勒索软件一直是医疗保健(以及其他行业)面临的一个重大问题。自 2016 年以来,许多医疗机构都遭受了勒索软件攻击。虽然计算机面临勒索软件攻击的风险,但勒索软件和其他漏洞的风险远不止计算机,还包括医疗设备、物联网 (IoT) 和其他联网设备。包括好莱坞长老会医院 (Hollywood Presbyterian) 和美德星医疗 (MedStar Health) 在内的多家医疗保健机构都已成为这些攻击的受害者,影响了他们提供患者护理的能力。
人为失误或行为往往是
漏洞或安全事件的根源。虽然公司可能 按行业划分的特定数据库 会购买安全检测和防御技术,但他们也需要投资员工教育项目。网络钓鱼教育和模拟活动可以教会最终用户如何识别此类攻击并保护员工安全。事件桌面演习可以模拟网络威胁场景,培训员工和事件响应团队成员,并在事件真正发生之前提供学习机会。
本月早些时候,我和 Omada Health 首席监管和隐私官 Lucia Savage 在华盛顿特区举行的隐私 + 安全论坛上发表了演讲。我们的演讲题为“正反观点:监管和行业对改善医疗保健安全性的看法”,探讨了关于如何改善安全性的相互矛盾的观点。然而,我们很快发现,我们往往在必要的方法上达成了一致。我们讨论的一个关键点是,关注医疗保健实体的适当安全级别,同时确保患者访问其健康记录的流程不会过于复杂。我们还讨论了医疗服务机构在招聘安保人员、处理安全事件以及共享和使用威胁情报方面面临的挑战。
这些重大问题也得到了
美国卫生与公众服务部 (HHS) 医疗保健行业网络安全 (HCIC) 工作组的认可,我是该工作组的成员之一。该工作组由公共和私营部门的领导者组成,旨在共同解决医疗保健领域的网络安全问题,代表了医院、患者权益倡导者、付款人、医疗科技公司、安全研究人员、实验室、制药公司和安全供应商。
该工作组的成立源于 2015 年《网络安全信息共享法案》,该法案要求各成员审查各组织在保护数据和联网医疗设备安全方面的最佳实践。该工作组于2017年6月向国会提交了报告。报告指出,“过去一年,我们看到医疗设备中存在漏洞,这些漏洞被用来操纵股市;勒索软件泛滥,导致英国国家医疗服务体系(NHS)所有医院瘫痪,影响了美国的医疗服务和信息获取;此外,还有无数其他违规行为。”