帮助医疗保健行业赢下网络安全这场攻坚战
任何商业人士可能都熟悉这句话:“一边造飞机一边开飞机”。经历了过去 19 个月的疯狂之后,我们许多人都对这句话感同身受,并在一夜之间成为了新趋势的先行者和践行者。
在这其中,感受最深的莫过于医疗保健行业。他们不仅仅是一边造飞机一边开飞机,而且还改变了飞行模式,使用不同的机场,并在空中培训新员工。换而言之,他们想方设法地部署远程员工队伍、应对虚拟护理的爆炸性扩张、完成疫苗开发,与此同时,还有众多的医护人员在甘冒风险地日夜加班,为成千上万的病重患者提供精心护理。
让我们暂停片刻,共同为医疗保健行业蓬勃发展的创新格局而喝彩。该行业经历了多年的监管障碍、技术债务和公众对行业的怀疑,如今终于实现了数字化体验,确保为数十亿人持续提供医疗护理服务。
但是,凡事都有另一面。在医疗保健实体实现所有这些成就的背后,是数量日益增加、类型层出不穷的网络攻击。没错,在抗击疫情的同时,医疗保健行业还在另一条战线上奋斗,同时也造就出了另一批英雄人物。
在他们的行列中,就有佛罗里达大学医学健康集团的员工们。去年 6 月,该集团的一部分网络遭遇了 网络安全事件 ,使得他们的员工必须联系各个药房来弥补丢失的药物信息。他们匆忙迎敌,迫切需要找到利用外部医生进行医疗护理的新途径。Ed Jimenez 是其中一家受影响医院的 CEO,他鼓励自己的员工与医院一起共同战胜危机。“面对挑战,我们专门指派的员工挺身而出,努力恢复正常运营,经常需要牺牲与亲朋共聚的时间来加班工作,他们是我们真正的英雄。”
在疫情肆虐之下,恶意软件攻击愈演愈烈
根据美国卫生与公共服务部 (HHS) 的一份 报告 和 IBM 的研究,自疫情爆发以来,医疗保健行业遭受的网络攻击次数增加了 50%,并遭受了巨大损失,平均每次事件中遭受的损失达到了 713 万美元。IBM 的数据显示,勒索软件攻击成为了最常见的威胁(恶意攻击者抓住了医院和医疗系统需要迅速恢复运营的软肋),紧随其后的则是数据窃取和服务器访问。尤其是医疗保健提供商,他们成为颇具吸引力的勒索软件攻击目标,因为 每份电子健康记录 (EHR) 在暗网上的售价高达 1,000 美元。与其相比,信用卡信息的售价约为 110 美元,而一个社会保险号码的售价仅为 1 美元。
网络安全及基础架构安全机构 (CISA) 新冠疫情工作组主管 Josh Corman 表示,“在疫情爆发之前,医院的系统本就已经非常脆弱了。随着疫情爆发,勒索软件攻击更是变得诡计多端、穷凶极恶,索取的赎金也越来越高”。到 2020 年秋天,这种攻击态势引发了一次罕见的 网络安全警告 。CISA、联邦调查局 (FBI) 和 HHS 联合采取行动,专门针对迫在眉睫的勒索软件攻击向医疗保健领先企业发出警告,并建议采取备份方法,将所有关键数据保存为至少两种不同格式的三个副本,其中一个副本离线保存,以远离恶意代码的威胁。
但是,对许多医疗保健企业来说,遵循这一建议在财政方面存在着困难。Stephen Lopez 拥有博士和 MBA 学位,并在 美国医学院协会 (AAMC) 担任信息安全高级总监,他认为医疗保健企业往往都会推迟网络安全方面的投资。他表示:“专门抽调资源来负责信息安全可能是一件很难的事,这似乎要以牺牲患者服务为代价。但在当前环境下,如果企业在防范勒索软件方面犹豫不决,患者服务就会面临风险”。CISA 对此看法相同,并在其 2021 年医学深入分析报告 中指出,当支持医疗服务交付的基础设施受到攻击或勒索时,运营效率会迅速下降,而在面临危机或紧急情况时更是如此。
在医疗保健企业的每个层级开展员工教育是取得胜利的一大关键。Lopez 又补充道,“如果能够针对网络钓鱼邮件增强员工的基本‘安全常识’,就能避免或化解大部分恶意软件攻击”。他建议制定一个教育计划,借以展示勒索软件攻击信息的真实例子,同时提醒员工在收到关于敏感信息的任何紧急请求时,务必要三思而后行。
安全投资决策取决于数据存储和访问
疫情还在不断夺走生命,即使在如此险恶的形势下,医疗保健领先企业仍然需要在这一另外的战线上解决问题。该从何处着手呢?概括来说,网络安全的首要任务是保护接入点免受勒索软件的攻击,同时对工作人员进行网络钓鱼检测的培训;减少 EHR 中提供的受保护健康信息 (PHI) 以及药品制造行业知识产权的暴露;确保连接技术的安全,以便与外部系统、合作伙伴和供应商(例如,与 CDC 和其他医疗保健部门)共享这些信息。
医疗保健行业的许多企业都已将其 EHR、知识产权和其他医疗数据转移到云端,以增强灵活性、可访问性并加快检索速度。但是,由于迁移到云端的速度太快,并且没有强有力的企业规划,患者健康信息和其他敏感数据通常托管在多供应商云环境中,而这些环境可能会因错误配置而受到进一步削弱。
以下列表虽然并不详尽,但也阐明了需要哪些数据来确保持续提供医疗护理服务,同时缩小医疗保健企业受威胁面的潜在规模。
电子健康记录 (EHR)——数字病历、病史、实验和测试结果以及其他记录
患者或疾病登记——此类数据库中包含诊断或症状相同的患者的临床结果
索赔数据——由医疗保健提供商提交给保险公司的计费代码数据
健康调查——由公共健康机构收集的数据,用于评估公共健康风险并发布公共健康政策及措施通知
图像存储与传输系统 (PACS)——由医学成像设备(如 CT 或 MRI 扫描)生成的数据,存档以供医生、研究人员或其他授权医务人员访问
临床试验数据——私人或公共临床研究结果的相关数据,用于医疗器械、药品和其他创新技术的开发
医疗保健行业的 CSO 们希望减轻这一领域所受到的威胁,并采纳联邦警告中概述的备份方法建议(以至少两种不同的格式保存三份副本,其中一份离线保存),同时也越来越倾向于采用混合型方法。内部数据存储让他们能够更好地控制安全性,但成本过高,也很难以所需的速度实现扩展,尤其是在受疫情刺激,健康数据呈现爆炸式增长和医疗数字化逐步转型的情况下。公有云数据存储更具成本效益,但企业需要承受停机和数据保护缺乏透明度的风险。
采用混合型方法后,就可以将敏感数据保存在本地,而将不太敏感的数据存储在云端。即使这样也称不上尽善尽美,因为必须采取安全措施来保护两种存储类型之间的数据传输,并确保只有那些获得授权传输和查看数据的人才能访问。实施 Zero Trust Network Access 架构 的七项关键要求使机构有能力保护其数据,从而只授权用户访问履行其职责所需的应用程序,同时还通过 多重身份验证 (MFA) 进一步提高了安全性。
带领医疗保健企业渡过危机
医疗保健提供商正在打造 21 世纪的数字化体验,Akamai 很荣幸能够以创新的方式助力迎接这个全新的在线医疗时代,以支持患者进行医疗保健并随时随地保障其健康状况。
详细了解 Akamai 如何助力 医疗保健行业。
