医疗保健机构在应对日益频繁和严重的网络攻击方面行动迟缓。网络攻击对患者安全和医护服务的影响严重,已成为2022年首要健康技术危害。
Proofpoint最近委托波耐蒙研究所(Ponemon Institute)研究网络安全威胁对医疗成本和患者护理的影响。在641名参与的医疗保健IT和安全从业人员中,89%报告在过去12个月内平均发生43次攻击。对于网络攻击的数量或许相对普遍,但对于患者安全的调查结果令人震惊。
报告显示了攻击对患者安全的破坏和影响。在经历过云入侵、勒索软件、供应链或商业电子邮件入侵 (BEC) /欺骗性网络钓鱼攻击的组织中,超过20%的组织的患者死亡率有所上升。其他后果包括检查或程序延误导致不良结果(57%的受访组织)和医疗程序并发症增加(近50%)。
勒索软件仍然是一个重大挑战。Ponemon研究发现,与其他类型的网络攻击相比,勒索软件攻击更有可能影响患者的护理。被勒索软件攻击的组织中,有64%的组织经历了程序和测试延迟,几乎同样多的组织的患者住院时间更长。
这些发现说明了医疗保健组织优先考虑网络安全的重要性。虽然这个问题很复杂,但什么都不做不是一个明智的选择。
云的加持也带来了更大的漏洞
云服务为医疗服务带来了变革。数字技术能够改善患者体验,同时提高提供者的效率。但云计算也为医疗保健带来了网络攻击。在过去两年里,接受调查的组织平均经历了22次妥协。75%的受访者认为他们的组织容易受到基于云的攻击。
随着在云中存储更多敏感的数据,医疗保健组织认识到安全性和隐私都面临风险。在受访者中,67%的人认为云、移动、大数据和物联网(IoT)增加了网络安全风险。59%的人认为云账户接管存在重大风险,可能导致欺诈或窃取敏感的患者数据。
医疗设备的激增和多样化加剧了云问题。平均每家医疗机构都要处理26,000台联网设备,64%的机构担心设备安全问题。尽管如此,只有大约一半的公司在其安全策略中包含设备攻击预防和响应。
准备不足是一个普遍的问题
不安全的设备并不是唯一缺乏准备的领域。虽然医疗保健提供商相对而言已经做好了防范和应对云入侵(63%)和勒索病毒(62%)的准备,但只有不到一半的提供商有文档化的应对BEC、欺骗式网络钓鱼和供应链攻击的策略。
供应商还没有准备好应对人为因素。网络安全意识计划是缓解威胁(如 BEC、网络钓鱼、员工疏忽和其他人的风险)的一种行之有效的策略,但只有59%的受访者表示他们的组织会采取措施提高意识。在接受培训的企业中,超过三分之一的企业没有进行常规培训。
缺乏基本准备使患者面临额外风险。虽然网络安全是一个棘手的问题,但员工意识和培训计划并不复杂。它可以在帮助供应商抵御以人为中心的威胁方面发挥重大作用。
优先考虑网络安全
典型的医疗保健组织不会在网络安全方面投入足够的资源。传统上,大部分资金被分配给与患者护理直接相关的领域。这种做法限制了IT和安全团队有效保护其组织的能力。新的研究反映了这一挑战,显示53%的组织因为内部专业知识的缺乏而难以保持良好的安全态势,46%是因为人员不足。
如果不齐心协力投资于网络安全,医疗保健机构在防范网络威胁方面将继续落后。
