MBA课程案例:医院信息系统应急浅析
案例描述
Ur network security sucks, the message read. But we can help u. for 100K cash well insure your little hospital dont suffer any disasters.
“Ridiculous,” Paul Layman said to himself, deleting the e-mail. “The things people try to get away with on the internet!”
……
He forgot about the matter over the weekend. But at 8:00 on Monday morning he received another e-mail from the same sender, with a subject line reading We warned u. The message field was blank.
The most difficult day of Paul Layman’s career was about to begin.
案例背景
网络安全
信息安全三要素:CIA
- 机密性、完整性、可用性
DoS方式安全攻击
- 四两拔千斤
安全攻击趋势
- 安全攻击大量存在,更多没有公布
- 安全威胁持续存在(APT)
- 安全范围的扩展,新的威胁 心脏起搏器、胰岛素泵……
案例分析
需要了解:Question(疑问)
- 发生了什么事情?
- 下一步如何做?
- 如何应对危机情况?(信息的发布、)
- 备用方案可供选择?
- 是否启用应急预案?
- 是否借助外部资源?(软件开发商、外部专家、警察、应急响应小组)
- 造成的破坏有哪些?影响范围?
- 是否有需要紧急处理的情形?
- 通讯、沟通是否畅通?
- 是否需要记录,保留证据?
- 之前是否有类似案例?
- 法律和行业监管的要求?
- 损失预估,成本分析?
- 为什么会中标,不是其他医院呢?
- 如何减小损失,最大程度的挽回?
- 如果解决,今后如何处理
- 如何改进?经验与教训?
关键
发出邮件的人到底想要啥?
Points(细节)
- 邮件是否为勒索邮件?如果索要的款项为100美元呢?
- 直接删除邮件是否正确?为什么?
- 第二封邮件发生后,CEO做了些什么?
- IT人员的作法,可能的风险?
- 法律顾问的出发点,是否可行?
- 会议参见人员,形式?
Options(可供的选择)
- 直接交钱,选择保险减少损失
| 可行性 | 风险点 |
|---|---|
| 没有其他的办法 | 多次勒索 |
| 时间紧急,病人的安危 | 拿到钱后系统依旧中断 |
| 损失并不大,可以承受 | 新的勒索项或人员 |
- 不交钱,IT部门维修
| 可行性 | 风险点 |
|---|---|
| 使用备用的数据可能能够恢复 | IT部门人员几乎没有安全意识和能力,难以修复系统 |
| 系统需要IT人员配合,减小损失 | 修复时间完全不可控,没有应对方案 |
| 可能激怒对方,造成更大的破坏 |
- 假意同意付款,报案
| 可行性 | 风险点 |
|---|---|
| 可能激怒对方,造成更大的破坏 |
- 不给钱,决定聘用其人
| 可行性 | 风险点 |
|---|---|
| 是否愿意加入? | |
| 可能引狼入室? | |
| 如何和原先团队沟通(IT部门) | |
| 引入的投入回报? |
Solution(解决方案)
- 沟通并明确目的,要钱还是其他
- 继续沟通,和其谈判,尽快恢复系统
- 谈论其他条件,让其公布安全问题、修补方案、安全建议,不继续危害的承诺等
- 通过危机公关,减少事件的影响,善后处理
- 完善应急预案,聘请外部人员调查事件
- 根据调查结果,进行改进
- 评估改进的效果
Review(评论)
-
第一封邮件 收到邮件应该转发给IT部门,预警,并要求IT部门汇报
-
第二封邮件 应该启用应急,开始与对方进行沟通,准备应急预案
-
出现故障 继续沟通 启用紧急预案 联系外部资源
-
关于会议
凡是可能出问题的肯定出问题
最危险的风险就是不知道存在的风险
Links
最后修改于 2013-11-16
