“休斯顿,我们这遇到了问题。”这于医疗机构已经不是什么新闻,不论是休斯顿、波士顿、圣路易斯还是旧金山。尽管理由可能是错的,但2015年是医疗行业具有标志性的一年,坏消息不断。医疗系统日益增加的攻击事件暴露出诸多安全不足:众多不安全的可被攻击者利用的载体,敏感资料失窃,并且可能导致灾难性后果。
2016年将出现更多类似的问题。医疗机构必须加速部署安全工作,以免将患者及其自身置于安全威胁风险之中。2015年出现了多次数据外泄事件—其中包括Anthem和Premera,以及广受关注的好莱坞长老会医疗中心勒索软件攻击事件。事实上,好莱坞长老会攻击事件可能是该勒索软件的试验场。2016年,该软件可能会投入到规模更大、成本更高的攻击活动中。
所幸,医疗行业领导者们的“安全性”意识越来越强,安全也被列为要务之首。防火墙部署不再足以保护患者信息。医疗“物联网”的扩展使网络没有了边界。必须确保不同位置使用设备的安全,包括:
个人设备,如可穿戴健身追踪器和血糖检测仪
医院内的设备,如IV泵和心脏监护器
帮助供应商提供高级护理的平板电脑
存储、访问和共享全部信息的数据库
以上任何一种设备都可能会成为攻击的载体。FDA在医疗设备上寻找更多的安全隐患以及对应的安全需求。该机构在一月份表示,“便于患者使用的医疗器械进行联网的情况日益增多。联网的医疗器械(如联网的其他计算机系统)使用可能容易遭受网络安全威胁。利用这些漏洞可能会对医疗器械的安全性和有效性带来危险,通常需要在产品生命周期提供持续维护,提供漏洞的安全防御。主动解决医疗器械方面的网络安全风险可降低对患者的安全影响以及对公共卫生的总体风险。”
患者都很关心自己的隐私,并确认这些信息是受保护的。话虽如此,攻击者对医疗成果和医疗机构所持有信息的态度是不断变化的。如果成果有价值,则会更容易受到数据隐私威胁。在非医疗行业的语境下想想非医疗背景下的一些情况。内容识别的搜索引擎会推送与最近搜索查询相关的标题广告,让人感觉有位“公众监视人”正在窥伺,但很少有人会重视这种程度的隐私侵入。但是,相同的内容识别搜索引擎还会通知你对最近购买的航班进行值机,很多人发现这一功能非常有价值。尽管同是侵犯数据隐私,但结果完全不同。这使得隐私对于医疗机构更具挑战性。期待着2016年提出有关此方面的更多会话。
医疗机构固有的数据失窃风险是真实的,网络威胁攻击也是真实的。一旦攻击者进入主系统,可能会安装恶意软件,降低系统访问效率以收集患者的敏感信息或者控制设备并可能危及患者的生命。保护所有这些敏感信息(以及某种程度来讲,这些数据背后的访问者权限)的最佳方式便是采用分层安全架构。采用高级威胁的防御工具也是需要的,内网隔离防火墙、恶意软件/病毒的防御或更多其他的安全措施。
今年的HIMSS会议继续去年启动的讨论和工作事宜。安全是焦点,演讲中的很多主题都有涉及到安全方面,并且还有关于攻击风险和安全选项的展示。现在,必须对医疗信息安全采取措施了。我们鼓励医疗机构在考虑并针对安全性进行规划时保持清醒的头脑,接洽一些专家并认真对待他们的建议。尽可能多地实施安全措施,包括内部隔离和多层安全规划。持续增加、反复考虑并调整安全性,以确保针对日益复杂、尖端的攻击提供最佳防护。