Lehmann還介紹了網(wǎng)絡(luò)攻擊的影響、云技術(shù)對醫(yī)療數(shù)據(jù)安全的變革性影響，以及加強(qiáng)對這些不斷變化的威脅的防御所需的措施。

 

你能討論一下如果發(fā)生數(shù)據(jù)泄露對醫(yī)療保健提供者的道德和法律影響嗎?

 

對敏感、有價值的數(shù)據(jù)和難以保護(hù)的遺留技術(shù)的保護(hù)歷來薄弱，這使得醫(yī)療保健成為攻擊者容易、有吸引力的目標(biāo)。該行業(yè)網(wǎng)絡(luò)入侵的影響可能會對個人產(chǎn)生嚴(yán)重影響，這在很大程度上是因?yàn)樗麄兪占痛鎯Φ拿舾袀€人和健康數(shù)據(jù)，以及在護(hù)理環(huán)境中使用的許多系統(tǒng)直接支持醫(yī)療程序的安全和維持生命的事實(shí)。

 

與其他行業(yè)相比，醫(yī)療保健提供商處于獨(dú)特的地位-他們有道德和法律義務(wù)保護(hù)患者數(shù)據(jù)和保護(hù)患者護(hù)理免受網(wǎng)絡(luò)威脅。醫(yī)療保健服務(wù)是極少數(shù)幾個在安全、彈性和生命安全之間存在直接聯(lián)系的行業(yè)之一。

 

在一個例子中，一家醫(yī)療系統(tǒng)在網(wǎng)絡(luò)攻擊后暫時改變了救護(hù)車的路線，并關(guān)閉了IT系統(tǒng)以恢復(fù)其網(wǎng)絡(luò)。在不同的情況下，威脅參與者可能竊取了密碼、醫(yī)療記錄、社會安全號碼或其他個人身份信息。

 

在法律方面，醫(yī)療保健提供商受到錯綜復(fù)雜的數(shù)據(jù)保護(hù)法律和法規(guī)網(wǎng)絡(luò)的約束，例如美國的HIPAA或歐盟的GDPR。不遵守這些規(guī)定可能會導(dǎo)致對組織的巨額刑事和民事罰款和處罰。違約受害者提起訴訟，要求賠償醫(yī)療身份盜竊、經(jīng)濟(jì)損失、潛在生命損失和情感困擾，也可能產(chǎn)生重大的法律、財務(wù)和聲譽(yù)影響。

 

網(wǎng)絡(luò)攻擊對運(yùn)營的影響正在影響患者的安全。你能舉一些例子說明這些攻擊是如何影響醫(yī)療服務(wù)的嗎?

 

針對醫(yī)療保健和生命科學(xué)機(jī)構(gòu)的網(wǎng)絡(luò)攻擊可能直接影響患者的福祉。除了可能造成的經(jīng)濟(jì)損失外，網(wǎng)絡(luò)攻擊還可能擾亂運(yùn)營、損害聲譽(yù)，甚至威脅公眾健康。例如，對一家制藥公司的勒索軟件攻擊可能會推遲新藥的發(fā)布，這可能會對需要它的患者產(chǎn)生嚴(yán)重影響。

 

雖然尚未有確切的患者因網(wǎng)絡(luò)攻擊而死亡，但CISA發(fā)現(xiàn)，2020-2021年對醫(yī)院的成功勒索軟件攻擊降低了醫(yī)院照顧患者的能力。今年6月，圣瑪格麗特健康醫(yī)院永久關(guān)閉，這是伊利諾伊州斯普林谷農(nóng)村社區(qū)唯一的一家醫(yī)院，部分原因是在2021年勒索軟件攻擊后，恢復(fù)醫(yī)院服務(wù)的成本難以承受。

 

坦白地講，這種趨勢對我們不利。雖然圣瑪格麗特健康中心是第一家將網(wǎng)絡(luò)攻擊作為永久停止運(yùn)營的理由之一的醫(yī)療機(jī)構(gòu)，但有跡象表明，這不太可能是最后一家。2022年，我們看到越來越多的人聲稱死于針對醫(yī)院的網(wǎng)絡(luò)攻擊。

 

這一點(diǎn)的影響是無法克服的，一家醫(yī)院關(guān)門可能會直接影響居民獲得重癥護(hù)理的能力。

 

威脅行為者知道我們的衛(wèi)生系統(tǒng)是脆弱的，他們不在乎傷害他們治療的弱勢人群。為了結(jié)束醫(yī)療保健面臨的日益增長的生死存亡的威脅，它需要創(chuàng)造力、創(chuàng)新、伙伴關(guān)系和意愿來改變醫(yī)療保健領(lǐng)域IT安全和風(fēng)險管理的現(xiàn)狀。

 

向云計算的過渡如何改變了醫(yī)療機(jī)構(gòu)的網(wǎng)絡(luò)安全格局?

 

公有云可以在幫助醫(yī)療保健和生命科學(xué)組織變得更安全方面發(fā)揮重要作用。Forrester最近發(fā)現(xiàn)，隨著云提供商提高安全性，組織越來越多地投資于云技術(shù)。云中固有的更好的安全性，再加上監(jiān)管動機(jī)和廣泛的社區(qū)努力，可以讓醫(yī)療保健提供商擴(kuò)展其IT基礎(chǔ)設(shè)施，以快速滿足不斷增長的需求。

 

這就是說，云中一個管理不善的證書可能會對醫(yī)療保健組織的一天的生活產(chǎn)生重大影響。在可預(yù)見的未來，通過執(zhí)行適當(dāng)?shù)脑撇渴鸷途S護(hù)來管理這一不斷增長的外圍應(yīng)用領(lǐng)域?qū)⒗^續(xù)是醫(yī)療保健組織面臨的挑戰(zhàn)，但這一挑戰(zhàn)至關(guān)重要，如果處理得當(dāng)，長期而言將獲得強(qiáng)勁的投資回報。在上個季度，谷歌云的數(shù)據(jù)顯示，超過一半的云初始訪問攻擊來自所有行業(yè)的密碼較弱或沒有密碼的用戶。一旦攻擊者進(jìn)入，他們就會部署勒索軟件，并越來越多地勒索數(shù)據(jù)以銷毀、出售或用作迫使回應(yīng)或某種付款的籌碼。

 

醫(yī)療保健實(shí)體正在實(shí)施哪些措施來保護(hù)他們的云存儲數(shù)據(jù)?你認(rèn)為哪些方面還有改進(jìn)的空間?

 

醫(yī)療保健組織應(yīng)繼續(xù)改進(jìn)其身份和訪問管理(IAM)系統(tǒng)，以確保定義、設(shè)置和監(jiān)控用戶憑據(jù)。這將為安全團(tuán)隊(duì)提供可疑活動的早期預(yù)警，從而有助于降低憑證被盜的可能性。組織應(yīng)使用多因素身份驗(yàn)證(MFA)來確保被盜且未被其IAM協(xié)議檢測到的憑據(jù)不會導(dǎo)致入侵。

 

此外，通過要求用戶擁有手機(jī)等物理設(shè)備，而不僅僅是登錄憑據(jù)才能進(jìn)入系統(tǒng)，密鑰越來越成為幫助降低憑據(jù)被盜可能性的強(qiáng)大工具。持續(xù)評估并將用戶和服務(wù)的訪問減少到最低限度，并提供對高度敏感資源的及時訪問，將有助于保持組織的安全運(yùn)行。

 

醫(yī)療機(jī)構(gòu)必須專注于安全衛(wèi)生，包括云安全，并對其全體員工進(jìn)行網(wǎng)絡(luò)威脅方面的教育。否則，這些組織可能會成為這些相對常見且可以預(yù)防的網(wǎng)絡(luò)攻擊的受害者。

 

鑒于相當(dāng)大比例的醫(yī)療保健組織計劃很快采用云技術(shù)，他們應(yīng)該考慮的首要網(wǎng)絡(luò)安全考慮因素是什么?

 

1.在你的環(huán)境和人員培訓(xùn)中設(shè)置護(hù)欄，確保每個人都能養(yǎng)成良好的云衛(wèi)生習(xí)慣，應(yīng)該進(jìn)行監(jiān)測和執(zhí)行。

 

2.應(yīng)在整個組織范圍內(nèi)使用有效和強(qiáng)大的認(rèn)證工具，具體而言，應(yīng)為關(guān)鍵資源建立MFA，以確保被盜的憑證不會導(dǎo)致適當(dāng)和充分的認(rèn)證。工作空間管理員還應(yīng)為關(guān)鍵的云服務(wù)實(shí)施適當(dāng)?shù)臅挼狡冢詭椭徑?ldquo;實(shí)時”數(shù)據(jù)訪問等威脅。

 

3.維護(hù)數(shù)據(jù)備份并測試業(yè)務(wù)連續(xù)性能力，以從勒索軟件、數(shù)據(jù)刪除和相關(guān)攻擊中成功恢復(fù)生產(chǎn)環(huán)境。使備份數(shù)據(jù)保持隔離。對于關(guān)鍵數(shù)據(jù)，請保留離線備份以實(shí)現(xiàn)額外的冗余。通過執(zhí)行“白板”或?qū)崟r業(yè)務(wù)連續(xù)性測試來定期測試系統(tǒng)的彈性，以確保基礎(chǔ)設(shè)施破壞或類似攻擊不會影響生產(chǎn)服務(wù)。

 

4.定期對云實(shí)例進(jìn)行漏洞掃描，對關(guān)鍵的云托管Web應(yīng)用進(jìn)行滲透測試。及時修補(bǔ)本地服務(wù)、第三方軟件和Web應(yīng)用程序中發(fā)現(xiàn)的任何漏洞。

 

5.將檢測和響應(yīng)平臺擴(kuò)展到更多正在提供關(guān)鍵服務(wù)的系統(tǒng)，然后攻擊者才能在成功入侵后采取行動。

 

6.利用機(jī)器學(xué)習(xí)和人工智能，更快、更自信地為自己的組織辯護(hù)。

 

當(dāng)前的醫(yī)療網(wǎng)絡(luò)安全政策和法規(guī)是否足以應(yīng)對網(wǎng)絡(luò)安全挑戰(zhàn)，或者是否需要新的框架?

 

我們看到了一個轉(zhuǎn)變，因?yàn)樵S多人已經(jīng)意識到保護(hù)敏感信息的機(jī)密性不足以保護(hù)組織及其客戶的安全。雖然用意是好的，但醫(yī)療安全法律法規(guī)沒有跟上組織消費(fèi)新技術(shù)和攻擊者發(fā)現(xiàn)影響它們的方法的速度。許多新的法律法規(guī)正在被提出，以解決醫(yī)療安全社區(qū)表達(dá)的一些擔(dān)憂，包括尋求增加共享的安全威脅情報的數(shù)量，推動采用零信任等新的安全模式，提高軟件和數(shù)據(jù)供應(yīng)鏈的安全性等。

 

令人鼓舞的是，我們也看到監(jiān)管關(guān)注的轉(zhuǎn)變，將安全列為這些努力的關(guān)鍵結(jié)果。例如，2023年的綜合撥款法案包括兩項(xiàng)與聯(lián)網(wǎng)醫(yī)療設(shè)備安全相關(guān)的重要條款，其中包括聯(lián)邦藥品管理局的一項(xiàng)新要求，即聯(lián)網(wǎng)醫(yī)療設(shè)備必須是網(wǎng)絡(luò)安全的，并在進(jìn)入市場后保持這種狀態(tài)。如果做不到這一點(diǎn)，將允許FDA實(shí)施執(zhí)法，并阻止這些設(shè)備進(jìn)入市場。歐盟也有類似的規(guī)定。

 

此外，F(xiàn)DA在去年的計算機(jī)軟件保障模型草案中表示，一種基于風(fēng)險的方法來管理醫(yī)療器械的質(zhì)量、安全和安全即將到來。指導(dǎo)意見明確指出，在設(shè)計和實(shí)施這些系統(tǒng)時，除了安全和質(zhì)量外，還必須考慮到安全性。

 

這些法規(guī)是在美國以及其他國家在國際上采取類似措施之際創(chuàng)建一個更安全、更有保障、更具彈性的醫(yī)療體系的一個強(qiáng)有力的起點(diǎn)——但這些監(jiān)管努力必須與行業(yè)合作和信息共享相結(jié)合，以推動有效、持久的變革。

 

 

國內(nèi)主流的to B IT門戶，同時在運(yùn)營國內(nèi)最大的甲方CIO專家?guī)旌椭橇敵黾吧缃黄脚_-信眾智(www.cioall.com)。同時運(yùn)營19個IT行業(yè)公眾號(微信搜索D1net即可關(guān)注)。

 

版權(quán)聲明：本文為企業(yè)網(wǎng)D1Net編譯，轉(zhuǎn)載需在文章開頭注明出處為：企業(yè)網(wǎng)D1Net，如果不注明出處，企業(yè)網(wǎng)D1Net將保留追究其法律責(zé)任的權(quán)利。