醫(yī)院網絡安全是一個緊迫的問題,具有獨特的挑戰(zhàn)和無法估量的賭注。醫(yī)療保健行業(yè)加速采用復雜網絡,連接設備和數字記錄,徹底改變了臨床運營和患者護理,但也使現代醫(yī)院極易受到網絡攻擊。最近備受矚目的黑客行為使這些日益嚴重的威脅成為焦點。然而,盡管越來越多的努力和意識,許多技術,文化和監(jiān)管問題使醫(yī)療保健網絡安全復雜化。
為典型的商業(yè)企業(yè)構建的安全解決方案在應用于復雜的醫(yī)院IT世界時不盡如人意,因此需要針對特定??行業(yè)的創(chuàng)新提出緊急,未滿足的需求。網絡安全的下一個前沿將是推進傳統(tǒng)的企業(yè)安全,以解決當今醫(yī)院面臨的系統(tǒng)性緊迫挑戰(zhàn) - 尤其是與新興物聯網(IoT)相關的挑戰(zhàn)。
到2025年,美國的醫(yī)療支出預計將達到GDP的20%(驚人的5.5萬億美元)。而且,根據德勤的數據,全球醫(yī)療保健物聯網市場預計到2021年將以12.5%的年均復合增長率達到1360億美元。但是,這種增長市場面臨越來越大的威脅。根據美國醫(yī)學會雜志的一篇報道,自2010年以來,醫(yī)療保健違規(guī)行為已大幅增加。醫(yī)療保健服務組織(HDO)是增長最快的目標群體,占所追蹤的2,149次違規(guī)行為的70%以上。另一項研究發(fā)現,HDO去年是美國工業(yè)中88%的勒索軟件攻擊的受害者,89%的研究組織都有違規(guī)行為。
醫(yī)療保健組織如此容易受到破壞這一事實已經成為非常誘人的目標。最重要的是,他們擁有的數據的價值甚至會吸引攻擊者。黑人市場對患者病歷的需求很高,其價格比個人財務信息高20-50倍。黑客還可以使用勒索軟件來保存重要的醫(yī)療保健系統(tǒng)并記錄人質。在去年的WannaCry襲擊事件中,這種情況變得非常明顯,該事件擾亂了英國三分之一的國家健康服務組織,并感染了世界各地大量無擔保的互聯醫(yī)療設備。
使問題更加復雜的是,黑客只需要妥協(xié)最弱的鏈接設備,以便轉向完整的網絡漏洞。
設備制造商和HDO似乎都意識到了這個問題。但是研究表明,這種知識還沒有激發(fā)人們希望的行動程度。根據Ponemon Institute 2017年的一項研究,67%的設備制造商和56%的HDO認為可能會攻擊他們的一個或多個醫(yī)療設備。但是,只有17%的制造商和15%的HDO正在采取重大措施來防止此類攻擊。這些事實引起了警覺。2017年6月,國會特別工作組“關于改善醫(yī)療行業(yè)網絡安全的報告”給出了以下診斷:“醫(yī)療保健網絡安全處于危急狀態(tài)。”
了解問題的根源,使醫(yī)院更安全
很明顯,醫(yī)療保健行業(yè)的網絡安全需要得到認真的關注。了解行業(yè)疾病的根源是開發(fā)治療方法的關鍵第一步。
醫(yī)療保健的網絡安全滯后部分是由于其快速但不均衡地采用新技術。即使在最近的2009年,無線心臟起搏器仍然是新奇事物,成為頭條新聞,電子健康記錄(EHRs)的采用率低于10%。不到十年后,96%的醫(yī)院采用了EHR,估計有370萬家網絡醫(yī)療設備存儲和管理記錄,監(jiān)控患者健康狀況,管理藥物并提供重癥監(jiān)護。雖然這些創(chuàng)新對患者和醫(yī)療服務提供者來說是一個福音,但在大多數情況下,安全性一直是事后的想法。這種快速的技術采用已經在醫(yī)院安全中開辟了明顯的漏洞,并為惡意網絡攻擊者創(chuàng)造了不可抗拒的激勵。
與傳統(tǒng)的物聯網相比,連接的醫(yī)療設備更難以保護。這些設備通常運行在原本不打算聯網的陳舊系統(tǒng)上。此外,醫(yī)療設備是關鍵任務且通?;谇度胧讲僮飨到y(tǒng)的事實使得軟件修補比其他行業(yè)更復雜和麻煩。醫(yī)療設備也是為耐用性而設計的,這意味著20年前制造的許多設備或更多設備 - 當Windows 95被認為是最新技術時 - 至今仍在服務中。因此,很久以前在其他行業(yè)得到糾正的漏洞仍然威脅著連接的醫(yī)療設備; 要么是因為這些設備太過時而且難以打補丁,要么被認為對于病人護理來說太過關鍵,甚至不會冒險嘗試。
過時和遺留系統(tǒng)不是唯一的問題。醫(yī)療保健物聯網設備提出了獨特的安全挑戰(zhàn),需要臨床環(huán)境以確保滿足這些要求所需的全面可見性。根據9月份發(fā)布的KLAS調查顯示,造成醫(yī)療設備安全問題的最重要組織因素 - 參與者達成49%的共識 - 缺乏資產可見性。醫(yī)療設備的不透明系統(tǒng),專有協(xié)議和復雜的交互使得它們比企業(yè)物聯網設備更難以考慮和保護。為了實現基本的可見性,醫(yī)療保健物聯網解決方案必須能夠以極大的粒度(包括制造商協(xié)議)識別每個連接的設備,并提供有關風險等級,設備利用率,軟件維護和合規(guī)性數據的最新信息。
保護這種獨特類別的設備還需要一組更專業(yè)的規(guī)則和配置來管理設備行為。專用的醫(yī)療保健物聯網解決方案將能夠檢測設備級別的異常情況,并根據臨床工作流程確定威脅的優(yōu)先級。隨著醫(yī)院平均每張床連接醫(yī)療設備10-15個并且數量,自動編目,跟蹤和監(jiān)控庫存的能力至關重要。大多數醫(yī)院坦誠地缺乏人員,資源和部門間的協(xié)調,以確保持續(xù)的安全性。
今天不斷增長的攻擊面,不斷變化的威脅形勢,變幻無常的法規(guī)和系統(tǒng)性挑戰(zhàn)需要一種專門的創(chuàng)新方法來保護連接的醫(yī)療設備。醫(yī)院是網絡安全創(chuàng)新的下一個前沿,因為傳統(tǒng)的物聯網安全本身是不夠的。
