医疗行业面临着哪些云安全威胁

　　对于处理大量患者数据 (包括非常敏感信息) 的医疗保健组织来说，云计算是数据存储的一个革命。医疗保健中的云计算降低了数据存储成本 (与旧的纸质存储时代相比)，能够轻松检索患者数据，并改善患者信息的隐私。这不可避免地导致在医疗保健领域采用云计算的上升。事实上，根据相关研究数据，到 2027 年，全球医疗保健云计算市场预计将超过 920 亿美元。

　　然而，随着云计算在医疗保健领域日益采用，已导致严重的网络安全问题。医疗信息的价值远远大于财务信息。然而，考虑到大多数医疗保健设施承担的巨大责任，它们在数据保护方面滞后。本文探讨了当前针对医疗保健公司的大量网络攻击，并推荐了用于改善安全性的实用解决方案。

　　一、恶意软件和勒索软件攻击

　　过去几年中最紧迫的网络安全威胁是勒索软件攻击。最近最严重的袭击之一是美国阿拉巴马州的三家 DCH 医院。最终，医院系统支付了一笔未公开的钱后，才从攻击者那里找回了他们的档案。根据 2019 年 Verizon 数据泄露调查报告 (DBIR)，去年医疗保健机构遭受的恶意软件攻击中，勒索软件占 70% 以上。

　　认为此类攻击只影响大型医疗保健组织的假设是错误的。根据 RiskIQ 关于 2020 年卫生部门勒索软件的简报，小型医院和医疗保健中心是最常见的目标。原因很简单：他们在安全方面的预算和资源最少，成为攻击者的软目标。在没有官方数据的情况下，专家估计，至少有 85% 的中小型医院缺少一名 IT 安全人员。

　　解决方案： 鉴于勒索软件攻击不断增加，医疗保健组织应执行定期备份，并且每个备份都应脱机存储或存储在独立于主要网络的内部网络中。在发生攻击时，数据恢复比被赎金控制更好。还需要对安全基础结构进行一致的评估，以发现并阻止漏洞。

　　二、数据盗窃和违规

　　2020 年至今，已报告不少于 28 起医疗数据泄露事件。其中最严重的是博蒙特健康数据泄露，它影响了超过 11 万名患者。需要注意的是，尽管今年出现了这一消息，但该事件实际上发生在 2019 年年中。这样的启示花了这么长时间才出来，这证明了数据泄露的微妙之处。

　　根据 Protenus 违规晴雨表，2019 年，一家医疗机构发现数据泄露的平均时间是 224 天。与 2018 年相比， 这是一个进步 ! 此外，医疗保健行业在财务上受到数据泄露的影响。根据 IBM 安全报告，2019 年全球健康数据泄露的成本高达 1100 万美元。第二位是金融部门，为 550 万美元。

　　解决方案：加密在减少数据泄露方面大有作为。加密不仅可保护医院系统免受黑客攻击，还可确保攻击者无需拥有仅有的解密密钥即可读取受保护的记录。因此，医疗保健提供商应考虑将以客户为中心的加密集成到其基础架构中，尤其是一种能够实现严格安全且灵活的用户体验的解决方案。

　　三、内部威胁

　　根据 2020 年 Verizon DBIR 的数据，内部威胁占数据泄露的 48%。尽管这一比例低于上一年报告中记录的 59%，但该数字突显出，内部威胁仍然是医疗保健网络安全中的一个巨大问题。许多组织 (不仅仅是医疗保健部门) 将大部分资源用于应对外部威胁，同时忽视了内部攻击同样危险这一事实。这种攻击形式甚至更难检查，因为任何人从间接雇员 (18%) 到允许进入的员工 (78.2%) 可能会发动攻击。

　　解决方案：Northwell Health 的 Kathy Hughes 推荐安全信息事件管理 (SIEM) 技术，用于应对内部威胁。这种数据丢失防护技术会提醒管理层医院网络或数据库上的任何可疑活动。

　　四、网络钓鱼攻击和员工错误

　　另一种观点认为，内部威胁并不限于蓄意的犯罪行为。他们包括通过不安全的网络连接到医院系统的疏忽员工。它们还包括因电子邮件网络钓鱼而陷入攻击的员工，使医院系统面临恶意软件攻击。" 好奇 " 的员工四处窥探也会带来安全风险。

　　根据 2019 年的 HIMSS 网络安全调查，59% 的医疗保健 IT 专家声称电子邮件是最常见的信息泄露点。第二个，25%，是人为错误。

　　解决方案：医疗保健提供商需要颠覆其员工的网络安全教育。公众对于医疗保健 IT 系统不屈服于网络攻击的能力缺乏信任 (根据调查，只有三分之一)。如果医务人员接受过基本网络安全卫生培训，以避免意外危险地暴露患者数据，并识别潜在攻击的警告信号，就可以避免许多错误。

　　五、第三方错误 / 攻击

　　医院经常将一些工作外包给专精机构，如清洁和安保。如果这些间接员工 (包括承包商、业务伙伴等) 能够进入医院网络，他们可能会在不知不觉中或故意造成损害。大多数时候，这些漏洞可能长时间未被发现。

　　例如，去年的医疗数据泄露事件是一位商业伙伴。美国医学收集机构遭到袭击，使大约 1200 万患者的信息处于危险之中;实际数字可能高得多。根据 2020 年 Protenus 违规晴雨表，商业伙伴应对 2019 年整个超过 2400 万条病人的记录被泄露负责。

　　解决方案：加入第三方供应商、承包商和同事应首先进行全面的网络风险评估。事实上，这种评估的结果应在决定与哪个组织合作方面发挥重要作用。但这不应该是一次性的。一旦存在工作关系，就应持续监视第三方以及安全风险。

　　六、互联网 (医疗) 物联网不安全

　　网络安全专家和研究人员已经证明，目前部署的大多数医疗物联网设备都存在严重的网络安全风险，并且很容易受到攻击。平均医疗设备有 6.2 个漏洞。考虑到数以百计的这些已经使用在诊所和医院多年 (超过 20 年，平均)，网络攻击者有一个容易的时间。

　　更糟糕的是，没有一家机构负责测试医疗设备是否存在网络安全漏洞。这使得设备的安全性完全掌握在制造商手中，制造商在考虑随之而来的风险之前，往往需要快速控制市场。

　　解决方案：根据 FDA，医疗器械的安全责任在于制造商和医疗保健供应商。提供商应测试其部署的每个设备是否存在安全风险和漏洞。

　　总而言之，鉴于信息传递的敏感性，医疗保健中的网络安全是一个严重的问题。医疗保健提供商在采用云计算方法时迫切需要加强安全性。应当不断评估和升级安全基础设施，以符合目前的全球标准。首先，请安全专家评估您的设施是否存在安全风险，并给出具体的改进建议。