畢馬威：是誰(shuí)在威脅醫(yī)療數(shù)據(jù)的安全，又該如何解決？

　　醫(yī)療行業(yè)的數(shù)據(jù)互聯(lián)能幫助實(shí)現(xiàn)治療的成功，也可提高醫(yī)療質(zhì)量和藥品的效率。但與此同時(shí)，數(shù)據(jù)互聯(lián)的風(fēng)險(xiǎn)也很大。隨著醫(yī)療信息網(wǎng)絡(luò)化的日益深入，隨之而來(lái)的各種犯罪活動(dòng)也開(kāi)始變得異常猖獗。

　　尤其在當(dāng)今這個(gè)信息化的時(shí)代，醫(yī)療行業(yè)的信息保護(hù)手段遠(yuǎn)遠(yuǎn)落后于其他行業(yè)，如使用著過(guò)時(shí)的臨床技術(shù)、互聯(lián)醫(yī)療設(shè)備的安全性欠佳、以及整體上缺乏信息安全管理流程等等。有些醫(yī)療機(jī)構(gòu)可能還沒(méi)有意識(shí)到黑客行為的復(fù)雜性，以及他們滲透患者機(jī)密數(shù)據(jù)的網(wǎng)絡(luò)手段。

　　如今，醫(yī)療網(wǎng)絡(luò)攻擊的本質(zhì)、深度和后果都發(fā)生了變化，如果醫(yī)療機(jī)構(gòu)不與時(shí)俱進(jìn)，更新自身的信息安全水平，必將遭受嚴(yán)重?fù)p失：不只在經(jīng)濟(jì)上，而且還可能會(huì)威脅到患者的生命。

　　根據(jù)2015年畢馬威會(huì)計(jì)師事務(wù)所對(duì)223位醫(yī)療行業(yè)高管進(jìn)行的網(wǎng)絡(luò)安全調(diào)查統(tǒng)計(jì)，81%的受訪者表示，他們所在機(jī)構(gòu)在過(guò)去2年中至少受到了1種惡意軟件的侵害，如僵尸網(wǎng)絡(luò)(BotNet)或者其他網(wǎng)絡(luò)攻擊。事實(shí)上，只有一半的受訪者認(rèn)為自己已經(jīng)為預(yù)防網(wǎng)絡(luò)攻擊做好了足夠的準(zhǔn)備。那么，在這場(chǎng)與黑客曠日持久的醫(yī)療信息保衛(wèi)戰(zhàn)中，究竟有哪些迫在眉睫的關(guān)切點(diǎn)，又有哪些可行的解決措施呢?動(dòng)脈網(wǎng)摘編了畢馬威的調(diào)查報(bào)告，帶您一探究竟。

　　畢馬威醫(yī)療網(wǎng)絡(luò)安全報(bào)告指出，醫(yī)療機(jī)構(gòu)正面臨著的安全威脅有：

　　患者記錄的數(shù)字化和臨床系統(tǒng)的自動(dòng)化。

　　使用未達(dá)到當(dāng)今網(wǎng)絡(luò)安全標(biāo)準(zhǔn)的陳舊電子病歷(EMR)和臨床應(yīng)用程序;且軟件商將此問(wèn)題推給了醫(yī)療提供者。

　　在內(nèi)部(筆記本電腦、移動(dòng)設(shè)備、拇指驅(qū)動(dòng)器)和外部(第三方、云服務(wù))都能輕易地查詢到受保護(hù)的電子健康信息(ePHI)。

　　網(wǎng)絡(luò)系統(tǒng)和應(yīng)用程序的異質(zhì)性。

　　威脅環(huán)境正在不斷變化，當(dāng)今的網(wǎng)絡(luò)攻擊更加復(fù)雜，加上資金充足，其獲取的相關(guān)數(shù)據(jù)在黑市上的價(jià)值不菲。

　　對(duì)于醫(yī)療機(jī)構(gòu)和保險(xiǎn)公司而言，網(wǎng)絡(luò)安全最需關(guān)注的是來(lái)自外部的攻擊。畢馬威調(diào)查指出，外部攻擊者和第三方是醫(yī)療機(jī)構(gòu)最脆弱的軟肋，而最大的威脅則是惡意軟件和HIPAA違規(guī)行為。(詳見(jiàn)下表)

　　調(diào)查指出，網(wǎng)絡(luò)信息日漸豐富的同時(shí)，威脅也在成倍增長(zhǎng)，但意圖或已經(jīng)花費(fèi)在保護(hù)信息安全上的支出卻沒(méi)有隨之進(jìn)行調(diào)整。

　　由于有不同優(yōu)先級(jí)的劃分，當(dāng)涉及安全漏洞時(shí)，保險(xiǎn)公司和醫(yī)療機(jī)構(gòu)有著不同的關(guān)注點(diǎn)。對(duì)于醫(yī)療機(jī)構(gòu)而言，執(zhí)法監(jiān)管或訴訟等問(wèn)題會(huì)讓已經(jīng)微薄的利潤(rùn)更加捉襟見(jiàn)肘。對(duì)于投資，大多數(shù)醫(yī)療機(jī)構(gòu)顯得十分為難;如果醫(yī)院只有100萬(wàn)美元，比起數(shù)據(jù)保護(hù)，它可能更愿意把錢花在患者護(hù)理和治病救人上?！?/p>

　　而保險(xiǎn)公司往往是在多個(gè)司法管轄區(qū)內(nèi)經(jīng)營(yíng)的大型上市企業(yè)。它們主要關(guān)注的是可能會(huì)影響股東財(cái)政損失或抑制增長(zhǎng)計(jì)劃的負(fù)面名譽(yù)影響。(詳見(jiàn)下表)

　　■醫(yī)療機(jī)構(gòu)尚不能有效應(yīng)對(duì)網(wǎng)絡(luò)安全威脅

　　醫(yī)療機(jī)構(gòu)并不像金融服務(wù)等部門那樣常常成為黑客的目標(biāo)。正因如此，醫(yī)療機(jī)構(gòu)的管理層也就沒(méi)有像其他與網(wǎng)絡(luò)攻擊斗爭(zhēng)經(jīng)驗(yàn)豐富的部門那樣，會(huì)嘗試追蹤網(wǎng)絡(luò)威脅的來(lái)源。畢馬威的調(diào)查顯示，在過(guò)去一年中，僅有13%的受訪者表示曾對(duì)網(wǎng)絡(luò)漏洞進(jìn)行每日追蹤，38%的追蹤次數(shù)為50~350次，而44%的只有1~50次。

　　這表明，大多數(shù)醫(yī)療機(jī)構(gòu)并不能有效地對(duì)網(wǎng)絡(luò)威脅進(jìn)行追蹤、報(bào)告和管理，缺乏成熟的意外和漏洞管理流程，日常的網(wǎng)絡(luò)攻擊往往得不到任何處理。畢馬威的一家客戶在實(shí)施了有效的安全運(yùn)營(yíng)中心(SOC)后，網(wǎng)絡(luò)事件和漏洞報(bào)告增加了1000%，而這很可能是因?yàn)樵摍C(jī)構(gòu)之前完全無(wú)法得知網(wǎng)絡(luò)攻擊的存在。事實(shí)上，調(diào)查中25%的受訪者說(shuō)，根據(jù)該機(jī)構(gòu)現(xiàn)有的保護(hù)系統(tǒng)，他們沒(méi)有或不知道自己是否有這個(gè)能力，在其系統(tǒng)受到損害時(shí)，能實(shí)時(shí)檢測(cè)出來(lái)。

　　■抵御網(wǎng)絡(luò)攻擊的關(guān)鍵是要做好準(zhǔn)備

　　即時(shí)管理和即時(shí)響應(yīng)非常微妙，它包含調(diào)查、追蹤和消除網(wǎng)絡(luò)威脅，以及溝通和向公眾和監(jiān)管機(jī)構(gòu)報(bào)告等內(nèi)容。而一些醫(yī)療機(jī)構(gòu)報(bào)告漏洞的行為速度過(guò)快，甚至是在還沒(méi)弄明白威脅從何而來(lái)、誰(shuí)是攻擊者、系統(tǒng)的哪些部分已被破壞等情況之前。因此往往適得其反，反而加大了自身的損失。

　　畢馬威的調(diào)查顯示，在過(guò)去一年中，各地的管理層(85%的受訪醫(yī)療機(jī)構(gòu)和89%的受訪保險(xiǎn)公司)已經(jīng)針對(duì)網(wǎng)絡(luò)安全進(jìn)行了諸多討論，但許多醫(yī)療機(jī)構(gòu)尚未采取必要措施來(lái)為對(duì)抗網(wǎng)絡(luò)威脅做好準(zhǔn)備。

　　在人力資本方面，19%的醫(yī)療機(jī)構(gòu)沒(méi)有指定一名高管全權(quán)負(fù)責(zé)信息技術(shù)安全，而保險(xiǎn)公司的數(shù)據(jù)則為8%;25%的醫(yī)療機(jī)構(gòu)沒(méi)有設(shè)立信息安全運(yùn)營(yíng)中心以識(shí)別和評(píng)估威脅，而保險(xiǎn)公司的數(shù)據(jù)則為20%。在日后的網(wǎng)絡(luò)攻擊應(yīng)對(duì)工作中，應(yīng)當(dāng)首先對(duì)以上二者進(jìn)行完善。

　　■網(wǎng)絡(luò)安全投資分布

　　雖然大多數(shù)的受訪醫(yī)療機(jī)構(gòu)已經(jīng)增加了網(wǎng)絡(luò)安全支出，并在過(guò)去的一年中加大了網(wǎng)絡(luò)安全投資，可投下的錢在許多領(lǐng)域并沒(méi)有帶來(lái)足夠的安全性。這或許是因?yàn)獒t(yī)療機(jī)構(gòu)低估了網(wǎng)絡(luò)威脅的增加量，使得投資的比例相對(duì)不足。

　　投資網(wǎng)絡(luò)安全的水平和能力之間的差異，是購(gòu)買力與自身能力不匹配的結(jié)果。如果網(wǎng)絡(luò)安全投資不是一個(gè)協(xié)調(diào)一致戰(zhàn)略的一部分，那么其支出往往會(huì)造成更多的浪費(fèi)。

　　■結(jié)論

　　綜上所述，醫(yī)療網(wǎng)絡(luò)安全需要一種全新的方法來(lái)推進(jìn)，具體如下：

　　通過(guò)戰(zhàn)略設(shè)計(jì)，在前期結(jié)合網(wǎng)絡(luò)安全的技術(shù)和網(wǎng)絡(luò)架構(gòu)。由于許多企業(yè)已經(jīng)實(shí)現(xiàn)了互聯(lián)互通，其自身的控制能力相應(yīng)降低，需要重新設(shè)計(jì)和開(kāi)發(fā)安全實(shí)施計(jì)劃。網(wǎng)絡(luò)安全投資應(yīng)成為一個(gè)協(xié)調(diào)數(shù)字化戰(zhàn)略的一部分。

　　精心籌備協(xié)調(diào)的網(wǎng)絡(luò)安全團(tuán)隊(duì)和信息安全運(yùn)營(yíng)中心。任命一名高管全權(quán)負(fù)責(zé)信息技術(shù)安全，并通過(guò)安全運(yùn)營(yíng)中心加強(qiáng)即時(shí)監(jiān)控功能。需要涵蓋的其他領(lǐng)域包括管理漏洞并與各部門進(jìn)行溝通。

　　提高各層級(jí)的網(wǎng)絡(luò)安全意識(shí)和能力。網(wǎng)絡(luò)安全是經(jīng)營(yíng)風(fēng)險(xiǎn)，也是技術(shù)風(fēng)險(xiǎn)。因此，網(wǎng)絡(luò)安全人員需要精通以上兩方面。雖然行政管理層一般只需要意識(shí)到問(wèn)題的存在，但如果董事會(huì)成員能有懂行的人，并能夠幫助進(jìn)行管理，也是十分重要的。

　　以開(kāi)闊的視野實(shí)施網(wǎng)絡(luò)安全策略。通過(guò)與各種業(yè)務(wù)伙伴的合作，醫(yī)療機(jī)構(gòu)實(shí)際上實(shí)現(xiàn)了價(jià)值鏈的擴(kuò)展。第三方載體增加了網(wǎng)絡(luò)安全風(fēng)險(xiǎn)，但關(guān)鍵是要了解多個(gè)第三方載體合用時(shí)的固有風(fēng)險(xiǎn)，并確定那么必須要修復(fù)的風(fēng)險(xiǎn)。