对于处理大批患者数据 (包含非常敏感信息) 的医疗保健组织来说,云盘算是数据存储的一个革命。医疗保健中的云盘算降低了数据存储成本 (与旧的纸质存储时代相比),能够轻松检索患者数据,并改良患者信息的隐私。这不可避免地导致在医疗保健领域采用云盘算的上升。事实上,根据相干研究数据,到 2027 年,全球医疗保健云盘算市场预计将超过 920 亿美元。
然而,随着云盘算在医疗保健领域日益采用,已导致严重的网络安全问题。医疗信息的价值远远大于财务信息。然而,考虑到大多数医疗保健设施承担的宏大责任,它们在数据掩护方面滞后。本文探讨了当前针对医疗保健公司的大批网络攻击,并推荐了用于改良安全性的实用解决方案。
一、恶意软件和勒索软件攻击
过去几年中最紧急的网络安全要挟是勒索软件攻击。最近最严重的袭击之一是美国阿拉巴马州的三家 DCH 医院。最终,医院系统支付了一笔未公开的钱后,才从攻击者那里找回了他们的档案。根据 2019 年 Verizon 数据泄漏调查报告 (DBIR),去年医疗保健机构遭遇的恶意软件攻击中,勒索软件占 70% 以上。
认为此类攻击只影响大型医疗保健组织的假设是毛病的。根据 RiskIQ 关于 2020 年卫生部门勒索软件的简报,小型医院和医疗保健中心是最常见的目标。原因很简略:他们在安全方面的预算和资源最少,成为攻击者的软目标。在没有官方数据的情况下,专家估计,至少有 85% 的中小型医院缺乏一名 IT 安全人员。
解决方案: 鉴于勒索软件攻击不断增长,医疗保健组织应履行定期备份,并且每个备份都应脱机存储或存储在独立于重要网络的内部网络中。在产生攻击时,数据恢复比被赎金把持更好。还一定要对安全基础结构进行一致的评估,以创造并禁止漏洞。
二、数据偷盗和违规
2020 年至今,已报告不少于 28 起医疗数据泄漏事件。其中最严重的是博蒙特健康数据泄漏,它影响了超过 11 万名患者。需要注意的是,尽管今年涌现了这一消息,但该事件实际上产生在 2019 年年中。这样的启发花了这么长时间才出来,这证明了数据泄漏的奥妙之处。
根据 Protenus 违规晴雨表,2019 年,一家医疗机构创造数据泄漏的平均时间是 224 天。与 2018 年相比, 这是一个进步 ! 此外,医疗保健行业在财务上受到数据泄漏的影响最大。根据 IBM 安全报告,2019 年全球健康数据泄漏的成本高达 1100 万美元。第二位是金融部门,为 550 万美元。
解决方案:加密在减少数据泄漏方面大有作为。加密不仅可掩护医院系统免受黑客攻击,还可确保攻击者无需拥有唯一的解密密钥即可读取受掩护的记载。因此,医疗保健供给商应考虑将以客户为中心的加密集成到其基础架构中,尤其是一种能够实现严格安全且机动的用户体验的解决方案。
三、内部要挟
根据 2020 年 Verizon DBIR 的数据,内部要挟占数据泄漏的 48%。尽管这一比例低于上一年报告中记载的 59%,但该数字突显出,内部要挟仍然是医疗保健网络安全中的一个宏大问题。许多组织 (不仅仅是医疗保健部门) 将大部分资源用于应对外部要挟,同时疏忽了内部攻击同样危险这一事实。这种攻击情势甚至更难检查,因为任何人从间接雇员 (18%) 到容许进入的员工 (78.2%) 可能会发动攻击。
解决方案:Northwell Health 的 Kathy Hughes 推荐安全信息事件管理 (SIEM) 技巧,用于应对内部要挟。这种数据丧失防护技巧会提示管理层医院网络或数据库上的任何可疑运动。
四、网络钓鱼攻击和员工毛病
另一种观点认为,内部要挟并不限于蓄意的犯法行动。他们包含通过不安全的网络连接到医院系统的疏忽员工。它们还包含因电子邮件网络钓鱼而陷入攻击的员工,使医院系统面临恶意软件攻击。" 好奇 " 的员工四处窥测也会带来安全风险。
根据 2019 年的 HIMSS 网络安全调查,59% 的医疗保健 IT 专家声称电子邮件是最常见的信息泄漏点。第二个,25%,是人为毛病。
解决方案:医疗保健供给商需要颠覆其员工的网络安全教导。公众对于医疗保健 IT 系统不屈服于网络攻击的能力缺乏信任 (根据调查,只有三分之一)。如果医务人员吸收过基础网络安全卫生培训,以避免意外危险地裸露患者数据,并辨认潜在攻击的警告信号,就可以避免许多毛病。
五、第三方毛病 / 攻击
医院经常将一些工作外包给专业机构,如干净和安保。如果这些间接员工 (包含承包商、业务伙伴等) 能够进入医院网络,他们可能会在不知不觉中或故意造成侵害。大多数时候,这些漏洞可能长时间未被创造。
例如,去年最大的医疗数据泄漏事件是一位商业伙伴。美国医学收集机构遭到袭击,使大约 1200 万患者的信息处于危险之中;实际数字可能高得多。根据 2020 年 Protenus 违规晴雨表,商业伙伴应对 2019 年全部超过 2400 万条病人的记载被泄漏负责。
解决方案:参加第三方供给商、承包商和同事应首先进行全面的网络风险评估。事实上,这种评估的成果应在决定与哪个组织合作方面施展重要作用。但这不应当是一次性的。一旦存在工作关系,就应持续监督第三方以及安全风险。
六、互联网 (医疗) 物联网不安全
网络安全专家和研究人员已经证明,目前安排的大多数医疗物联网设备都存在严重的网络安全风险,并且很容易受到攻击。平均医疗设备有 6.2 个漏洞。考虑到数以百计的这些已经应用在诊所和医院多年 (超过 20 年,平均),网络攻击者有一个容易的时间。
更糟糕的是,没有一家机构负责测试医疗设备是不是存在网络安全漏洞。这使得设备的安全性完整控制在制作商手中,制作商在考虑随之而来的风险之前,往往需要快速把持市场。
解决方案:根据 FDA,医疗器械的安全责任在于制作商和医疗保健供给商。供给商应测试其安排的每个设备是不是存在安全风险和漏洞。
总而言之,鉴于信息传递的敏感性,医疗保健中的网络安全是一个严重的问题。医疗保健供给商在采用云盘算方法时急切需要加强安全性。应当不断评估和升级安全基础设施,以符合目前的全球最佳标准。首先,请安全专家评估您的设施是不是存在安全风险,并给出具体的改良建议。
