自新冠疫情流行以來(lái),醫(yī)療機(jī)構(gòu)的安全事件變得越來(lái)越普遍。其中的危險(xiǎn)一方面是醫(yī)療機(jī)構(gòu)的安全成本正不斷增加,同時(shí)安全事件頻發(fā)更帶來(lái)嚴(yán)重的數(shù)據(jù)泄露負(fù)擔(dān)。
與其他機(jī)構(gòu)不同,醫(yī)療機(jī)構(gòu)在許多方面都被認(rèn)為是攻擊者的完美目標(biāo),一方面是其直接為生命安全負(fù)責(zé),另一方面其醫(yī)療科研數(shù)據(jù)和患者敏感信息更具價(jià)值,如IBM發(fā)布的最新數(shù)據(jù)泄露成本報(bào)告就指出醫(yī)療機(jī)構(gòu)是全行業(yè)數(shù)據(jù)泄露成本最高的行業(yè)。所以其業(yè)務(wù)系統(tǒng)的連續(xù)性和數(shù)據(jù)安全的重要性不容有失。
在整個(gè)2022年,僅安全419觀察到的國(guó)內(nèi)外僅因勒索軟件攻擊造成的醫(yī)療機(jī)構(gòu)安全事件保守估計(jì)至少百起以上,HIMSS的一份調(diào)研數(shù)據(jù)顯示,原因在于絕大多數(shù)醫(yī)療機(jī)構(gòu)面臨老舊設(shè)備與操作系統(tǒng)不受最新安全解決方案的支持,同時(shí)聯(lián)系到全球供應(yīng)鏈方面的吃緊,從而影響了包括安全在內(nèi)的全面運(yùn)營(yíng)成本上的提升。
更糟糕的是,醫(yī)療機(jī)構(gòu)擁有大量的遺留設(shè)備,其中大多數(shù)設(shè)備容易受到攻擊。比如醫(yī)療環(huán)境中與loT和相關(guān)設(shè)備相關(guān)的安全威脅處理能力仍然嚴(yán)重不足,有數(shù)據(jù)顯示,醫(yī)院53%的聯(lián)網(wǎng)醫(yī)療設(shè)備和其他loT設(shè)備存在已知的嚴(yán)重漏洞。此前,有安全廠商就向安全419分享了來(lái)自醫(yī)療IoT設(shè)備的真實(shí)威脅案例。
更加嚴(yán)重的是,醫(yī)療機(jī)構(gòu)各部門(mén)在處理與疫情相關(guān)的危機(jī)時(shí)仍然捉襟見(jiàn)肘,以至于常規(guī)安全措施可能會(huì)半途而廢,這可能是人力的問(wèn)題,或者直接就是成本方面的問(wèn)題。總之,一些安全事件很可能會(huì)在數(shù)周內(nèi)未被發(fā)現(xiàn),這也會(huì)進(jìn)一步導(dǎo)致驗(yàn)證分支機(jī)構(gòu)和第三方采取的安全措施的努力可能會(huì)落空。
國(guó)內(nèi)網(wǎng)絡(luò)安全公司安恒信息技術(shù)專(zhuān)家此前在接受安全419采訪時(shí)也曾指出,醫(yī)療機(jī)構(gòu)之所以常常面臨違規(guī)事件,這與傳統(tǒng)行業(yè)擁抱信息化時(shí)代邁向更加開(kāi)放的信息化集成,但同時(shí)普遍缺乏系統(tǒng)化安全建設(shè)和安全意識(shí)具有較高關(guān)聯(lián),僅就勒索軟件攻擊而言,針對(duì)醫(yī)療機(jī)構(gòu)的攻擊趨勢(shì)正在不斷增加。
在我國(guó),此前根據(jù)騰訊智慧安全發(fā)布的《醫(yī)療行業(yè)勒索病毒專(zhuān)題報(bào)告》顯示,在全國(guó)三甲醫(yī)院中,有247家醫(yī)院檢出了勒索病毒,以廣東、湖北、江蘇等地區(qū)檢出勒索病毒最多。
浙大二院信息中心主任許杰此前分享指出,就醫(yī)療機(jī)構(gòu)而言,信息安全管理是一個(gè)涉及資源和管理的復(fù)雜系統(tǒng)性問(wèn)題,其中來(lái)自技術(shù)、資源、流程、人員為代表的普遍性缺失是醫(yī)院在信息安全管理方面面臨的主要痛點(diǎn)。
其進(jìn)一步表示,其中技術(shù)、資源將決定架構(gòu)設(shè)計(jì)與業(yè)務(wù)系統(tǒng)的安全程度,比如技術(shù)不足,會(huì)使業(yè)務(wù)系統(tǒng)設(shè)計(jì)缺陷難以被發(fā)現(xiàn),資源投入不足將難以彌補(bǔ)IT基礎(chǔ)架構(gòu)容災(zāi)能力的缺失等。在流程和人員方面,運(yùn)維管理流程需要規(guī)范梳理,更要不斷提升全院醫(yī)護(hù)人員的安全意識(shí)水平。其中資源的投入處于關(guān)鍵位置,其對(duì)信息化及安全投入、高水平專(zhuān)業(yè)崗位人員缺失表現(xiàn)尤為突出。
可以預(yù)見(jiàn)的是,進(jìn)入數(shù)字時(shí)代,隨著醫(yī)療設(shè)備變得更加智能和互聯(lián),網(wǎng)絡(luò)犯罪將變得更加隱蔽,這強(qiáng)調(diào)了加強(qiáng)醫(yī)療信息化安全性以保護(hù)醫(yī)療機(jī)構(gòu)及其患者的重要性。醫(yī)療機(jī)構(gòu)作為國(guó)家關(guān)鍵基礎(chǔ)設(shè)施重要組成部分,必須高度重視并強(qiáng)化安全投入。
更多信息可以來(lái)這里獲取==>>電子技術(shù)應(yīng)用-AET<<
