尽管加大了网络安全投资,但美国卫生与公众服务部(HHS)2024年3月的一份报告发现,过去五年中医疗系统遭遇的勒索软件攻击增加了264%。医疗行业在修复攻击方面花费最多,与其他行业相比,医疗行业的数据泄露平均成本超过970万美元。
这些攻击不仅导致护理中断、患者安全风险、合规违规和声誉损害。除非组织能够有效改善网络安全,否则随着行业继续应对这一迅速变化的环境,情况只会恶化。
为了在有限的预算和资源下取得真正效果,医疗IT和安全领导者将寻求通过简单有效的解决方案来提高安全性,如无密码认证、移动设备、AI和第三方安全技术越来越受欢迎。
增加的医疗IT预算标志着数字化成熟度的推动
我参加了由医疗信息管理执行学院(CHIME)主办的CHIME24秋季论坛,该会议汇聚了数字健康领域的领导者,共同制定推进医疗保健的倡议。会议上,CHIME发布了其2024年国家趋势报告,评估了美国数字健康的进展。报告预测未来IT预算分配将增加,更加关注网络安全和基础设施,并继续扩展技术应用以改善医疗结果和效率。
当我与医疗专业人员讨论他们的组织挑战和倡议时,我得到了一个总体结论:医疗组织比以往任何时候都更需要简单而有效的安全措施。随着医疗IT预算的增加,组织不仅要投资技术,还应战略性地调整其网络策略,以适应医疗行业的独特和复杂特性。
提高效率、移动性和安全性的需求
2024年Verizon的一份报告发现,针对设备的移动恶意软件和网络钓鱼攻击有所增加,攻击者利用这些平台较弱的防御进行攻击。这成为IT和安全领导者的重大关切,特别是在我们赞助的2024年Ponemon研究所研究中发现,64%的医疗组织无法通过锁定每次使用之间的设备来保护数据和隐私。
安全措施必须确保访问受保护的健康信息(PHI),而不妨碍临床医生的工作流程。然而,实现这种平衡是微妙的,因为其他行业的安全协议可能不适合医疗环境。Ponemon报告发现,只有40%的医疗组织认为移动设备的最终用户体验令人满意。
AI创新占据中心地位
不出所料,生成式AI已成为一种广泛流行的时间节省工具,用于临床决策和预测分析。然而,生成式AI也引发了数据隐私泄露的担忧,因为它需要大量敏感的患者数据才能发挥作用。
除了生成式AI外,所有形式的AI在医疗保健中的应用越来越普遍,突显了教育其风险和机遇的重要性。例如,AI和机器学习(ML)工具可以用来改进威胁检测和响应时间。然而,由于这项新技术存在许多未知数,任何AI战略都必须谨慎制定,以满足医疗行业的独特网络安全和合规需求,同时遵守严格的法规要求,如《健康保险可携性和责任法案》(HIPAA)。
供应商安全至关重要
CHIME报告还强调了改善医疗行业供应商安全的必要性,最近的供应链攻击表明这一点。从供应商到合作伙伴再到承包商,第三方是当今商业环境中不可或缺的一部分。虽然所有行业都依赖供应商,但医疗行业尤其依赖外部供应商的帮助,以应对全球医疗人员和其他资源的短缺。
每次与这些第三方的互动都会引入潜在的漏洞,尤其是当第三方提供商本身不遵循严格的网络安全实践时。对外部实体的依赖增加放大了通过第三方发生数据泄露的风险,56%的组织报告称在2022年经历了第三方数据泄露。尽管认识到这一重大风险,但超过一半的组织表示他们没有有效的控制措施来减轻第三方访问风险。
为未来的威胁做好准备
随着医疗组织调整其技术策略以应对2025年的趋势,IT和安全团队必须跨职能与临床医生合作,以确保部署的任何技术都能满足患者护理所需的独特临床工作流程需求。
例如,虽然复杂的密码是常见的网络安全最佳实践,但它们会减慢临床医生的速度,他们每班可能需要访问电子健康记录(EHR)系统和其他应用程序数百次。每次访问都需要身份验证,如果这涉及在移动设备上手动输入用户名和复杂密码,可能会造成障碍和挫败感。
为克服这些挑战,IT团队应寻找简化和保障访问的解决方案。无密码认证可以通过消除耗时的登录过程来帮助解决这一问题。IT团队应确保其访问管理策略能够执行基于身份的安全政策、监控设备使用并确保合规性。
利用AI和ML的工具还可以通过提供用户行为和系统使用的可见性,帮助企业做出关于工作流程改进的明智决策。这包括解决登录失败尝试、采用问题和用户效率——有助于跟踪安全风险、推动技术采用并节省IT运营成本。这最终有助于构建更高效和有效的医疗系统。
为应对增加对供应商依赖所带来的风险,医疗组织必须采用全面的供应商访问管理策略。这应包括严格的筛选和采购流程以及对新供应商的彻底安全评估。组织还可以通过尽可能考虑供应商整合、实施严格的访问控制、监控第三方活动并采用最小权限访问原则来降低风险。
通过采取战略性和协作性的方法,医疗行业可以建立一个有弹性的环境,保护患者数据、确保合规性并维持信任——从而保障患者护理和组织声誉。
(全文结束)