2018 年 4 月 25 日

5分鐘閱讀

保衛醫院免受威脅生命的 cyber 攻擊

儘管人們普遍擔憂網路安全資金不足,但有兩個令人驚訝的因素更直接地決定了醫院是否受到良好保護

作者:Mohammad S. Jalali& The Conversation US

Getty Images

以下文章經許可轉載自The Conversation,這是一個報道最新研究的線上出版物。

像任何大型公司一樣,現代醫院有數百甚至數千名員工使用無數的計算機、智慧手機和其他電子裝置,這些裝置容易受到安全漏洞、資料盜竊和勒索軟體攻擊。但醫院與其他公司有兩個重要的不同之處。它們儲存醫療記錄,這些記錄是關於人們最敏感的資料之一。許多醫院電子裝置有助於維持患者生命,監測生命體徵、給藥,甚至為病情最危急的患者提供呼吸和血液泵送。

2013 年,華盛頓大學醫學醫療集團的資料洩露事件洩露了約 90,000 名患者的記錄,並導致聯邦監管機構處以 75 萬美元的罰款。2015 年,包括多家醫院在內的 UCLA 健康系統透露,攻擊者訪問了其網路的一部分,該部分處理了 450 萬患者的資訊。網路攻擊會中斷醫療裝置、關閉急診室和取消手術。WannaCry 攻擊 例如,擾亂了英國國民健康服務 (NHS) 組織的三分之一,導致預約和手術取消。這些問題是醫療保健行業中日益增長的威脅

支援科學新聞報道

如果您喜歡這篇文章,請考慮透過以下方式支援我們屢獲殊榮的新聞報道 訂閱。透過購買訂閱,您正在幫助確保有關塑造我們當今世界的發現和想法的具有影響力的故事的未來。

保護醫院的計算機網路對於保護患者隱私,甚至是生命本身至關重要。然而,最近的研究表明,醫療保健行業在保護其資料方面落後於其他行業。

我是麻省理工學院斯隆管理學院的系統科學家,對理解醫療保健領域的網路安全等複雜的社會技術系統感興趣。一位以前的學生 Jessica Kaiser 和我採訪了負責網路安全的醫院官員和行業專家,以瞭解醫院如何管理網路安全問題。我們發現,儘管人們普遍擔憂網路安全資金不足,但有兩個令人驚訝的因素更直接地決定了醫院是否受到良好保護以抵禦網路攻擊:正在使用的電子裝置的數量和種類範圍,以及員工的角色如何與網路安全工作相符。

各種各樣的裝置

醫院網路安全的一個主要挑戰是可以訪問設施網路的裝置數量龐大。與許多企業一樣,這些裝置包括手機、平板電腦、臺式計算機和伺服器。但他們也有大量的患者和訪客,他們也帶著自己的裝置前來——包括聯網醫療裝置,以監測他們的健康狀況並與醫務人員溝通。這些專案中的每一個都可能是將惡意軟體注入醫院網路的潛在入口。

醫院官員可以使用軟體來確保只有授權裝置才能連線。但即便如此,他們的系統仍然容易受到軟體更新和新裝置的攻擊。另一個關鍵弱點來自醫療裝置,這些裝置是由在競爭激烈的市場中運營的裝置製造商作為免費樣品提供的。它們通常未經測試以確保在連線到醫院網路之前具有適當的安全性。我們的一位受訪者提到

“在醫院……存在一個完整的地下采購流程,醫療裝置供應商會接觸臨床醫生,並免費向他們提供大量東西,這些東西最終會進入我們的樓層,然後在一年後我們會收到賬單。”

當新技術繞過常規的採購和風險評估流程時,它們不會被檢查漏洞,因此它們會引入更多攻擊機會。當然,醫院管理者應該權衡這些擔憂與新系統可以帶來的患者護理改進。我們的研究表明,醫院需要更強大的流程和程式來管理所有這些裝置。

員工的支援

讓醫院管理者瞭解網路安全的重要性相當簡單:他們告訴我們,他們擔心成本、機構聲譽和監管處罰。讓醫務人員加入進來可能會困難得多:他們說他們專注於患者護理,沒有時間擔心網路安全。

人們通常將網路安全保護視為次要於他們試圖完成的事情。我們採訪的一位人士描述了為什麼一些員工犯了共享密碼的嚴重網路安全錯誤

“要使用超聲波機器[您需要密碼,密碼]必須每 90 天更改一次。[員工]只是想使用超聲波機器。它沒有儲存大量患者資料……所以他們建立了一個共享登入名,以便他們可以提供患者護理。”

需求在整個醫院中差異很大,其方式可能令人驚訝——例如訪問可能攜帶惡意軟體的網站。一家研究型醫院的資訊長告訴我們,

“我個人認為,在醫院支援的裝置上,硬核色情內容沒有任何意義。五年前我做了什麼?我設定了網際網路內容過濾器,以阻止人們瀏覽色情內容。五分鐘之內,精神病學主任打電話告訴我,我們有一項研究醫學背景下色情內容的資助[所以我們不得不修改我們的過濾器]。”

這些經歷是我們得出結論的原因,即預算限制對於醫院網路安全而言不如員工參與那麼重要。醫院可以購買任意數量的硬體和軟體。如果工作人員不遵守組織程式,技術將無法保證醫院的安全。我們的研究表明,網路安全與管理人員一樣與技術有關。

合規性不是安全性

威脅是全國性的,並且越來越難以防禦,正如一位首席資訊安全官告訴我們的那樣

“攻擊的性質越來越複雜。過去我最大的威脅是……學生。今天,它是國家支援的攻擊、恐怖主義和有組織的犯罪。比以往任何時候都面臨著更嚴重的威脅。”

不幸的是,許多醫院管理者似乎認為保護資料就像滿足州和聯邦法規一樣簡單。但這些是未能充分解決威脅的最低標準。正如我們的一位受訪者所說,

“合規性是一個低門檻。我保證,如果沒有監管,小型醫療保健組織和醫院將無所作為。他們會有一張紙放在架子上,稱為他們的安全策略。作為讓公司至少開始考慮它的後盾,這是需要的。但是,合規性並不能解決更大的風險管理問題。”

我們的研究表明,醫院需要超越合規性來思考。此外,由於很少有醫院能夠很好地防禦網絡攻擊,因此所有醫院都顯得更具吸引力,成為潛在目標。我們認為,醫院僅僅改善自身防禦是不夠的——監管機構提高標準也是不夠的。他們應該管理和評估其網路上裝置的安全性,並確保醫務人員瞭解良好的網路衛生習慣如何支援良好的患者護理。此外,政策制定者、醫療保健領導者和醫院自身應共同努力,使整個行業更不容易受到威脅人們隱私和生命的攻擊。

本文最初發表於The Conversation。閱讀原文

© .