最近,全球医疗保健机构遭受的网络攻击令人震惊。当然,其他机构也是大规模入侵的目标,尤其是在关键基础设施领域。然而,就医院和诊所而言,任何安全漏洞都可能导致死亡,而不仅仅是经济损失。
众所周知,这也是一个对系统、网络以及物联网/医疗物联网 (IoMT) 设备保护水平较低的行业。一份由 Ponemon Institute 和 Cynerio 联合编写的报告基于 517 位在美国医院和卫生系统中担任领导职务的医疗保健专家提供的数据,其中列出了医疗保健机构及其专业人员面临的最常见风险。
超过一半的受访者组织 (56%) 在过去 24 个月中经历过一次或多次涉及医疗物联网/物联网设备的网络攻击,在此期间平均遭受12.5次攻击。由于入侵,45% 的受访者报告了对患者护理的不利影响,其中53%的受访者(总体为24%)报告了导致死亡率增加的影响。
事情也可能会变得更糟,研究中发现的另一个事实是,攻击者经常进行长期操作并重复攻击。在上述 56% 的受访者中,他们在过去 24 个月中至少遭受过一次网络攻击,其中 82% 在此期间平均遭受了四次或更多次攻击。特别是,勒索软件攻击的发生率几乎相似,43%的受访者经历过一次攻击,76%的受访者平均经历过三次或更多次攻击。
说到勒索软件,医院越来越多地考虑支付赎金来作为加快数据恢复的可行选择——47%经历过此类攻击的组织最终支付了赎金,32% 的支付赎金金额在 250,000 美元到 500,000 美元之间。那些没有支付赎金的组织通常将他们的决定归因于有效的备份策略(53%)和公司政策(49%)。
转售患者数据仍然具有价值,43%的受访者表示在过去24个月中至少经历过一次数据泄露。其中,65% 在此期间平均经历了 5 次或更多数据泄露,其中 88% 涉及物联网/医疗物联网设备。参与调查的组织估计,涉及该物联网/医疗物联网设备的最大数据泄露的平均成本为1300万美元,包括直接成本、间接成本和商业机会损失。
主要原因
缺乏安全性的一个原因是缺乏明确的责任。当受访者被问及哪些高级管理人员主要负责确保高危设备的安全时,没有一个高级管理人员的答案超过18%。即使是排名靠前的答案也各不相同,包括首席信息官/首席技术官 (18%)、运营主管 (14%)、首席信息安全官/首席安全官 (14%) 和网络主管 (11%)。
当谈到物联网/医疗物联网设备产生的安全风险级别时,71% 的受访者将其评为高或非常高,但只有21%的受访者表示处于网络安全主动措施的成熟阶段。在大约一半的情况下(46%),对设备进行了基本验证,但三分之二的受访者(67%)没有跟踪结果报告。
好消息是,预算持有者一直在争取更多资源来保护他们的环境。据估计,本财年典型的IT投资平均为1.45亿美元,其中17%集中在安全性上。在安全支出中,平均20%用于物联网/医疗物联网设备。
与医疗保健以外的其他行业一样,攻击者也利用了诸如人员短缺和物联网/物联网设备安全领域知识匮乏等弱点。受访者表示最担心的物联网和其他连网设备的主要威胁包括:缺乏对物联网网络的可见性(45%)、网络钓鱼(45%)、零日攻击(41%)和勒索软件(39%)。
