查看原文
其他

【HIMSS18看点】医疗机构的网络安全事件类似“洋葱”

2018-03-15 唐灵逸 编译 HIT专家网news

导读

如今网络安全不再是一个“点问题”,而是一个全系统的问题,类似于“洋葱”。


(图片来源:www.healthcareitnews.com)

根据HIMSS18发布的年度HIMSS网络安全调查,大约76%的医疗保健机构的领导者承认,其组织在过去一年中面临过重大的安全事件。

医疗行业的网络安全事件显著增加

在2017年12月至2018年1月期间,HIMSS对239位医疗保健行业的领导者进行了调查。调查发现,在这些攻击中,96%是由可识别的威胁目标造成的。前三名肇事者是钓鱼者、疏忽的内部人士和黑客。这些攻击中有61%将电子邮件作为主要入口。

其他攻击包括:客户网络受到破坏、密码猜测、Web应用程序攻击、云配置错误或软件配置错误、人为错误、公司网站遭到破坏、预先加载恶意软件的软件或硬件。大约12%的受访者不确定黑客是如何侵入他们的网络的。大约68%的事故是内部发现的。

所幸的是,在这些漏洞中,有68%是七天之内被发现的,有47%是在24小时内被发现的。相较于去年的报道中要数月甚至数年才发现泄露事件,这些数字是一个巨大的进步。

报告还发现,尽管在过去的一年中,医疗保健行业的安全事件显著增加,但是泄露的严重程度逐年下降。这反映了整个行业中网络信息安全的大幅度改善。大多数受访者(84%)表示,他们的组织已经加大资源投入,来应对网络信息安全方面的需求。

令人担忧的是,有3%的受访者表示这些资源投入已经逐年下降。另有3%表示没有资金投入到网络信息安全中。不仅如此,还有27%的人表示预算中没有关于网络信息安全的具体分配。相反,资金是按需或按照要求花费的。

不过,医院在聘请资深信息安全领导这方面有大幅改善,60%的受访者表示他们去年聘用了该职位。与美国卫生与公众服务部网络安全工作组(U.S. Department of Health and Human Services Cybersecurity Task Force)去年的报告相比,这是一个巨大的进步,当时四分之三的医院运转时都没有指定的信息安全人员。

“医疗网络信息安全正在取得显著的进步。 增长空间总会有的,但网络信息安全项目不可能单独推进。事实上,网络信息安全人力与财力资源匮乏等障碍依然存在。因此,医疗保健机构(及其领导者)需要采取积极主动的措施,灌输积极的变化,并且真正优先考虑网络信息安全,” HIMSS18网络安全报告中写道:“只有这样我们才能前进,而不是前进一步、后退两步。”

网络安全须成为董事会要务

HIMSS18大会上公布的第三届年度HIMSS分析与Symantec IT安全和风险管理报告显示,尽管有迹象表明医疗保健领域的风险管理日趋成熟,但危险的网络信息安全缺口依然存在。该报告称,为了实现可持续与有意义的变化,供应商必须将网络信息安全从IT部门转移到董事会。

该报告探讨了IT和安全管理人员的观点,以及IT管理员、医师和商业专家在IT安全策略方面的情况。调查结果基于网络调查和12月份进行的深入访谈。

好消息是,医疗机构正在开始实施的政策显示了他们已经更好地理解了网络信息安全。他们也正在搭建网络信息安全框架,并将风险评估放在首要位置。报告结果显示,60%的IT领导者现在将风险评估视为安全投资的头号推动力,而不是HIPAA合规性;有94%的人将其评为前三名的推动力;59%的受访者表示“应对风险结构框架的表现”是最高的KPI。

该报告称,高管们也刚开始处理更多的网络信息安全问题,其中大约40%的受访者要求提供安全报告,约27%要求在定期会议中提交安全报告;略多于14%的人会主动讨论新的或现有的风险。

“如果医疗保健机构没有把网络安全看作是一个目标,那表明他并不完全了解在2018年网络安全到底意味着什么。”HIMSS隐私与安全委员会的杰出医疗保健架构师、Symantec医疗解决方案架构师Axel Wirth如是说。

尽管医疗机构的技术环境由于医疗设备的使用而日益复杂,但他们尚未实现充分投资网络信息安全,因为他们仍对云以及如何使其安全有所疑虑,并且没有完全确定安全优先级。

尽管最近针对医疗保健行业的网络攻击十分猖獗、破坏性极高,但有45%的受访者表示,在2017年的IT预算中只有0-3%用于IT安全领域。对于28%的受访者来说,2018年的IT预算中有4%-6%用于信息安全;只有7.7%的受访者表示,超过10%的专项用于信息安全。

抵御网络罪犯的信心也低得惊人,2017年只有6%的人表示,他们的机构对于抵御网络攻击“非常有信心”。报告显示,其中一些可能是由于资源有限和人员短缺造成的,而有73%的受访者认为预算有限是前三大障碍,约63%的人认为是人员短缺,40%多的人表示他们没有正确的技能来完成工作。

Wirth说:“不管挑战如何,今天的IT信息安全与以往完全不同。它不再是一个‘点问题’,而是一个全系统的问题,因为它会直接影响供应商的底线、护理交付与患者安全。”

“在当今复杂的医疗环境中,网络安全所面临的挑战是一个洋葱问题:你解决了一个层面,然后会发现它下面还有更多的挑战。”Wirth说。 “这就是为什么供应商对于网络信息安全方法的每个方面,包括通知董事会、采用某一个框架、预算和管理风险等,都必须从企业风险的角度来执行。”

【网络安全事件】

恶意软件攻击导致约13万份病历泄露

今年1月8日,黑客攻击了纽约市圣彼得医院外科与内窥镜检查中心(Surgery and Endoscopy Center),获得了服务器访问权限。当天医院发现了这一漏洞, 快速检测恶意软件限制了黑客可以访问服务器的时间,然而却无法排除病人数据是否被查看、访问或被盗的可能性,可能造成134,512份病历泄露。

官方表示,这次针对外科与内窥镜检查中心的黑客攻击并没有影响到圣彼得医院或者奥尔巴尼胃肠病咨询(Albany Gastroenterology Consultants)。只有外科与内窥镜检查中心的患者可能遭受了这次信息泄露。官方于2月28日通知了这些患者。

泄露信息的服务器包含了患者姓名、地址、出生日期、服务日期、诊断、程序和保险信息。一些医保患者(Medicare)信息中还包括了社会安全号码,医疗保险数据也暴露给了一些患者,但并没有信用卡或银行信息被暴露。这些医保信息被泄露的患者已经获得了为期一年的免费信用监测。

官方并没有解释黑客如何将恶意软件安装到这些受影响的服务器上,圣彼得医院正在实施更严格的信息安全标准,并且增加员工培训。此外,医院正在考虑使用“更多、更细致的反欺诈和病毒防护软件”。

英文链接:

http://www.healthcareitnews.com/news/malware-attack-causes-breach-134512-patient-records

http://www.healthcareitnews.com/news/cybersecurity-must-be-hands-boardroom-concern-expert-says

http://www.healthcareitnews.com/news/majority-health-orgs-saw-significant-security-incidents-2017-himss-survey-finds


 近期热门文章:【HIMSS18】专题系列 


HIT专家网最新鲜的医疗信息化资讯,不一样的专家视角

微信:HIT180com

投稿: public@hit180.com

商务合作:(010)82373062

    您可能也对以下帖子感兴趣

    文章有问题?点此查看未经处理的缓存