 Vin Diwakar 表示： “作为 NHS 的重要合作伙伴，我们认为共同协作、团结一致进行防御至关重要。”

NHS 要求供应商在合理必要的情况下 —— 例如对于支持临床系统或处理机密患者数据的组织 —— 承诺保持其 IT 系统的维护和补丁更新，达到并维持数据安全和保护工具包 ( DSPOT ) 下至少‘Standards Met’的级别，配合 NHS England 现有的 MFA 政策应用多因素认证，部署对关键基础设施的全天候网络监控和日志记录，并建立针对关键数据的不可更改备份，同时制定适当的业务连续性与恢复计划。

该宪章还要求供应商在董事会层面开展事故响应演练，及时报告影响 NHS 客户的网络攻击并与其合作解决，同时只提供按照科技、创新与技术部 ( DSIT ) 及国家网络安全中心 ( NCSC ) 软件行为准则生产的软件。

Huggins、Fell 及 Diwakar 要求供应商通过签署宪章，承诺成为 “卓越且值得信赖的合作伙伴”。

“这份自愿性宪章将包含上述要求，并展示您作为健康与护理系统可信赖及安全合作伙伴的承诺。我们将在秋季推出一份自我评估表，届时供应商可以签署该宪章。这将为供应商充分理解八项声明并做好承诺提供时间。”他们如是说。

持续改进的挑战

鉴于在当前威胁环境下持续提升网络韧性是一项重大挑战，NHS 领导者还表示，他们已准备好并愿意确保卫生服务部门自身也发挥作用，例如开发定制工具，使供应商能够根据 NHS 需求审核自身供应链，并明确规定国家供应商管理平台及风险保障模型的要求。

NHS 还将审查其自身机构在签订合同时使用的合同框架，以确保适当的安全计划及预期。这是政府更广泛举措的一部分。

该卫生部门计划在未来几个月内举办一系列网络研讨会，并希望在秋季启动供应商网络安全论坛。

BlackFog 创始人兼首席执行官 Darren Williams 表示：“对于威胁行为者而言，敏感数据是最终目标，而 NHS 供应商则是大量高度机密信息的守护者。仅在第一季度，全球范围内医疗保健领域就成为勒索软件攻击的首要目标，共记录 57 起事件。”

“因此，NHS 呼吁其供应商提升网络安全实践以应对供应链上不断升级的威胁，这并不足为奇。鉴于一系列影响公私部门的勒索软件攻击，激励供应商的措施势在必行。这不仅关乎保护患者数据，更是确保关键服务的连续性。”