随着网络攻击以惊人的速度激增,医疗保健组织正在争先恐后地实施有效措施来预防这些威胁。根据美国卫生与公众服务部的数据,在过去的四年中,医疗保健数据泄露事件增加了239%,勒索软件攻击增加了278%。IBM 2023年数据泄露成本研究显示,仅在2023年,就有超过8800万人受到安全漏洞的影响,突显了加强网络安全措施的紧迫性。
尽管存在明显的威胁,医疗保健行业在实施有效的网络安全实践方面仍面临困难。无论是2011年的Tricare数据泄露事件,2022年的Shields Healthcare事件,还是最近的United Healthcare事件,这些高调的攻击都导致了严重的中断、财务赤字和患者信任的丧失,因为他们的个人信息被访问。医疗保健是日常生活的重要组成部分,那么为什么组织在采用更好的解决方案方面进展缓慢呢?
答案可能看似简单,但实际上非常复杂。医疗保健是一个高度监管的行业,运营利润率较低。根据IBM 2023年数据泄露成本研究,单次数据泄露的成本接近1100万美元。因此,组织采取了一种系统的方法来实施安全框架,通过设立专门的首席信息安全官(CISO)、内部团队和咨询合作伙伴作为基础层。从那里开始,基本的网络安全实践如警惕的补丁管理、减轻软件供应链风险、部署防病毒解决方案和持续的员工培训被纳入框架。
医疗保健企业安全的关键步骤
即使有专门的安全团队和框架,医疗保健组织仍面临严格的法规合规指南、患者数据的敏感性、复杂的互依生态系统、云和AI技术的采用等挑战。组织可以采取五个关键步骤来降低网络攻击的风险。
1. 加强云安全
随着越来越多的数据存储在外部,医疗保健IT团队必须遵循法规要求,创建一个安全控制框架,明确数据如何传输到云端、加密格式以及谁有权访问。虽然云服务提供商可能提供保护数据的安全措施,但进一步集成控制措施是必不可少的。这可以通过在DevSecOps中自动化安全或在多云场景中进行控制来实现,以防故障或攻击。数据中心位置的物理安全同样重要,HCA Healthcare在2023年的一次外部存储位置盗窃事件中泄露了超过1100万条记录,其中包括患者联系信息和即将预约的日期。
组织必须优先制定全面的数据保留策略和应急计划。对云部署和公开暴露应用程序的架构进行全面的安全审查至关重要。针对勒索软件攻击的弹性云解决方案可以迅速应对并恢复正常运营,从而保护运营和患者利益。
2. 消除未打补丁设备的风险
医疗保健系统包括从笔记本电脑到MRI再到患者监护仪的多种设备。IT团队负责保护这些终端以及电子病历和保险支付系统的各种软件程序。这相当于成千上万,甚至数百万个潜在的攻击入口点。更新旧系统和识别未打补丁的老化漏洞必须是首要步骤。团队可以创建一个闭环治理项目,按风险级别优先处理这些问题。
当安全实践和项目未更新时,会导致灾难性的勒索软件攻击,例如2024年初Change Healthcare遭遇的攻击。据国会证词,该攻击泄露了数千条患者记录,原因是特定服务器上缺乏多因素认证(MFA),这是一个本可以检测到的漏洞。
3. 防止恶意内部威胁
实施基于零信任原则的增强安全操作,如分割、身份和行为,可以防止来自内部网络的威胁。它还可以主动阻止已经突破初始防御边缘的威胁。这些威胁也可能来自第三方供应商。卫生与公众服务部健康部门网络安全协调中心已提醒组织注意文件传输程序MOVEit中的漏洞。2023年,俄罗斯网络攻击者针对该平台,导致数百万条记录泄露。CISO必须确保每个供应商通过了HIPAA审计并获得HITRUST认证,然后才能实施任何服务。
4. 确保法规合规性
医疗保健组织必须遵守多项关于患者数据的法规和合规要点。每个国家都有不同的法规,跟上所有这些法规是一项挑战。此外,随着新设备、软件或数字化转型项目的出现,这些将引入新的风险。与医疗保健咨询合作伙伴合作,监控风险和法规变化,可以帮助保持安全框架的紧密性。
例如,Kaiser Permanente在2024年4月宣布了一起影响超过1300万美国人的数据泄露事件。虽然不被视为典型的泄露,但由于网站使用和导航跟踪代码错误,患者数据被共享给第三方广告商。咨询合作伙伴可以帮助CISO更好地监控和审计IT系统,发现这些问题。
5. 采用新技术
生成式AI是最新的技术,每个组织都在急于将其纳入其技术堆栈。以前,公司在采用新技术时会花费更多时间,但生成式AI的流行推动了更快的实施,而没有充分考虑所有方面。
在医疗保健中,AI的使用既是一种风险也是一种好处。积极的一面是,它可以增强网络安全框架,主动监控和标记问题。重复任务可以自动化,使CISO和安全团队有更多时间处理其他任务,以加强网络安全框架。然而,必须指出的是,AI也给组织带来了风险。黑客利用AI改进网络钓鱼骗局,生成更复杂的攻击并制造深度伪造威胁。选择那些监控质量和信任并专门为医疗保健行业构建的生成式AI解决方案是最佳选择。
此外,如果员工使用未经安全团队批准的AI工具,将使组织面临更大的风险。这种影子IT问题通常伴随着员工对IT治理控制的不良遵守,增加了CISO和团队难以识别的另一个威胁表面。CISO必须在所有员工中培养一种安全文化。那些投资于综合安全培训平台的组织正在看到显著的价值,因为员工成为第一道防线。
一家组织如何防止威胁
在一个领先的肿瘤治疗技术提供商的案例中,该公司通过实施这些关键步骤的网络安全框架成功抵御了攻击。该组织要求各个放射诊所使用其专有系统。而不是派人员到每个地点,提供商利用基于云的解决方案在整个软件生命周期中保护漏洞。利用威胁建模和之前的网络安全风险评估的见解,团队了解了需要在哪里建立更强大的安全基础设施。
提供商与合作伙伴合作,设计和构建了一个集中的治疗计划解决方案,其中包含一个强大的安全测试框架,包括静态测试和第三方库的评估。数据分析确定了如何分配严重威胁级别和漏洞缓解路径。结果,该肿瘤技术提供商缓解了超过100个安全漏洞,扫描了150万行代码,并检测和击退了超过250个网络安全威胁。由五个关键要素组成的网络安全框架的成功实施确保了这一基础设施的安全。
联网世界的安全性
技术已经改变了医疗保健。纸质记录和笔记的时代已经过去。一切都在网上,自动化,不幸的是,也容易受到安全风险的影响。当医疗保健CISO、团队和咨询合作伙伴共同努力时,可以建立一个更紧密的安全框架,降低整体网络安全风险。通过采取这些关键步骤,医疗保健组织可以最小化攻击面。结果:一个医疗保健组织可以在不出现故障或停机的情况下及时为患者提供正确的治疗。
(全文结束)
