在現(xiàn)代化進(jìn)程中,醫(yī)療技術(shù)的進(jìn)步極大地改善了患者護(hù)理�����、數(shù)據(jù)管理和運(yùn)營(yíng)效率�,但也帶來了更多的風(fēng)險(xiǎn)����。對(duì)于 MemorialCare 的 IT 副總裁兼首席信息安全官 Kevin Torres 來說����,確保生物醫(yī)學(xué)設(shè)備的安全以及用戶的網(wǎng)絡(luò)安全意識(shí)是持續(xù)的優(yōu)先事項(xiàng),以確保不中斷服務(wù)�。
根據(jù)統(tǒng)計(jì)門戶網(wǎng)站 Statista 的數(shù)據(jù)顯示,到 2030 年��,全球醫(yī)療保健網(wǎng)絡(luò)安全市場(chǎng)預(yù)計(jì)將達(dá)到 584 億美元���,因?yàn)獒t(yī)療行業(yè)正面臨越來越多的攻擊���。而根據(jù) KnowBe4 發(fā)布的 2024 年國(guó)際醫(yī)療報(bào)告��,2023 年前三個(gè)季度���,全球醫(yī)療行業(yè)每周經(jīng)歷了 1613 次網(wǎng)絡(luò)攻擊����,幾乎是全球平均水平的四倍���。
對(duì) Kevin Torres 來說��,努力在現(xiàn)代化患者護(hù)理的同時(shí)平衡 MemorialCare 所面臨的重大網(wǎng)絡(luò)安全風(fēng)險(xiǎn)是一項(xiàng)巨大挑戰(zhàn)��。MemorialCare 是一家位于南加州的綜合非營(yíng)利性醫(yī)療系統(tǒng)���,擁有超過 14,000 名醫(yī)生和員工使用聯(lián)網(wǎng)設(shè)備���,其網(wǎng)絡(luò)中運(yùn)行著超過 52,000 臺(tái)聯(lián)網(wǎng)設(shè)備和儀器。他指出���,“我們工作在一個(gè)高風(fēng)險(xiǎn)環(huán)境中����。如果我們?cè)庥鼍W(wǎng)絡(luò)攻擊或勒索軟件事件��,這可能意味著我們無法接收新患者�����,因?yàn)槲覀儫o法保證我們能夠?yàn)樗麄兲峁┳o(hù)理����?!币虼?��,他的主要擔(dān)憂之一是確保企業(yè)在遭受攻擊時(shí)的恢復(fù)能力�����,以及保持無縫的患者護(hù)理服務(wù)����。
Torres 和他的團(tuán)隊(duì)特別關(guān)注的是保護(hù)其生物醫(yī)學(xué)設(shè)備環(huán)境����,包括保溫箱、心臟起搏器�、人工耳蝸植入物和除顫器。他提到:“當(dāng)我們審查這些技術(shù)時(shí)���,我們很快意識(shí)到我們無法清晰地了解所有聯(lián)網(wǎng)設(shè)備的情況。我們不知道哪些設(shè)備是聯(lián)網(wǎng)的�,也不知道是否所有設(shè)備都已正確打上補(bǔ)丁。我們?cè)谶@些生物醫(yī)學(xué)設(shè)備上的嚴(yán)格性和勤奮度遠(yuǎn)不及我們對(duì)連接到網(wǎng)絡(luò)的計(jì)算機(jī)的要求���。因此�,我們的防御中存在著非常真實(shí)的漏洞?��!?/span>
一��、環(huán)境的整體視圖
為彌補(bǔ)這一漏洞���,Torres 引入了風(fēng)險(xiǎn)管理平臺(tái) Asimily,該平臺(tái)能夠提供更高的物聯(lián)網(wǎng)設(shè)備可見性�����,使得識(shí)別醫(yī)療設(shè)備和儀器上可被利用的漏洞變得更加容易�。
Asimily 提供了對(duì) MemorialCare 生態(tài)系統(tǒng)中所有聯(lián)網(wǎng)設(shè)備的可見性——無論是溫控系統(tǒng)、生物醫(yī)學(xué)設(shè)備���、電梯���,還是電力系統(tǒng)——并根據(jù)硬件是否擁有最新的防護(hù)措施來分層風(fēng)險(xiǎn)。他提到:“我們立即發(fā)現(xiàn)���,許多連接的設(shè)備并不符合標(biāo)準(zhǔn)����。”對(duì)于不合規(guī)的設(shè)備�,他和他的團(tuán)隊(duì)投入了時(shí)間來確保它們的安全達(dá)到標(biāo)準(zhǔn)。他們還對(duì)一些較舊的解決方案進(jìn)行了改造�����,以確保這些設(shè)備不會(huì)給企業(yè)帶來更大的風(fēng)險(xiǎn)����。最后,他建立了一個(gè)團(tuán)隊(duì)���,制定了新技術(shù)的補(bǔ)丁流程��,確保定期進(jìn)行安全更新��。
根據(jù) Torres 的說法��,該策略取得了成功����。MemorialCare 現(xiàn)在對(duì)其整個(gè)物聯(lián)網(wǎng)生態(tài)系統(tǒng)擁有整體的可見性�,能夠記錄他們的覆蓋率為 98%����,相比同行的平均水平 56% 要高得多�����。該企業(yè)的 NIST 合規(guī)率為 98%�����,也遠(yuǎn)高于行業(yè)平均水平�����。但他承認(rèn)����,如果他們不優(yōu)先考慮人員層面的安全��,所有的防御措施都是徒勞的�。“今天�,網(wǎng)絡(luò)安全需要從兩個(gè)角度來看,”他補(bǔ)充道�����,“技術(shù)上的預(yù)防和檢測(cè),以及文化和人員層面�。”
二��、人的因素
這一現(xiàn)代化項(xiàng)目的最大風(fēng)險(xiǎn)之一是用戶����。“我們的護(hù)士����、臨床醫(yī)生和醫(yī)生會(huì)查看電子郵件、點(diǎn)擊鏈接����,最終被攻擊,”Torres 說����。他指出,社會(huì)工程和網(wǎng)絡(luò)釣魚活動(dòng)對(duì)組織構(gòu)成了特別大的威脅���。黑客甚至每周多次打電話到業(yè)務(wù)的服務(wù)臺(tái)�����,試圖欺騙工作人員重置用戶密碼�,以便入侵系統(tǒng)����。由于他們知道外部用戶重置密碼需要遵循的所有流程,Torres 及其團(tuán)隊(duì)意識(shí)到�����,光依靠人來阻止黑客并不可靠��,因?yàn)槿丝偸怯斜黄垓_的風(fēng)險(xiǎn)���。
為進(jìn)一步保護(hù)企業(yè)免受此類威脅�����,MemorialCare 實(shí)施了零信任網(wǎng)絡(luò)訪問(ZTNA)���,并在雙因素認(rèn)證的基礎(chǔ)上增加了一層額外的保護(hù),以確保能夠安全地遠(yuǎn)程訪問其所有應(yīng)用程序�、數(shù)據(jù)和服務(wù)����。此外��,該非營(yíng)利組織還優(yōu)先考慮了通過定期培訓(xùn)和教育活動(dòng)來提高網(wǎng)絡(luò)安全意識(shí)���。Torres 表示�����,他們對(duì)為何如此重要進(jìn)行了透明的說明�����,并描述了如果系統(tǒng)受到攻擊�,可能產(chǎn)生的影響�����。他補(bǔ)充道:“我們與人力資源部門合作���,組織了意識(shí)提升活動(dòng)���,甚至向用戶發(fā)送虛假釣魚郵件����。如果有人上當(dāng)��,我們會(huì)進(jìn)一步進(jìn)行教育和說明�����?��!?/span>
然而,Torres 強(qiáng)調(diào)����,網(wǎng)絡(luò)安全并不是一個(gè)技術(shù)問題可以單獨(dú)解決的?���!斑@不是 IT 部門的責(zé)任,也不是技術(shù)人員必須單獨(dú)負(fù)責(zé)的事情�,”他說?���!熬W(wǎng)絡(luò)安全是全球每個(gè)組織都面臨的企業(yè)風(fēng)險(xiǎn)���。”這意味著每個(gè)人都有責(zé)任認(rèn)真對(duì)待網(wǎng)絡(luò)安全���。
“我們可以制定協(xié)議�,部署工具來防止數(shù)據(jù)泄露���,但這還不夠��,”他補(bǔ)充道��?��!瓣P(guān)鍵在于培養(yǎng)一種安全意識(shí)文化,讓您的員工理解風(fēng)險(xiǎn)���,并意識(shí)到威脅行為者會(huì)使用哪些策略來欺騙他們犯錯(cuò)���。這很重要,因?yàn)槿绻覀儾槐Wo(hù)我們的系統(tǒng)�����,我們就無法保護(hù)我們的患者免受由于攻擊帶來的服務(wù)中斷?���!?/span>
