【患者安全】疫情下医疗保健与网络安全
HEALTHCARE AND CYBERSECURITY IN A PANDEMIC WORLD
编译自:Matt Phillion, Patient Safety & Quality Healthcare(PSQH) March 2, 2021图片来自网络
据美国联邦调查局(FBI)统计,自2020年3月以来,人们对网络攻击的投诉增加了400%。
医疗机构是网络攻击的主要目标。对于黑客来说,患者信息具有极高的价值,并且他们熟知网络攻击患者数据是很容易得手的。尽管医疗机构已将注意力转向COVID-19大流行,但相关数据显示,网络攻击并未减弱:据FBI统计,自2020年3月以来,网络攻击投诉已增加了400%。
随着远程医疗的兴起,越来越多的医护人员也加入到远程医疗工作之中,医疗服务方式的变化为网络攻击开辟了许多新的渠道。但是,该行业面临的许多挑战与疫情之前即存在的问题有关。老旧的系统,过时的政策以及不受保护的物联网(IoT)设备是医疗保健机构在疫情隔离前就应该解决的问题,而这些问题对于今日的许多机构来说,仍就存在。同时,黑客们越来越善于诱导工作人员和病人交出私人信息,这使得网络安全变得更具挑战性。
Ventiv Technology公司医疗保健业务高级主管海瑟.安诺利诺(Heather Annolino)一直在探索医疗保健机构如何采用更好的技术、政策、做法和流程来保护患者信息并抵御网络威胁。
"与其他行业相比,卫生系统在专注网络安全建设方面进展较慢,"Annolino说,"但是,通常情况下,他们没有把网络威胁放在‘优先考虑风险范围之内。"
在此次新冠大流行之前,数据泄露和其他网络威胁对医疗界造成了沉重的打击。但COVID-19的出现在带来了新的挑战的同时,也加速了现有的挑战。世界卫生组织在2020年4月份就发现,针对医疗的网络攻击增加了5倍。
我们的首要问题是:医院和其他组织针对网络安全的对策是什么?
【与其他威胁一样,网络威胁是一种灾难】
医院一直在为应对灾难做准备--无论是自然灾害、超负荷的急诊科,还是大规模流行病的应对。
"医疗机构必须意识到网络攻击是这些潜在的灾难之一,"Annolino说,"他们应该进行演习,提前做好应对的准备,就像他们处理其他灾难一样。"
在大流行期间,出于需要,有一定远程操作能力的工作人员被迫进行远程工作,这使得网络威胁的风险变得更加普遍,也为这些风险提供了更多机会。
"随着数字化应用的增加,我们不得不思考:随着越来越多的员工加入远程工作模式,机构是否做好准备,以处理随之而来的网络风险?"Annolino说 ,"他们是否制定了应对这些新威胁的危机计划?"
与任何其他灾难准备项目一样,医疗保健机构应该积极寻找方法来弥补过程缺口、识别安全漏洞。Annolino最近与一个小组合作,该小组将四个州的设施负责人聚集在一起,就他们如何利用现有的预算和资源,采取安全漏洞预防措施进行了讨论。
预防是网络风险防范的重要组成部分,不仅在技术或数字解决方案方面,还是在找出可能的人为过失方面——这与其他的风险分析类似。
"其中一个挑战是教育差距,在人员流动的大系统中,你要不断地对员工进行网络安全再教育,"Annolino说,"但不幸的是,也存在着过失。这不仅会影响患者的安全,也会影响网络安全。"
忙碌、分心的工作人员是网络钓鱼攻击等安全风险的主要目标。钓鱼邮件和信息旨在通过巧妙、诡谲的语言,诱导用户提供用户名和密码等信息。由于忙碌的工作性质,即使是那些受过相应训练(识别网络钓鱼攻击迹象)的工作人员人,最终也容易上当受骗。
"确保员工能够快速识别网络钓鱼风险是至关重要的。但在医疗保健系统快节奏运转的环境中,这可能存在一定的难度,"Annolino说,"这就要求机构对工作人员进行持续的培训,让他们学会如何防止预防网络安全攻击。由于护士并不是安全行业中的一员,因此,为他们提供黑客使用的最新方法等相关资讯,将减少网络风险的发生几率。"
在患者安全和网络安全之间,以及在我们如何处理这两者关系之间存在着惊人的重叠。"正如我们所知,患者安全相关故事很重要;这是我们从错误中学习的一种方式,”Annolino说,"我认为网络安全漏洞也是这样的。" 这些故事有助于描绘一幅更大的图景:企业级风险管理观点——许多医院目前可能还没有采纳。
【保护患者数据就是保护患者安全】
这些故事可以并且应该用来帮助大家理解网络安全不仅仅是一个技术问题--它也是患者安全的一部分。
"你从事的是照顾患者的工作。这是一个患者安全问题,"Annolino说,"你要保护他们的数据。"
任何与患者数据打交道的人都是其守护者之一,工作人员应该意识到医院和患者数据的重要性。
个人健康信息对黑客来说是非常有价值的,他们可以通过各种各样的卑劣方式使用这些数据。黑客们不仅可以通过勒索软件的攻击获取患者信息,还可以通过持有的这些患者信息进行勒索,从而增加患者失误的风险。
有时侯,这听起来就像科幻小说和电视节目中的情节——黑客试图攻击世界领导人的心脏起搏器。但如果是我们能想象到的问题,黑客们也在思考。而随着越来越多的技术与网络相连,网络攻击的载体也在不断增加。这不仅仅是关于窃取医疗设备控制权的恐怖故事。事实是,只要医生使用手机接触患者信息,便会带来额外的风险。
物联网和无线设备带来了一系列额外的担忧。以一台被盗或丢失的笔记本电脑为例:机构能否远程锁定或抹去设备里的数据?
"技术只会变得更加复杂。我们需要找出保护敏感数据的方法,并将其用于识别是否有黑客等不良行为者在中心系统之外徘徊。而这些需要日常的扫描、监控、测试,并确保这些安全措施是有效的,”Annolino说,"机构应该检测他们的业务连续性。这不仅可能造成数据的丢失,也可能造成与生命相关的损失。"
在过去十年中,医院和卫生系统的合并催生了一个有趣的副作用-潜在的网络攻击面的增加。并将各组织试图统一管理的不同系统连接了起来。
“这种急剧的扩张,同时也扩大了脆弱性,”Annolino说,"机构需要问的关键问题包括,'我们的系统如何相互交流?系统之间存在着哪些差距?"" 而对于员工来说,接受教育,了解不当使用技术所带来的风险,将更为关键。
另一个挑战。许多医院仍在使用旧系统。"至少他们在做程序补丁,以确保他们尽可能地使用最新版本,”Annolino说,"但这些都不是简单的、经济的解决方案。我们确实需要更多地考虑预算,以确保我们有正确的防病毒方案以及有效的反恶意攻击软件,并且我们还需要定期备份,并思考在解决问题期间我们能做些什么。"
仅仅做到数据备份也是不够的,因为使用勒索软件的黑客反而会发出威胁——如果不支付赎金就会将数据发布到互联网上,暴露被盗数据。"即使医院在安全方面努力变得精明,但黑客在该方面还是领先一步。"Annolino说。
回顾疫情期间远程医疗的扩展方式,现在便是重新评估如何保护这一扩展过程的绝佳时机了。在疫情期间,我们需要快速修复系统以满足患者和医生之间的相互交谈,但现在尘埃落定,是时候确保一切到位,以保护虚拟访问中的患者信息了。
“远程医疗不会消失,”Annolino说,"这是一项了不起的技术,它有助于增加老年人等患者的就诊机会。由于这场新冠危机,它被匆匆推进,但现在我们需要确保它一切正常。"
【走在不良行为者之前的小技巧】
在进行网络风险的评估时,首先要做的就是访问。谁能接触或看到那些数据?"即使 在使用VPN或其他一些保护访问点方法的前提下,我们还应该基于工作职责或工作描述设置访问权限,这是至关重要的,"Annolino说。限制访问权限就可以减少信息丢失或被盗的可能性。
以与其他风险管理问题类似的方式来考虑网络风险,对于发现威胁和培训员工培训可能有较大的帮助。通过对网络钓鱼风险事件进行突击培训,以帮助员工更好地了解可能针对他们的攻击类型,无论是作为个人还是作为更大组织的一部分。"这不是故意的,但我们的视野会变得狭窄(管状视野效应),"Annolino说。通过使网络安全最佳实践成为员工第二天性,可以帮助消除所有组织面临的一些人为错误的风险。
医院中优秀的网络安全不仅仅在于雇佣一个CIO(首席资讯官)或CISO(首席信息安全官)。”为这些人提供他们所需的资源,"Annolino说。这不仅适用于大型组织,如医疗保健系统或大学医院。偏远地区定点医院、紧急救护诊所、独立诊所--所有机构都可能成为攻击目标。而现在,随着新冠疫苗的推出,以及药店和其他更小的医疗型场所以新的方式处理患者数据,更多的载体正在出现。
"先看看你的周围,"Annolino说。医院正在实现这一点,但随着医生群体、非住院机构和其他机构成为更大系统的一部分,它们也成为了更大的网络安全领域的一部分。
最后,考虑让网络安全成为你事件报告和管理系统的一部分。"确保对网络事件的追踪,"Annolino说,"而不仅仅是网络安全团队所看到的东西。你是如何跟踪你的网络事件的?它不仅仅与钱或者HIPAA合规性相关,也是一个患者安全问题。你需要追踪所有事件。"
Annolino说,要像对待病人过失一样对待网络事件。当患者数据被窃取时,对患者的影响是真实的,而且会影响他们的护理和治疗。"真正了解事件本身对相关人员有着很大的影响。"
她指出:"有如此多关于改善网络安全的信息。医疗保健系统需要向这些专家寻求帮助,以满足人们日益增长的对于安全保护和认识方面的需求。"
【原文】
https://www.healthleadersmedia.com/technology/healthcare-and-cybersecurity-pandemic-world
人点赞
人收藏
打赏
010-82736610
股票代码: 872612
京公网安备 11010802020745号
