Proofpoint和Ponemon调查了641名负责安全策略的人员,研究网络安全威胁对医疗保健成本和患者护理的影响。
根据这份题为“医疗保健中的网络不安全:对患者安全和护理的成本和影响”的报告,89%的研究机构在过去12个月经历过网络攻击。这类组织的平均攻击次数为43次。据受访者估计,在过去12个月里网络攻击花费在1万美元以下到2500万美元以上。
Proofpoint表示,根据受访者的反馈,最昂贵的网络攻击的平均总成本为440万美元。这包括所有直接现金支出、直接人工支出、间接人工成本、间接管理成本和失去的商业机会。网络攻击造成的最严重的经济后果是生产力损失,平均损失为110万美元。然而,尽管网络攻击与患者安全之间存在关联,但网络攻击后最少的成本是确保对患者护理的影响得到纠正所需的时间(664,350美元)。”
该报告分析了四种类型的网络攻击及其对医疗保健组织、患者安全和患者护理服务的影响。这些违规行为包括云入侵、勒索软件、供应链攻击和商业电子邮件攻击 (BEC)。
研究发现,75%的受访者表示,他们的组织很容易受到云攻击。在过去两年中,54%的受访者表示,他们的组织至少经历过一次云攻击。在过去两年中,这个群体中的组织平均经历了22次这样的网络安全事件。
72%的受访者认为他们的组织容易受到勒索软件攻击。当被问及他们的组织最担心什么网络安全威胁时,60%的受访者认为勒索软件是头号问题。在过去两年里,有41%的受访者表示,遭受过勒索软件攻击的组织平均遭受过三次此类攻击。
71% 的受访者表示他们的组织容易受到供应链攻击。50% 的受访者表示,他们的组织在过去两年中至少经历过一次针对供应链的攻击。此外,在过去的两年里,这些组织平均遭受了四次供应链攻击。
研究发现,BEC攻击包括几种模仿策略,如欺骗、网络钓鱼和社交工程。64%的受访者表示,他们的组织很容易受到BEC事件的影响。51%的受访者表示,他们在过去两年中至少经历过一次BEC事件。在过去两年里,这类组织平均遭受3.5次BEC攻击。”
该研究还披露,50%的受访者表示,他们的组织的供应链受到了攻击。70%的受访者表示,它扰乱了病人的护理。其后果包括延误的程序和测试,增加了疾病的严重程度(54%),而另一个后果是更长时间的住院(51%)。
67%的受访者表示,BEC攻击和/或针对他们机构的勒索软件攻击扰乱了患者护理。21%的受访者认为是BEC事件,24%的受访者认为勒索软件增加了死亡率。”
它还暴露出勒索软件攻击比其他攻击更有可能损害患者安全和医疗服务。在经历过勒索软件攻击的组织中,64%的受访者表示,它导致了程序和检测的延迟,导致结果不佳。59%的受访者表示,导致住院时间延长资源紧张。
Proofpoint还指出,67%的受访者表示,云、移动、大数据和物联网等技术增加了患者信息和安全的风险。
研究还发现,不安全的医疗设备和移动应用程序被认为是医疗领域最受关注的网络安全问题之一。平均而言,企业拥有超过26,000个网络连接设备。64%的受访者表示他们担心这些医疗设备的安全性,59%的受访者表示他们担心不安全的移动应用程序。
Proofpoint表示,企业在云中使用多种方法来实现用户访问和身份管理。60%的受访者表示,他们的组织使用各种各样的解决方案。其中包括针对云和本地环境的独立身份管理接口,针对云和本地环境的统一身份管理接口,以及单点登录部署。
Proofpoint 数据显示,缺乏准备会使医疗机构和患者面临风险。“虽然不安全的医疗设备被认为是最大的网络安全威胁,但只有大约一半 (51%) 的受访者表示,他们的组织将预防和应对对这些设备的攻击作为其网络安全战略的一部分。”
调查发现,不到一半的受访者表示他们已经记录了预防和应对 BEC 攻击 (48%) 和/或对供应链的攻击 (44% 的受访者) 的步骤。相反,大多数组织专注于预防和应对云入侵(63% 的受访者)和/或勒索软件(62% 的受访者)的步骤。
该研究还确定,缺乏内部专业知识、人员配备以及与其他职能部门的协作对有效的网络安全态势构成了挑战。53%的受访者表示,他们的机构缺乏内部专业知识,46%的人表示,人手不足是一个挑战。此外,孤立工作以及缺乏与其他职能部门的协作也会影响其组织网络安全战略的有效性。
Proofpoint还表示,在医疗保健组织中,拥有一支高效的工作队伍,同时有效地保护高度敏感和机密的患者信息是至关重要的。生产力损失也是应对网络攻击的高成本(110万美元)。
该研究确定,培训和意识计划以及监控员工是降低内部风险的最重要的两个步骤,因为疏忽大意的员工会对医疗保健组织构成重大风险。
59%的受访者表示,他们的组织正在采取措施,解决员工对网络安全威胁缺乏意识的风险,尤其是BEC。在这些受访者中,63%的受访者表示,他们定期进行培训和提高员工意识的项目。
Proofpoint 表示,典型的医疗保健组织没有在网络安全方面投入足够的资源。传统上,大部分资金已分配给与患者护理直接相关的领域,严重限制了 IT 和安全团队保护其组织的能力。新的研究反映了这一挑战,表明 53% 的组织由于缺乏内部专业知识而难以保持良好的安全态势,而 46% 的组织由于人员配备不足。
“如果没有在网络安全方面的共同努力,医疗保健组织在防范网络威胁方面将继续落后。糟糕的网络安全可能会对患者产生严重、切实和毁灭性的影响。”
