为什么医疗支付方对整个医疗保健生态环境的 API 安全至关重要
目前正值 Akamai 庆祝 《互联网现状》(SOTI) 报告面世十周年之际,我们将分享一些来自我们所服务的重要行业(包括医疗保健和生命科学)的相关见解。这是 SOTI 系列中的第一篇博文,并将在今年晚些时候整理成一份全面的报告。
凭借对临床数据和财务数据的强大访问能力,医疗支付方成为整个医疗保健生态环境中进行数据共享的纽带,并且他们日益依赖应用程序编程接口 (API) 来实现数据共享。API 使得在服务提供商、医疗支付方、患者和其他第三方(例如电子健康记录系统、医疗设备公司和健康信息交换机构)之间共享数据成为可能。
推动实现互操作性可以改善患者的治疗效果并提升财务业绩,但也需要做出取舍——特别是重要的合规性要求和安全考虑因素。网络犯罪分子和数据聚合商会对这些能力进行攻击和滥用,从而可能导致安全和隐私问题。
对于医疗支付方来说,通过 API 实施的攻击也可能会导致服务中断,从而影响健康保险年度投保和理赔操作,导致成本高昂的停机并损害公司品牌。
在本博文中,我们将分析与 API 攻击相关的威胁数据和趋势,以了解相关风险的程度并提供抵御风险的最佳做法。
深入研究 API 攻击
Akamai 研究发现,从 2023 年 1 月到 12 月,以医疗保健生态系统(医疗支付方、服务提供商以及制药和生命科学公司)为目标的 API 攻击中几乎半数都针对的是医疗支付方。这表明,与该行业中数字中心化程度较低的其他垂直子行业相比,医疗支付方面临更加集中的攻击者滥用 API 风险。
我们在其他受监管的行业中也看到了类似的趋势,尤其是那些掌握着支付系统的行业。例如,金融行业在进一步深化其数字化转型,并且已在其业务模式中使用集成度更高的 API。开放银行业务正在推动 API 的使用并带来了更多安全风险。因此,金融行业正面临着更加集中的以 API 为重点目标的攻击。(如需详细了解攻击趋势,请阅读 Akamai 新一期的《互联网现状》(SOTI) 报告“ 潜伏在阴影之中:攻击趋势揭示了 API 威胁”。)
在仔细研究去年医疗支付方 API 攻击数据后,Akamai 研究人员发现的攻击活动数量出现多次波动,尤其是每季度都会出现波动。这可能反映了各系统会在季度末进行数据同步,以对预测数据和实际数据进行对帐的实际情况。
不过,Akamai 研究人员在 2023 年第四季度之初观察到活动数量激增以及在此期间活动数量整体增加,这很可能是因为攻击者针对健康保险年度投保期发动攻击以扰乱相关操作所致(图)。
监管环境越来越需要 API
一方面承诺通过数据交换来改善财务业绩和临床结果,另一方面需要遵守强制进行所述交换的监管要求,它们是齐头并进的。重要的是了解这两个方面并针对它们进行优化。
价值医疗 (VBC) 是一种奖励健康成果而不是预约量的纵向方法。向此方法的转变是一个典型示例,说明了现在需要共享的信息的数量和种类。长期以来,医疗支付方一直拥有对患者和服务提供商财务数据的访问权限。但是,更多的 VBC 数据点(例如,服药依从性和入院人数)需要一个不仅更具 创新性 而且更具互操作性的连续体,而且还需要一种共享这些数据的方法。API 是数据管道。
目前,没有任何专门针对 API 使用或安全问题的法规,但很多现行法规中都包含了针对 API 的要求,例如通用数据保护条例 (GDPR)、欧盟的《修订支付服务指令》( PSD2) 以及《支付卡行业数据安全标准》(PCI DSS)。
针对 API 的要求也在快速发生着变化。值得注意的是,2024 年 3 月的 PCI DSS 4.0 版包含了关于在系统和软件的开发及维护中使用 API 的新标准,以降低违规风险。
并且, 新的 CMS 互操作性和事先授权规则 要求医疗支付方维护三种主要类别的 API。
患者访问 API:这将增加相关成员对他们自己的医疗数据的访问,并且有可能改善成员满意度
服务提供商目录 API:这允许相关成员根据自己所在的位置和医疗专业来搜索医疗保健服务提供商,从而提高医疗服务可及性
医疗支付方-服务提供商 API 和医疗支付方-医疗支付方 API:这些 API 可帮助填补和减少患者护理缺口,并且有可能减少重复和昂贵的服务
更重要的目的是减少昂贵的管理负担——尤其是事先授权的手动处理,这可能意味着患者不得不在某些医疗程序实施前等待其医疗支付方批准这些程序。延迟可能会产生不利(并且往往代价高昂)的医疗影响。
美国医疗行业每年因管理复杂性(包括事先授权流程)而支出的费用为 2656 亿美元。”
更高的性能可能会带来更大的风险
随着患者期望在其所有应用程序中获得相同级别的用户体验,因此性能正在成为一个更严重的问题。这意味着需要保护医疗保健生态系统 免受拒绝服务攻击 以及滥用攻击。
虽然医疗支付方大量使用 API 带来了巨大的好处,但也带来了风险。 API 蔓延 会导致缺乏监测能力,随着攻击面扩大,这种监测能力会减弱。API 往往是复杂数字化转型项目的组成部分,因此它们可能不会受到医疗保健企业的关注,而安全计划受到的关注甚至更少。(但是,仍然有一些不错的参考标准,例如 OWASP 十大 API 安全风险)。
对于医疗支付方来说,导致这些挑战变得更加复杂的是,日常业务活动中涉及的各类医疗和财务数据既受到严格监管,又容易成为网络犯罪分子的目标。
利用监测能力来保护生态系统
API 安全性 比以往更加重要,这是我们从风险管理和合规角度得出的结论。但是,由于 API 蔓延,医疗保健 API 的识别、分类和保护变得越来越复杂。
四个策略里程碑
采用强有力的 API 安全计划可帮助您增强 对所有 API 的监测能力 并了解您面临的风险,让您可以加强相关保护措施。以下是四个策略里程碑,可帮助您制定强有力的 API 安全计划。
现在是时候采取行动了
转型永远不会停止,但现在是时候采取措施来控制 API 了。具备恢复能力的医疗保健企业必须能够提供态势感知、促进调查并执行快速响应。
了解更多
了解更多Akamai 合作伙伴以及医疗保健和生命科学企业如何完善其安全计划。