随着网络攻击以惊人的速度激增,医疗保健组织正争先恐后地实施有效的措施来预防这些威胁。根据美国卫生与公共服务部的数据,在过去的四年中,医疗数据泄露事件增加了239%,勒索软件攻击增加了278%。IBM 2023年的数据泄露成本研究显示,仅在2023年,就有超过8800万人受到安全漏洞的影响,这突显了实施强大网络安全措施的紧迫性。
尽管存在明显的和当前的危险,医疗保健行业在实施有效的网络安全实践方面仍面临困难。无论是2011年的Tricare数据泄露、2022年的Shields Healthcare还是最近的United Healthcare,这些高调的攻击都导致了重大中断、财务赤字和患者信任的丧失,其个人信息被访问。医疗保健是日常生活的重要组成部分,那么为什么组织在采用更好的解决方案方面进展缓慢呢?
答案可能看似简单,但实际上相当复杂。医疗保健是一个高度监管的行业,运营利润率较低。根据IBM 2023年的数据泄露成本研究,单次泄露的成本接近1100万美元。因此,组织正在采取系统的方法来实施安全框架,通过设立专门的首席信息安全官(CISO)、内部团队和咨询合作伙伴作为基础层。在此基础上,基本的网络安全实践如警惕的补丁管理、减轻软件供应链风险、部署防病毒解决方案和持续的员工培训被纳入框架。
Rajan Kohli,CitiusTech首席执行官
医疗保健企业安全的关键步骤
即使有了专门的安全团队和框架,医疗保健组织仍然面临严格的法规合规要求、患者数据的敏感性、提供者、云和AI技术采用的复杂互依生态系统等挑战。组织可以采取五个关键步骤来降低网络攻击的风险。
1. 加强云端安全
随着越来越多的数据存储在外部,医疗IT团队必须遵循法规要求,创建一个安全控制框架,明确数据如何传输到云端、加密格式以及谁有权访问。虽然云服务提供商可能提供数据保护措施,但进一步集成控制措施是必要的。这可以通过在DevSecOps中自动化安全或在多云场景中进行控制来实现,以应对故障或攻击。数据中心的物理安全同样重要,正如HCA Healthcare在2023年发现的那样,外部存储位置的盗窃泄露了超过1100万条包含患者联系信息和即将预约日期的记录。组织必须优先制定全面的数据保留策略和应急计划。对云部署和公开暴露的应用程序架构进行全面的安全审查至关重要。针对勒索软件攻击的弹性云解决方案可以迅速恢复正常运营,保护患者的利益。
2. 消除未修补设备的风险
医疗系统包括从笔记本电脑到MRI再到患者监护仪的多种设备。IT团队负责保护这些端点以及电子病历和保险支付系统的各种软件程序。这相当于成千上万,甚至数百万个潜在的攻击入口。更新遗留系统并识别未修补的老化漏洞必须是第一步。团队可以创建一个闭环治理计划来查找和修复这些问题,按风险级别优先处理。
当安全实践和计划未及时更新时,会导致灾难性的勒索软件攻击,如2024年初Change Healthcare遭受的攻击。据国会证词,该攻击泄露了数千条患者记录,原因是特定服务器缺乏多因素认证(MFA),这是一个本可以检测到的漏洞。
3. 防止恶意内部威胁
实施基于零信任原则的增强安全操作,如分段、身份和行为,可以防止来自内部网络的威胁。它还可以主动阻止已突破初始防线的威胁。这些威胁也可能来自第三方供应商。卫生与公共服务部健康部门网络安全协调中心已警告组织关于文件传输程序MOVEit中的漏洞。俄罗斯网络攻击者在2023年针对该平台,导致数百万条记录被曝光。CISO必须确保每个供应商已通过HIPAA审计并获得HITRUST认证,然后才能实施任何服务。
4. 确保法规合规
医疗保健组织必须遵守有关患者数据的多项法规和合规要求。由于每个国家的法规不同,跟上所有法规是一项挑战。此外,随着新设备、软件或数字化转型项目的出现,这些将引入新的风险。与医疗咨询合作伙伴合作,监控风险和法规变化,有助于保持安全框架的紧密性。例如,Kaiser Permanente在2024年4月宣布了一起影响超过1300万美国人的数据泄露事件。虽然不被视为典型的泄露,但患者数据因错误的跟踪代码而被共享给第三方广告商,该代码跟踪网站使用和导航。咨询合作伙伴可以帮助CISO更好地监控和审计IT系统,帮助发现这些问题。
5. 采用新技术
生成式AI是每家组织都在努力纳入其技术堆栈的最新技术。以前,公司在采用新技术时会更加谨慎,但生成式AI的流行推动了更快的实施,而没有充分考虑。在医疗保健中,AI的使用既是风险也是好处。积极的一面是,它增强了网络安全框架,主动监控和标记问题。重复任务可以自动化,使CISO和安全团队有更多时间处理其他任务,以加强网络安全框架。然而,必须指出的是,AI也给组织带来了风险。黑客利用AI改进网络钓鱼骗局、生成更复杂的攻击和创建深度伪造威胁。选择生成式AI解决方案时,最好选择那些监控质量和信任度并专门为医疗保健行业构建的解决方案。
此外,如果员工使用未经安全团队批准的AI工具,将使组织面临更大的风险。这种影子IT问题通常伴随着员工对IT治理控制的不良遵守,增加了CISO和团队难以发现的威胁表面。CISO必须在所有员工中建立安全文化。那些投资于全面安全培训平台的组织看到了显著的价值,因为员工成为第一道防线。
一个组织如何防止威胁
以一家领先的肿瘤治疗技术提供商为例,该公司通过实施这些关键步骤来抵御攻击。这家组织要求各种放射诊所使用其专有系统。与其派遣员工到每个地点,该提供商利用基于云的解决方案来在整个软件生命周期中保护漏洞。利用威胁建模和先前网络安全评估的见解,团队了解了需要加强安全基础设施的地方。
该提供商与合作伙伴合作,设计和构建了一个集中式的治疗规划解决方案,其中包括静态测试和第三方库评估在内的强大的安全测试框架。数据分析确定了如何分配严重威胁级别和漏洞缓解路径。结果,该肿瘤技术提供商已缓解了100多个安全漏洞,扫描了150万行代码,并检测和挫败了250多个网络安全威胁。由五个关键要素组成的网络安全框架的成功实施确保了这一基础设施的安全。
联网世界中的安全
技术已经彻底改变了医疗保健。纸质记录和笔记的时代一去不复返了。一切都在网上、自动化,不幸的是,也容易受到安全风险的威胁。当医疗保健CISO、团队和咨询合作伙伴共同努力时,可以建立更紧密的安全框架,减少整体网络安全风险。通过采取这些关键步骤,医疗保健组织可以最小化攻击面。结果是:医疗保健组织能够在没有中断或停机的情况下,及时为患者提供正确的治疗。
(全文结束)
