從云計算到電子記錄����,隨著邁向數(shù)字化的每一步��,醫(yī)療保健行業(yè)都面臨著不斷增加的風(fēng)險�。這一過程不僅會威脅到隱私����,同時也會威脅到病人的健康。
數(shù)據(jù)泄露對醫(yī)療保健提供商的影響
對高敏感�����、高價值數(shù)據(jù)的保護歷來薄弱�����,再加上傳統(tǒng)技術(shù)存在保護盲區(qū)�,使得醫(yī)療保健行業(yè)成為最容易受到攻擊的目標之一。該行業(yè)中出現(xiàn)的網(wǎng)絡(luò)違規(guī)現(xiàn)象可能會對個人產(chǎn)生嚴重影響�,這是因為他們收集和存儲敏感的個人和健康數(shù)據(jù)�,同時醫(yī)療機構(gòu)中使用的許多系統(tǒng)直接用以保障醫(yī)療程序的安全以及維持生命。
與其他行業(yè)相比����,醫(yī)療保健提供商在道德和法律層面都處于獨特的位置�,他們有義務(wù)來保護患者的隱私數(shù)據(jù)和治療過程免受網(wǎng)絡(luò)威脅�。醫(yī)療保健服務(wù)是少數(shù)幾個與安全性、彈性和生命安全有直接聯(lián)系的行業(yè)之一�。
例如,一家醫(yī)療系統(tǒng)在遭受網(wǎng)絡(luò)攻擊后���,暫時轉(zhuǎn)移救護車�,并關(guān)閉IT系統(tǒng)以恢復(fù)其網(wǎng)絡(luò)�。與此同時,威脅者可能竊取了密碼���、醫(yī)療記錄���、社會安全號碼或其他個人身份信息。
在法律方面�,醫(yī)療保健提供商受制于錯綜復(fù)雜的數(shù)據(jù)保護法律和法規(guī),如美國的HIPAA���、歐盟的GDPR和我國的個保法�����,不遵守這些法規(guī)可能會導(dǎo)致公司面臨巨額的刑事和民事處罰��。數(shù)據(jù)泄露受害者會因為身份被盜��、經(jīng)濟損失�����、潛在生命損失和情緒困擾而尋求賠償�,他們的訴訟可能會在法律、經(jīng)濟和聲譽層面對醫(yī)療保健提供商造成嚴重影響�����。
針對醫(yī)療保健和生命科學(xué)機構(gòu)的網(wǎng)絡(luò)攻擊會直接影響患者的健康����。除了可能發(fā)生的經(jīng)濟損失,網(wǎng)絡(luò)攻擊還會擾亂運營��、損害聲譽�����,甚至威脅公眾健康���。例如���,針對制藥公司的勒索軟件攻擊可能會推遲一種新藥的發(fā)布,從而對需要它的患者產(chǎn)生嚴重影響��。
雖然沒有明確的證據(jù)證明病人死亡與網(wǎng)絡(luò)攻擊存在關(guān)聯(lián)����,但在2020至2021年間針對醫(yī)院的勒索攻擊確實降低了他們護理患者的能力。美國伊利諾伊州斯普林山谷村子的唯一一家醫(yī)院圣瑪格麗特健康中心在6月永久關(guān)停����,其中部分原因是由于2021年的勒索軟件攻擊后出現(xiàn)財政緊張問題,這使得醫(yī)院難以維系����。
醫(yī)療保健行業(yè)目前的發(fā)展趨勢并不樂觀。雖然圣瑪格麗特健康中心是第一家因網(wǎng)絡(luò)攻擊而永久關(guān)停的醫(yī)療機構(gòu)����,但種種跡象表明,它可能不是最后一個�。在2022年,我們看到越來越多的人死于針對醫(yī)院的網(wǎng)絡(luò)攻擊��。
這種影響是難以克服的。醫(yī)院關(guān)門會直接降低居民獲得緊急救護的可能�����。
威脅者清楚衛(wèi)生系統(tǒng)的脆弱��,并且不在乎傷害病弱群體��。要解決醫(yī)療保健面臨的日益嚴重的生存威脅��,就需要創(chuàng)造��、革新���、合作加上改變行業(yè)信息安全和風(fēng)險管理現(xiàn)狀的意愿���。
云計算改變醫(yī)療機構(gòu)的網(wǎng)絡(luò)安全格局
公有云會在提高醫(yī)療保健和生命科學(xué)組織安全性方面發(fā)揮重要作用。目前越來越多的組織發(fā)現(xiàn)云技術(shù)在安全方面的作用并持續(xù)對其進行投資�����。云自身的較高安全性����,加上監(jiān)管和社區(qū)合作�����,能夠幫助醫(yī)療保健提供商擴展其IT基礎(chǔ)架構(gòu)來滿足不斷增長的需求���。
換言之�����,云中一個管理不善的憑據(jù)可能會對醫(yī)療機構(gòu)的日常生活產(chǎn)生重大影響�。可以想見��,如何進行部署和維護這一日益突出的問題�,仍是醫(yī)療保健組織面臨的一項挑戰(zhàn)。但這一點也至關(guān)重要����,如果處理得當(dāng),從長遠來看將會帶來豐厚的投資回報����。上個季度的谷歌云數(shù)據(jù)顯示,在所有行業(yè)中�����,超過一半的云初始訪問攻擊目標是使用弱密碼或無密碼的用戶。一旦攻擊者進入���,他們會立即部署勒索軟件����。而后越來越多地將勒索數(shù)據(jù)銷毀��、出售或用作跳板���,從而迫使受害者做出回應(yīng)或支付贖金�����。
醫(yī)療保健組織應(yīng)該繼續(xù)改進他們的身份和訪問管理(IAM)系統(tǒng)�,來確保用戶信息的可定義�、可設(shè)置和可監(jiān)控。通過向安全團隊提供可疑活動的早期警告來降低信息泄露的可能性����。組織應(yīng)該使用多因素身份驗證(MFA),來確保被盜且未被IAM協(xié)議檢測到的信息不會導(dǎo)致違規(guī)�����。
此外,萬能鑰匙是一個很好的工具����。它可以要求用戶使用手機等物理設(shè)備(而非僅使用登錄信息)進行身份認證,從而降低數(shù)據(jù)被盜的可能性�。通過持續(xù)評估和減少用戶和服務(wù)的訪問權(quán)限�,以及提供對高度敏感資源的即時訪問權(quán)限,將有助于保持組織的安全運行����。
醫(yī)療機構(gòu)必須關(guān)注安全和衛(wèi)生,包括云安全�����,并對其全體員工進行網(wǎng)絡(luò)安全教育�����。否則�����,這些組織可能會成為常見的、可預(yù)防的網(wǎng)絡(luò)攻擊的受害者��。
1�����、在云環(huán)境中建立護欄并進行人員培訓(xùn)�����,確保每個人都參與維護云安全實踐���。
2����、采用更加強大的身份認證工具����。例如,為關(guān)鍵資源設(shè)置MFA�,從而確保被盜信息不能完全通過身份認證。同時���,管理員還應(yīng)該為關(guān)鍵云服務(wù)適時設(shè)置會話過期來緩解“實時”數(shù)據(jù)訪問等威脅��。
3�、進行數(shù)據(jù)備份并測試業(yè)務(wù)連續(xù)性,使生產(chǎn)環(huán)境能夠在受到攻擊后恢復(fù)��。同時�,保持備份數(shù)據(jù)隔離。對于關(guān)鍵數(shù)據(jù)����,請保持離線備份。通過執(zhí)行白名單或?qū)崟r業(yè)務(wù)連續(xù)性測試來定期測試系統(tǒng)彈性��,以確?���;A(chǔ)架構(gòu)破壞或類似攻擊不會影響生產(chǎn)服務(wù)���。
4����、對云實例進行常規(guī)漏洞掃描���,并對關(guān)鍵的云托管web應(yīng)用程序執(zhí)行滲透測試���。及時修補本機服務(wù)�、第三方軟件和web應(yīng)用程序中發(fā)現(xiàn)的漏洞��。
5���、在攻擊者付諸行動前���,采用擴展檢測和響應(yīng)平臺XDR以覆蓋更多提供關(guān)鍵服務(wù)的系統(tǒng)。
6��、利用機器學(xué)習(xí)和人工智能來更快���、更好地捍衛(wèi)組織�����。
有關(guān)醫(yī)療網(wǎng)絡(luò)安全的政策和法規(guī)
越來越多的人意識到僅保護敏感信息不足以確保組織及其客戶的安全�。盡管初衷是好的����,但醫(yī)療保健安全法律和法規(guī)并沒有跟上技術(shù)革新的速度,攻擊者也發(fā)現(xiàn)了這一漏洞。政府提出許多新的法律和法規(guī)來解決醫(yī)療保健相關(guān)問題��,這其中包括增加共享安全威脅情報的數(shù)量�����、推動采用新的安全模式(如零信任)��、提高軟件和數(shù)據(jù)供應(yīng)鏈的安全性等�。
政府正逐漸將醫(yī)療保健行業(yè)的網(wǎng)絡(luò)安全作為重要關(guān)注點。例如��,美國2023年的綜合撥款法案包括兩項與互聯(lián)醫(yī)療設(shè)備安全相關(guān)的重要條款�。其中聯(lián)邦藥品管理局的最新要求是互聯(lián)醫(yī)療設(shè)備必須保障網(wǎng)絡(luò)安全。并且一旦進入市場�,繼續(xù)保持其安全性。如果做不到這一點�����,美國食品和藥物管理局就可以強制阻止這些設(shè)備進入市場����。歐盟也有類似的規(guī)定���。
在國內(nèi)���,《數(shù)據(jù)安全法》《個人信息保護法》等法律法規(guī)出臺實施以來�,醫(yī)療機構(gòu)面臨嚴苛的數(shù)據(jù)安全合規(guī)挑戰(zhàn)�,這些法規(guī)是對于創(chuàng)建一個更安全、更有保障�����、更有彈性的醫(yī)療體系的強有力的起點����。同時我們還應(yīng)該注意到,這些努力必須與行業(yè)合作和信息共享相結(jié)合�,以推動有影響力的、持久的變革�����。
