在新的威胁时代,保障患者数据和系统的安全至关重要,医疗保健组织负责存储高度敏感的个人信息,因此保护患者数据和系统至关重要。
新的和不断演变的网络威胁使医疗保健组织面临更高的风险。全球范围内,该行业遭受了旨在破坏患者数据和削弱医疗保健系统的攻击。网络攻击者不仅瞄准敏感信息,还越来越多地针对与医疗服务提供和患者体验相关的能力。在勒索软件攻击的情况下,当生命受到威胁时,医疗保健组织无法承受因系统锁定而浪费时间。
医疗保健行业在网络风险防范方面的准备程度历来低于其他行业,这增加了复杂性。许多组织将技术视为后台功能,依赖旧的大型机系统和过时的技术堆栈。
电子健康记录系统已成为重要的临床技术,虽然带来诸多好处,但因其所含信息的性质,容易受到网络攻击。医疗保健系统继续面临各种网络威胁,如勒索软件和分布式拒绝服务攻击。威胁行为者实施此类攻击的机会通常源于医疗保健组织面临的各种网络安全挑战,如缺乏多因素身份验证、依赖过时系统、端点复杂性以及安全意识和培训不足等。
组织还将面临日益严格的数据安全、隐私和互操作性监管要求。卫生系统、支付方和专员必须共同努力满足这些要求。随着领导者管理其转型之旅,这些将是关键领域。网络安全领导者可以通过关注弹性、监管合规和人工智能集成路线图,在改变该行业的信息技术基础设施完整性方面发挥关键作用。
关于这些见解
以下见解源自毕马威 2024 年网络安全考量报告,并经过改编,为首席技术和信息官及其团队提供医疗保健行业视角,以支持其组织目标,并减轻特定网络事件的影响和降低整体网络风险暴露。
考虑 1:使网络安全与组织弹性保持一致
医疗保健组织认识到强大的网络弹性的紧迫性,这需要快速、有分寸的响应和积极的规划。医疗保健行业的弹性不仅在于维持运营能力,还在于保持患者和利益相关者的信心和信任。
组织需要一种可重复的方法来应对网络威胁的动态性质,考虑到该行业的独特漏洞和监管合规要求。毕马威的研究发现,与其他行业相比,医疗保健高管在员工培训中把网络安全视为走过场的可能性低 10%。相反,他们在整个组织中广泛纳入网络安全以确保信任。
关键挑战
数据泄露:受保护的健康信息一直是网络犯罪分子的有利可图的目标。健康信息泄露可能导致医疗欺诈,通过操纵医疗记录或冒名获取处方药。这可能导致声誉损害和患者信任的侵蚀。
过时技术:广泛使用过时的技术和基础设施往往为网络犯罪分子利用的漏洞敞开大门。更新技术功能仍然是一项昂贵和耗时的努力,往往是变革的障碍。
员工培训不足:鉴于其教育和工作职责,许多医疗保健员工可能缺乏对基本网络安全协议的理解。没有足够的培训,存在更大的网络钓鱼等威胁风险。
监管不合规:在全球范围内,医疗保健组织在患者数据方面按照严格的监管规则运营。不遵守这些规定可能导致严厉的处罚。
端点复杂性:医疗保健系统由于其大量的员工和庞大的物理基础设施,具有独特的端点复杂性挑战。随之而来的是组织必须管理数千名员工、患者和访客使用的设备。
互操作性电子健康记录:最近的一份研究报告称赞了建立互操作性临床数据库和电子健康记录的好处,但这些系统所含的受保护健康信息使其面临网络攻击的风险。
关键机会
前瞻性投资:为应对数据泄露风险,鼓励组织投资于先进的数据加密技术和数据泄露检测系统。在这些领域的更多投资可以为网络安全奠定坚实的基础。根据毕马威全球技术报告 2024,医疗保健在优先考虑和投资由 Web3 技术(如区块链和标记化)驱动的下一代安全方面确实领先于所有其他行业。
数字化提高效率:人工智能等新兴技术的数字化和集成增加可以帮助提高运营效率和患者护理。
更好的培训计划:确保所有员工精通领先的网络安全实践的培训计划不仅可以降低网络风险,还可以加强安全文化。
先进的软件系统:为了满足复杂、不断发展的监管要求,组织应该投资于更复杂、合规的基础设施和软件系统,以适应未来。
嵌入具有手动流程或备份技术系统的弹性需要大型公共组织能够承担的资源,但较小的提供商可能会遇到困难。即使较小组织持有的数据同样有价值且易受攻击。最近的一份研究报告指出,需要“明确关于跨医疗保健提供者和政府系统的数字系统互操作性的规定”。对全球医疗保健部门来说,拥有提升其整体安全态势的路线图也将是有益的。
考虑 2:谨慎释放人工智能的潜力
医疗保健领导者正在关注人工智能,以解决劳动力短缺问题,并在患者护理和更广泛的生态系统中寻找运营效率。随着生成式人工智能以及机器人技术和机器学习的重大进展,该行业面临着驾驭这些技术固有的安全、隐私和伦理考虑的复杂相互作用的任务。
将人工智能集成到医疗保健中的旅程充满了挑战,并充满了无与伦比的创新和增强服务交付的机会。总体目标仍然明确:以维护最高护理标准、安全和道德责任的方式利用人工智能。
关键挑战
易受攻击:现有的人工智能系统可能存在可被利用以获取敏感患者数据的漏洞。威胁行为者可以将这些漏洞武器化。例如,人工智能可能被操纵在诊断或治疗计划中引入偏差,导致患者护理受损。
隐私问题:人工智能软件对患者数据的广泛使用引起了相当大的隐私担忧,因为人工智能固有地涉及访问、处理和存储大量敏感数据。一些关键问题包括:
数据在平台间共享:人工智能系统可能需要在平台之间或与其他人工智能系统共享数据以进行更好的预测建模和分析。每个数据传输点都是潜在的安全漏洞。
违反知情同意:在使用人工智能系统时,患者可能不完全理解他们的数据可能用于什么,例如在机器学习算法或预测建模中。在这些情况下,可能存在违反知情同意的情况。
去识别和匿名化:人工智能可以依赖去识别或匿名化的数据进行处理;然而,随着多个数据集的聚合,可能重新识别匿名化的数据,这可能损害个人隐私。
需要持续监测:由于其自学习和决策能力,人工智能系统需要持续监测。这是为了检查诊断准确性、验证法规合规性和检查偏差。这在人工智能仍处于医疗保健组织整合的早期阶段尤为重要。
关键机会
提高精度:通过适当的安全控制来防止恶意算法,人工智能可以帮助提高诊断和治疗计划的准确性。
建立信任:围绕人工智能的严格数据隐私政策可以通过展示其对维护患者机密性的承诺来帮助建立患者对医疗保健组织的信任。
风险可见性:强大的人工智能系统对于为广泛的组织技术环境进行持续的漏洞评估也不可或缺。通过对关键问题的可见性,组织可以及时识别潜在风险并采取积极措施。
虽然医疗保健组织仍然热衷于使用人工智能来简化操作和提高效率,但在以符合医疗保健数据法规(如美国的《健康保险可携带性和责任法案》、欧洲和英国的《通用数据保护条例》、澳大利亚的《隐私法》和加拿大的《个人信息保护和电子文档法》)的方式使用该技术方面存在独特的挑战。定制的人工智能系统在提高效率和效果的同时遵守每个组织独特背景下的监管要求,可能是前进的方向。
考虑 3:使供应链安全现代化
对于医疗保健领导者来说,随着传统的第三方和供应链安全模型努力应对当今复杂、相互依存的生态系统,使供应链安全现代化的需求从未如此迫切。第三方仅仅基于交易基础运作的观念已成为过去。今天,应用程序接口、先进流程和软件即服务的依赖需要对供应商伙伴关系采取更具战略性的方法。
对供应商不断变化的风险状况进行持续监测和管理的需求更大。在这样做的过程中,可见性、可扩展性和第三方合作伙伴不断变化的风险状况的挑战迫在眉睫。在这些挑战中,也有机会将供应链安全重新想象为具有全面风险思维和智能自动化战略应用的关键业务推动者。
关键挑战
供应链中的漏洞:医疗保健供应链的供应商、制造商和服务提供商网络加剧了网络安全挑战。每个供应商可能具有不同的网络安全成熟度水平,使整个供应链容易受到最薄弱环节的影响。确保在如此多样化的网络中一致的安全措施仍然困难。
缺乏标准化:互操作性和数据共享可能在供应链中带来安全风险。挑战在于确保数据在不同的系统、组织和设备之间安全流动。这不仅需要强大的加密和安全的数据处理实践,还需要难以实现的标准化水平。
关键机会
改善整体安全态势:通过要求供应商达到更高的网络安全标准,医疗保健组织不仅可以改善自己的安全态势,还可以提升整个行业的安全标准。这可以通过在采购合同中实施严格的网络安全标准、进行定期审计以及为较小的供应商提供支持以满足这些标准来实现。
更集成和有弹性的网络:通过采用全面的网络安全框架和促进互操作性标准,医疗保健组织可以创建一个更具凝聚力和安全性的供应链。这种集成可以促进更好的数据共享和协作,使供应链更适应变化,并更好地应对网络安全威胁。
虽然使供应链安全现代化仍然至关重要,但冗长和手动的风险评估的日子正在过去,因为它们在财务和运营上都不可扩展。新技术和工具不断提高诊断网络风险和对供应商重点领域进行分类的能力,减少所需的手动工作,并为弹性工作提供更多带宽。
医疗保健行业的真实网络安全
在 2024 年初,一家主要的医疗技术公司遭受了网络攻击。这次攻击给几家供应商造成了严重问题,并持续扰乱关键业务数月,突出了医疗保健组织的脆弱性,并表明即使是大型市场领导者也容易受到高级网络威胁的影响。
由于攻击,供应商无法处理索赔并从保险公司收取款项。除了财务影响外,攻击还延迟了预授权、覆盖范围验证和处方填写过程,影响了患者护理。虽然该公司恢复了某些服务,但供应商的索赔积压和财务中断问题仍然存在。
这一事件增加了对医疗保健网络安全实践的审查,促使医疗保健组织加强其安全基础设施,并优先考虑持续监测和威胁检测能力,以更快地识别潜在的网络威胁。
许多公司正在努力加强其网络安全措施,包括审查技术访问控制、重新审视事件响应计划、纳入全面的安全意识培训、建立异地备份系统,并优先考虑其环境中硬件和软件资产的定期更新和补丁。
医疗保健领导者的关键要点
医疗保健涉及生死决策。当生命受到威胁时,医疗保健组织不能承受系统锁定。为了提高组织的弹性,需要全面的事件响应计划,概述识别、遏制、根除和从各种网络攻击中恢复的程序。
随着行业以改善患者结果和体验为重点拥抱技术,为医疗保健运营中人工智能的用户和开发建立治理框架和道德准则,确保强大的数据隐私和安全措施。
由于复杂、相互依存的生态系统,医疗保健组织需要能够评估第三方的安全态势,并实施持续监测计划,以迅速检测和解决潜在的供应链漏洞。
毕马威如何提供帮助
越来越多的医疗保健组织正在转向技术来应对他们面临的许多挑战。技术使许多事情成为可能,但可能并不总是意味着安全。随着网络威胁在数量和复杂性上的增加,技术对于满足患者的需求以及管理提供者、员工和卫生系统合作伙伴的期望变得至关重要。
毕马威公司的专业人员与世界各地的医疗保健组织合作,帮助应对市场挑战,提供深入的行业观点,评估网络安全计划,开发先进的数字解决方案,就持续风险的实施和监测提供建议,并帮助设计对网络事件的适当响应。
获取更多联系以了解毕马威的网络安全服务如何帮助满足您组织当前和未来的需求。
相关内容
网络安全考量 2024
技术创新需要战略实用主义。
阅读更多
毕马威全球技术报告 2023:医疗保健行业洞察
医疗保健如何利用技术提高生产力和保障信任
阅读更多
医疗保健
网络安全不仅仅是一个技术问题——它是贯穿您业务的金线....
阅读更多
作者
Mark Muto
美国毕马威网络安全服务总监
邮件
电话
Anurag Rai
毕马威国际医疗保健网络安全全球负责人;美国毕马威咨询公司网络安全服务负责人
邮件
电话
脚注
1 毕马威全球技术报告
2 医疗保健系统可持续性和弹性伙伴关系。(2023 年)。国家报告的主要发现:建立可持续和有弹性的卫生系统。
3 毕马威全球技术报告
4 同上
