文章详情

短信预约-IT技能 免费直播动态提醒

请输入下面的图形验证码

提交验证

短信预约提醒成功

医疗保健行业发生网络安全事故的真实成本

2024-11-30 05:26

关注

在访谈中,谷歌云CISO办公室主任Taylor Lehmann讨论了围绕医疗保健提供者在数据泄露后必须承担的道德和法律责任的关键主题,他探讨了网络威胁的严重影响,这些威胁远远超出了经济损失,可能危及生命,侵蚀公众对医疗体系的信任。

Lehmann还介绍了网络攻击的影响、云技术对医疗数据安全的变革性影响,以及加强对这些不断变化的威胁的防御所需的措施。

你能讨论一下如果发生数据泄露对医疗保健提供者的道德和法律影响吗?

对敏感、有价值的数据和难以保护的遗留技术的保护历来薄弱,这使得医疗保健成为攻击者容易、有吸引力的目标。该行业网络入侵的影响可能会对个人产生严重影响,这在很大程度上是因为他们收集和存储的敏感个人和健康数据,以及在护理环境中使用的许多系统直接支持医疗程序的安全和维持生命的事实。

与其他行业相比,医疗保健提供商处于独特的地位-他们有道德和法律义务保护患者数据和保护患者护理免受网络威胁。医疗保健服务是极少数几个在安全、弹性和生命安全之间存在直接联系的行业之一。

在一个例子中,一家医疗系统在网络攻击后暂时改变了救护车的路线,并关闭了IT系统以恢复其网络。在不同的情况下,威胁参与者可能窃取了密码、医疗记录、社会安全号码或其他个人身份信息。

在法律方面,医疗保健提供商受到错综复杂的数据保护法律和法规网络的约束,例如美国的HIPAA或欧盟的GDPR。不遵守这些规定可能会导致对组织的巨额刑事和民事罚款和处罚。违约受害者提起诉讼,要求赔偿医疗身份盗窃、经济损失、潜在生命损失和情感困扰,也可能产生重大的法律、财务和声誉影响。

网络攻击对运营的影响正在影响患者的安全。你能举一些例子说明这些攻击是如何影响医疗服务的吗?

针对医疗保健和生命科学机构的网络攻击可能直接影响患者的福祉。除了可能造成的经济损失外,网络攻击还可能扰乱运营、损害声誉,甚至威胁公众健康。例如,对一家制药公司的勒索软件攻击可能会推迟新药的发布,这可能会对需要它的患者产生严重影响。

虽然尚未有确切的患者因网络攻击而死亡,但CISA发现,2020-2021年对医院的成功勒索软件攻击降低了医院照顾患者的能力。今年6月,圣玛格丽特健康医院永久关闭,这是伊利诺伊州斯普林谷农村社区唯一的一家医院,部分原因是在2021年勒索软件攻击后,恢复医院服务的成本难以承受。

坦白地讲,这种趋势对我们不利。虽然圣玛格丽特健康中心是第一家将网络攻击作为永久停止运营的理由之一的医疗机构,但有迹象表明,这不太可能是最后一家。2022年,我们看到越来越多的人声称死于针对医院的网络攻击。

这一点的影响是无法克服的,一家医院关门可能会直接影响居民获得重症护理的能力。

威胁行为者知道我们的卫生系统是脆弱的,他们不在乎伤害他们治疗的弱势人群。为了结束医疗保健面临的日益增长的生死存亡的威胁,它需要创造力、创新、伙伴关系和意愿来改变医疗保健领域IT安全和风险管理的现状。

向云计算的过渡如何改变了医疗机构的网络安全格局?

公有云可以在帮助医疗保健和生命科学组织变得更安全方面发挥重要作用。Forrester最近发现,随着云提供商提高安全性,组织越来越多地投资于云技术。云中固有的更好的安全性,再加上监管动机和广泛的社区努力,可以让医疗保健提供商扩展其IT基础设施,以快速满足不断增长的需求。

这就是说,云中一个管理不善的证书可能会对医疗保健组织的一天的生活产生重大影响。在可预见的未来,通过执行适当的云部署和维护来管理这一不断增长的外围应用领域将继续是医疗保健组织面临的挑战,但这一挑战至关重要,如果处理得当,长期而言将获得强劲的投资回报。在上个季度,谷歌云的数据显示,超过一半的云初始访问攻击来自所有行业的密码较弱或没有密码的用户。一旦攻击者进入,他们就会部署勒索软件,并越来越多地勒索数据以销毁、出售或用作迫使回应或某种付款的筹码。

医疗保健实体正在实施哪些措施来保护他们的云存储数据?你认为哪些方面还有改进的空间?

医疗保健组织应继续改进其身份和访问管理(IAM)系统,以确保定义、设置和监控用户凭据。这将为安全团队提供可疑活动的早期预警,从而有助于降低凭证被盗的可能性。组织应使用多因素身份验证(MFA)来确保被盗且未被其IAM协议检测到的凭据不会导致入侵。

此外,通过要求用户拥有手机等物理设备,而不仅仅是登录凭据才能进入系统,密钥越来越成为帮助降低凭据被盗可能性的强大工具。持续评估并将用户和服务的访问减少到最低限度,并提供对高度敏感资源的及时访问,将有助于保持组织的安全运行。

医疗机构必须专注于安全卫生,包括云安全,并对其全体员工进行网络威胁方面的教育。否则,这些组织可能会成为这些相对常见且可以预防的网络攻击的受害者。

鉴于相当大比例的医疗保健组织计划很快采用云技术,他们应该考虑的首要网络安全考虑因素是什么?

当前的医疗网络安全政策和法规是否足以应对网络安全挑战,或者是否需要新的框架?

我们看到了一个转变,因为许多人已经意识到保护敏感信息的机密性不足以保护组织及其客户的安全。虽然用意是好的,但医疗安全法律法规没有跟上组织消费新技术和攻击者发现影响它们的方法的速度。许多新的法律法规正在被提出,以解决医疗安全社区表达的一些担忧,包括寻求增加共享的安全威胁情报的数量,推动采用零信任等新的安全模式,提高软件和数据供应链的安全性等。

令人鼓舞的是,我们也看到监管关注的转变,将安全列为这些努力的关键结果。例如,2023年的综合拨款法案包括两项与联网医疗设备安全相关的重要条款,其中包括联邦药品管理局的一项新要求,即联网医疗设备必须是网络安全的,并在进入市场后保持这种状态。如果做不到这一点,将允许FDA实施执法,并阻止这些设备进入市场。欧盟也有类似的规定。

此外,FDA在去年的计算机软件保障模型草案中表示,一种基于风险的方法来管理医疗器械的质量、安全和安全即将到来。指导意见明确指出,在设计和实施这些系统时,除了安全和质量外,还必须考虑到安全性。

这些法规是在美国以及其他国家在国际上采取类似措施之际创建一个更安全、更有保障、更具弹性的医疗体系的一个强有力的起点——但这些监管努力必须与行业合作和信息共享相结合,以推动有效、持久的变革。

来源:企业网D1Net内容投诉

免责声明:

① 本站未注明“稿件来源”的信息均来自网络整理。其文字、图片和音视频稿件的所属权归原作者所有。本站收集整理出于非商业性的教育和科研之目的,并不意味着本站赞同其观点或证实其内容的真实性。仅作为临时的测试数据,供内部测试之用。本站并未授权任何人以任何方式主动获取本站任何信息。

② 本站未注明“稿件来源”的临时测试数据将在测试完成后最终做删除处理。有问题或投稿请发送至: 邮箱/279061341@qq.com QQ/279061341

软考中级精品资料免费领

  • 历年真题答案解析
  • 备考技巧名师总结
  • 高频考点精准押题
  • 2024年上半年信息系统项目管理师第二批次真题及答案解析(完整版)

    难度     813人已做
    查看
  • 【考后总结】2024年5月26日信息系统项目管理师第2批次考情分析

    难度     354人已做
    查看
  • 【考后总结】2024年5月25日信息系统项目管理师第1批次考情分析

    难度     318人已做
    查看
  • 2024年上半年软考高项第一、二批次真题考点汇总(完整版)

    难度     435人已做
    查看
  • 2024年上半年系统架构设计师考试综合知识真题

    难度     224人已做
    查看

相关文章

发现更多好内容

猜你喜欢

AI推送时光机
位置:首页-资讯-后端开发
咦!没有更多了?去看看其它编程学习网 内容吧
首页课程
资料下载
问答资讯