新斯科舍省未能为其数字健康网络提供有效的网络安全保护,因此面临不必要的风险,这是省审计长金·阿德埃(Kim Adair)周二发布的一份报告中指出的。报告发现,负责监管系统的三个政府实体——卫生部门、网络安全和数字解决方案部门以及新斯科舍省卫生局之间缺乏问责制和协作。
这一情况令人担忧,因为该省越来越依赖数字网络来存储人们的个人和敏感健康信息。报告引用了其他省份如纽芬兰和拉布拉多以及安大略省的攻击事件,称“我们已经看到多个医疗保健组织成为严重网络攻击的受害者,这些攻击泄露了敏感信息,扰乱了患者护理并使网络瘫痪。”
阿德埃表示,新斯科舍省在数字健康网络迅速扩展期间,缺乏信息技术治理,导致网络安全责任最小化。报告指出,关键治理结构,包括管理和监控网络及网络安全工作的结构,在2022年被放弃。
审计长办公室聘请了多伦多的独立专家Packetlabs于2021年4月至2023年6月期间进行了网络安全测试,结果显示普遍接受风险的态度和未能管理持续风险的问题。具体而言,报告发现外部健康部门合同持有者(如药店和医生办公室)在访问网络之前并未要求进行网络安全培训。
报告还指出,测试显示大多数提议的技术项目在增加或改变数字健康系统数据流或架构时,并未完全遵守政府小组制定的强制性三阶段审查流程。此外,报告称审查委员会允许项目在不符合网络安全标准的情况下连接到网络。
为了加强系统,这份42页的报告提出了20项建议,包括创建一个信息技术治理框架来管理数字健康系统、完成所有未完成的网络安全评估以及定期为所有健康网络用户进行强制性的网络安全意识培训。
阿德埃表示,她的办公室将在一年后跟进数字健康网络的进展情况。她表示,目前相关政府机构的反应是积极的。省级发言人瑞秋·布默(Rachel Boomer)在电子邮件声明中表示,卫生部门、网络安全和数字解决方案部门以及新斯科舍省卫生局已经在系统中进行变革。“我们正在投资并尽可能减少风险,同时现代化我们的数字健康基础设施。我们已经开始实施许多审计长的建议,并将继续努力完成其余建议。”发言人说。
省政府表示,不会披露正在进行的变革细节,以防止进一步的网络威胁。
(全文结束)
