在現(xiàn)代化進程中,醫(yī)療技術(shù)的進步極大地改善了患者護理�����、數(shù)據(jù)管理和運營效率��,但也帶來了更多的風(fēng)險��。對于 MemorialCare 的 IT 副總裁兼首席信息安全官 Kevin Torres 來說�,確保生物醫(yī)學(xué)設(shè)備的安全以及用戶的網(wǎng)絡(luò)安全意識是持續(xù)的優(yōu)先事項,以確保不中斷服務(wù)����。
根據(jù)統(tǒng)計門戶網(wǎng)站 Statista 的數(shù)據(jù)顯示�����,到 2030 年�����,全球醫(yī)療保健網(wǎng)絡(luò)安全市場預(yù)計將達到 584 億美元�����,因為醫(yī)療行業(yè)正面臨越來越多的攻擊����。而根據(jù) KnowBe4 發(fā)布的 2024 年國際醫(yī)療報告��,2023 年前三個季度��,全球醫(yī)療行業(yè)每周經(jīng)歷了 1613 次網(wǎng)絡(luò)攻擊��,幾乎是全球平均水平的四倍��。
對 Kevin Torres 來說�����,努力在現(xiàn)代化患者護理的同時平衡 MemorialCare 所面臨的重大網(wǎng)絡(luò)安全風(fēng)險是一項巨大挑戰(zhàn)��。MemorialCare 是一家位于南加州的綜合非營利性醫(yī)療系統(tǒng)�����,擁有超過 14,000 名醫(yī)生和員工使用聯(lián)網(wǎng)設(shè)備���,其網(wǎng)絡(luò)中運行著超過 52,000 臺聯(lián)網(wǎng)設(shè)備和儀器��。他指出�����,“我們工作在一個高風(fēng)險環(huán)境中�。如果我們遭遇網(wǎng)絡(luò)攻擊或勒索軟件事件���,這可能意味著我們無法接收新患者�����,因為我們無法保證我們能夠為他們提供護理����。”因此���,他的主要擔(dān)憂之一是確保企業(yè)在遭受攻擊時的恢復(fù)能力�����,以及保持無縫的患者護理服務(wù)��。
Torres 和他的團隊特別關(guān)注的是保護其生物醫(yī)學(xué)設(shè)備環(huán)境�,包括保溫箱��、心臟起搏器�����、人工耳蝸植入物和除顫器���。他提到:“當(dāng)我們審查這些技術(shù)時,我們很快意識到我們無法清晰地了解所有聯(lián)網(wǎng)設(shè)備的情況��。我們不知道哪些設(shè)備是聯(lián)網(wǎng)的,也不知道是否所有設(shè)備都已正確打上補丁�。我們在這些生物醫(yī)學(xué)設(shè)備上的嚴格性和勤奮度遠不及我們對連接到網(wǎng)絡(luò)的計算機的要求。因此����,我們的防御中存在著非常真實的漏洞?��!?/span>
一���、環(huán)境的整體視圖
為彌補這一漏洞,Torres 引入了風(fēng)險管理平臺 Asimily�,該平臺能夠提供更高的物聯(lián)網(wǎng)設(shè)備可見性,使得識別醫(yī)療設(shè)備和儀器上可被利用的漏洞變得更加容易����。
Asimily 提供了對 MemorialCare 生態(tài)系統(tǒng)中所有聯(lián)網(wǎng)設(shè)備的可見性——無論是溫控系統(tǒng)、生物醫(yī)學(xué)設(shè)備�����、電梯����,還是電力系統(tǒng)——并根據(jù)硬件是否擁有最新的防護措施來分層風(fēng)險。他提到:“我們立即發(fā)現(xiàn),許多連接的設(shè)備并不符合標(biāo)準(zhǔn)����。”對于不合規(guī)的設(shè)備���,他和他的團隊投入了時間來確保它們的安全達到標(biāo)準(zhǔn)��。他們還對一些較舊的解決方案進行了改造�����,以確保這些設(shè)備不會給企業(yè)帶來更大的風(fēng)險���。最后,他建立了一個團隊�,制定了新技術(shù)的補丁流程,確保定期進行安全更新�����。
根據(jù) Torres 的說法�,該策略取得了成功。MemorialCare 現(xiàn)在對其整個物聯(lián)網(wǎng)生態(tài)系統(tǒng)擁有整體的可見性��,能夠記錄他們的覆蓋率為 98%�����,相比同行的平均水平 56% 要高得多��。該企業(yè)的 NIST 合規(guī)率為 98%�����,也遠高于行業(yè)平均水平��。但他承認�,如果他們不優(yōu)先考慮人員層面的安全,所有的防御措施都是徒勞的���?����!敖裉?�,網(wǎng)絡(luò)安全需要從兩個角度來看��,”他補充道�,“技術(shù)上的預(yù)防和檢測,以及文化和人員層面�����?!?/span>
二、人的因素
這一現(xiàn)代化項目的最大風(fēng)險之一是用戶��?���!拔覀兊淖o士、臨床醫(yī)生和醫(yī)生會查看電子郵件���、點擊鏈接�,最終被攻擊����,”Torres 說。他指出�����,社會工程和網(wǎng)絡(luò)釣魚活動對組織構(gòu)成了特別大的威脅�����。黑客甚至每周多次打電話到業(yè)務(wù)的服務(wù)臺,試圖欺騙工作人員重置用戶密碼�����,以便入侵系統(tǒng)����。由于他們知道外部用戶重置密碼需要遵循的所有流程���,Torres 及其團隊意識到���,光依靠人來阻止黑客并不可靠,因為人總是有被欺騙的風(fēng)險���。
為進一步保護企業(yè)免受此類威脅���,MemorialCare 實施了零信任網(wǎng)絡(luò)訪問(ZTNA),并在雙因素認證的基礎(chǔ)上增加了一層額外的保護�����,以確保能夠安全地遠程訪問其所有應(yīng)用程序、數(shù)據(jù)和服務(wù)��。此外����,該非營利組織還優(yōu)先考慮了通過定期培訓(xùn)和教育活動來提高網(wǎng)絡(luò)安全意識。Torres 表示�����,他們對為何如此重要進行了透明的說明�,并描述了如果系統(tǒng)受到攻擊,可能產(chǎn)生的影響���。他補充道:“我們與人力資源部門合作��,組織了意識提升活動����,甚至向用戶發(fā)送虛假釣魚郵件�����。如果有人上當(dāng)���,我們會進一步進行教育和說明�����?!?/span>
然而,Torres 強調(diào)�,網(wǎng)絡(luò)安全并不是一個技術(shù)問題可以單獨解決的��?����!斑@不是 IT 部門的責(zé)任�����,也不是技術(shù)人員必須單獨負責(zé)的事情���,”他說��?���!熬W(wǎng)絡(luò)安全是全球每個組織都面臨的企業(yè)風(fēng)險?��!边@意味著每個人都有責(zé)任認真對待網(wǎng)絡(luò)安全�。
“我們可以制定協(xié)議���,部署工具來防止數(shù)據(jù)泄露�����,但這還不夠�,”他補充道���?!瓣P(guān)鍵在于培養(yǎng)一種安全意識文化�,讓您的員工理解風(fēng)險,并意識到威脅行為者會使用哪些策略來欺騙他們犯錯��。這很重要����,因為如果我們不保護我們的系統(tǒng),我們就無法保護我們的患者免受由于攻擊帶來的服務(wù)中斷?!?/span>
