根据美国卫生与公众服务部(HHS)的数据,过去14年间,医疗保健行业的网络攻击一直在稳步增加。2023年,该行业暴露了超过1.33亿条记录,数据来自hipaajournal.com。
为何重要
医疗保健行业的数据泄露不仅涉及隐私问题,还可能导致身份盗窃、欺诈和记录篡改。网络攻击还可能引发勒索要求,减缓医院运作,甚至延误治疗。
根据IBM和Ponemon研究所的报告,医疗保健行业的数据泄露成本高于其他行业,2024年的平均成本接近1000万美元。
需要了解的信息
路易斯安那州立大学教授Elias Bou-Harb在接受《新闻周刊》采访时指出,数据泄露对患者和医疗服务提供者都具有“毁灭性”的影响。被泄露的医疗记录可能导致身份盗窃、虚假账单和医疗操纵——即篡改记录导致误诊或错误治疗。对于医疗服务提供者来说,网络攻击可能会关闭医院,延误救命治疗,并迫使工作人员恢复使用纸质记录,显著减慢操作速度。
2023年,医疗保健行业的数据泄露数量和泄露记录数(1.33亿条)均创历史新高。随着时间的推移,医疗保健数据泄露的成本也在增加。根据IBM和Ponemon研究所2020年的《数据泄露成本》报告,美国医疗保健行业的数据泄露平均成本为713万美元;到2024年,这一数字已增至936万美元。
2020年的研究还发现,80%的数据泄露事件涉及包含个人可识别信息的记录。2024年的报告指出,人工智能(AI)使得不良行为者更容易大规模创建和发起攻击。然而,AI的出现也带来了积极影响,它为组织提供了“快速识别威胁并自动化响应的新工具”。
此外,人为错误是导致数据泄露的主要原因之一。根据网络安全网站KnowBe4的一份报告,2024年75%的数据泄露是由人为错误引起的。鉴于这一日益严重的问题,KnowBe4呼吁更多组织购买网络安全保险以减轻数据泄露的风险。
美国卫生与公众服务部(HHS)和健康部门协调委员会(一个与联邦机构合作制定医疗保健网络安全政策的顾问小组)制定了网络安全绩效目标,并编制了大量资源,帮助组织实现这些目标。2023年,美国证券交易委员会(SEC)推出了新规定,要求组织在72小时内向SEC报告数据泄露事件。
健康部门协调委员会还制定了为期五年的网络安全计划,旨在减少医疗保健行业的数据泄露风险。该计划建议如何根据行业面临的挑战,准备应对广泛的安全原则和具体行动。
去年9月,参议院财政委员会主席Ron Wyden和参议员Mark Warner宣布了《健康基础设施安全与问责法案》,以改善医疗保健系统的网络安全。该法案要求HHS制定并执行医疗保健提供者的最低网络安全标准,并为医院提供资金以改进其网络安全,特别是资源匮乏的农村和城市地区医院。
专家观点
Bou-Harb表示:“医疗保健数据的价值非常高,医疗记录包含个人、财务和医疗信息,在暗网上,它们的价值是信用卡信息的10到50倍。此外,物联网(IoT)医疗设备的迅速采用扩大了攻击面,通常缺乏适当的安全控制。再加上医疗保健行业持续短缺网络安全专业人员,这使医院和医疗机构特别容易受到攻击。”
谈到如何进一步减少数据泄露,Bou-Harb说:“实施零信任安全模型,即默认不信任任何用户或设备,可以显著减少攻击途径。网络分割也很关键,它可以防止攻击者横向移动到关键系统。利用AI驱动的威胁检测可以帮助医疗保健组织实时识别异常情况,在攻击升级前加以阻止。然而,仅靠技术是不够的——90%以上的网络事件始于网络钓鱼,因此持续的员工培训至关重要。政策制定者也必须加强执法,制定更强的网络安全法规,并激励整个行业的安全投资。”
展望未来
Bou-Harb补充道,随着AI驱动的网络攻击和数据泄露成本的不断增加,必须立即采取措施,“否则情况将进一步失控”。
(全文结束)
