医疗保健安全:风险与预测

2017 年05 月4日

近年来,医疗保健行业面临的网络安全威胁越来越复杂,情况愈演愈烈。各家组织在安全方面投入的资金比以往任何时候都多,但同时黑客也一直在寻找各种方法,不断窃取敏感数据,包括个人医疗记录。

随着医院技术越来越进步,威胁也随之在进步。迅猛的变化给医院带来了更大的压力,因为虽然新的防御技术发布速度很快,但网络犯罪分子不甘落后,也迅速发展出新一代攻击。

黑客目标

医疗保健IT系统成为受到网络犯罪分子青睐的攻击目标也就是最近的事。原因嘛,因为医疗保健机构拥有的患者数据越来越多 – 网络犯罪分子可以使用患者的个人和财务信息来实施身份诈骗。

此外,随着越来越多的医疗保健服务将通过网络提供,移动设备的使用量不断上升,黑客将利用新的漏洞并使用勒索软件使系统瘫痪。考虑到患者生命利害攸关,所以许多组织的决定是最好选择支付赎金来拿回数据并恢复服务。

但不幸的是,医疗保健机构和黑客之间这种类似猫和老鼠的游戏在不断升级,让人看不到未来。无疑,近来大批的攻击事件让美国及世界各地的医院提高了对潜在威胁的认知,但也有人认为,一些犯罪组织能如此轻松地攻击医疗保健系统促使黑客进一步瞄准医疗系统。

更新IT系统

此行业中的IT经理们面临的挑战是始终要管理基于各种不同且重叠的技术浪潮而构建的基础设施,各层往往之间存在缺口,黑客正可经此入侵系统。

这些系统复杂低效,很难管理。在许多情况下,系统组件制造商会不再为产品提供支持。例如,微软几年前就终止了对Windows XP的支持,这意味着该软件不再更新,也不会再修补安全性。

旧系统,特别是十几年前的系统,非常易受攻击,往往被深入集成到组织的基础设施中而无法替换。但随着未来几年安全威胁的加剧,把这些旧系统替换成最新的IT势在必行,是医疗保健机构的首要任务。

可入侵的物联网

随着更重要的医疗设备和器械将通过网络使用,面临的安全风险也越高 – 一旦被犯罪分子劫持并控制后会产生致命的后果。

这让我想起了一件事:几年前,美国前副总统切尼(Dick Cheney)的医生禁用了他的心脏起搏器无线功能,挫败了策划的暗杀企图。随着人们赖以维持生命的医疗设备越来越多的联网,物联网(IoT)的安全性正迅速成为人们更重视的问题。

安全问题若得不到有效地解决,很可能会阻碍移动和可穿戴设备的发展,而近年来在医疗保健领域这类设备呈爆炸性增长。无所不在的智能移动设备和网络存储器均支持云端计算,这些工具有很大潜力转变预防保健和门诊保健服务。

遗憾的是,医疗设备中的许多问题不能通过简单的软件补丁进行修复 – 而是要重新搭建系统架构,这需要一定的时间。医院和病患可能需要好几年时间才能看到更安全的设备。

保护数据

大数据和数据分析叩开了精准施药、大众健康和基于价值的医疗保健的大门,但往往会因数据防御的管理程序不佳而放弃。医院需要改进工作实践;大部分数据泄露事件都是人为因素造成的。大多数医院系统具有许多共享工作站和共享密码,而这在其他行业中并不多见。

医院还必须应对来源广泛的数据激增的挑战,包括从移动设备传入的数据、健康监测传感器生成的数据等等。因此,医院正面临着维护无数孤立的IT资产及其上保存数据的巨大压力。

在数据安全性得到解决之前,健康IT专业人员仍将继续面对阻碍广泛采用新技术的各种主要因素。因此,我们期待医疗保健机构在未来几年能采取措施,通过实施可靠的访问管理程序和系统来提高安全性。这意味着除了使操作系统、浏览器和应用保持最新外,还要实施强大的访问安全控制。

医疗保健技术在急剧发生变化,医疗机构自行采取行动来保护系统已经是过去时了。我们利用集基于数据管理和数据保护于一体的系统来打击安全威胁,未来能实现让医疗保健技术造福于我们生活的目标。