解决医疗健康领域的网络安全和云技术技能差距

说明信息

近年来，网络安全事件
频发，事件造成的影响也日益增大，对于医疗健康行业，网络安全的重要性凸显。随着医疗信息化的普及，医疗设备与相关系统的安全性已经关系到医疗机构
业务的正常运营。勒索软件，拒绝服务攻击造成的医院应用系统中断，已经给多家医疗机构和患者带来巨大影响。此外，在医疗健康大数据以及医患隐私数据的开发利用过程中，网络安全问题已成为新的行业痛点。网络安全不仅需要在技术层面投入预算提升安全防护水平，更需要在网络安全治理管理层面做好设计，在不同业务场景中控制安全风险，提升全员安全意识。保证医疗健康行业的网络安全，需要企业和个人承担相应的网络安全职责，在中国的《网络安全法》、《数据安全法》、《个人信息保护法》已经明确要求企业需要委派专人负责，确保网络安全和数据的全生命周期安全。本白皮书从全球视角提出了网络安全的发展趋势
分析，行业网络安全痛点以及相应的解决方案建议，为企业安全负责人和从业者提供了不错的参考。

医疗行业不断演变的格局

想要理解当代医疗健康技术所处的确切阶段，很有必要先回顾一下它的演化进程。医疗健康行业曾遇到过哪些障碍以及如何克服这些障碍的？医疗健康领域将会发生怎样的变革，又将是谁来引领这些变革呢？
20世纪50 年代，使用计算机动进行某些护理活动和记录的设想，标志着信息时代新旅程的开启。但当时并没有什么进展，一方面是因为信息计算还没有发展到一定程度。另一方面，医学界并没看到它的价值，也就对医疗健康电脑化兴致索然。
从 60 年代中期开始，商家已着手开发起了医院管理程序。60 年代末，医院会计系统共享开始出现，供中小型医院使用。此外，还尝试了用于临床的计算机系统，可惜并没有取得成功。
到了 90 年代，计算机已经发展得更为灵活、强大，成为了实用的信息管理工具。另外，当时引入的网络能够将来自不同地点的医疗健康数据链接起来。再加上以患者为中心的综合数据变得愈发重要，人们的重点慢
慢转移到了记录终身健康档案上（Hannah、Ball 和 Edwards，2006 年）。在这之前，很少有关计算机在临床上应用。阻碍计算机发展的最大因素是医疗供应商不愿证实计算机在成本和患者健康方面的优势（mThink，2003）。
从此，医疗健康系统的健康记录迅速走向了计算机化。如今，患者的病历档案里已有着完整的病史记录，不同医生可以从不同地点检索、查看和修改。医疗健康行业开始进入了一个专注于临床护理的创新时代。
数字化转型彻底改变了医疗健康产业，这在几年前还不可能做到。随着云计算和大数据分析的蓬勃发展，加上以消费者为中心的医疗体系的转变，医疗健康服务正在重塑。卫生保健组织 (HDO) 能够访问大量数据，如果对其整理、分析和适当利用，这些数据可为 HDO 和患者带来巨大利益。
云计算的运用催生出了物联网 (IoT) 和可穿戴医疗设备，即医疗物联网 (IoMT)。这些技术创新提供了大量数据，可以有效提高患者护理水平、完善临床资料、增加效率并降低成本（Armis，2019）。
不久前医疗设备还是没有任何网络连接的独立设备。如今的医疗设备不仅有网络连接，而且还常常接入云端。这种连接大有益处。首先，它可以远程监控设备。医疗系统人员无需患者前来即可远程查看植入设备的传感状况。医院的护理人员也可以从一个中心区域监控患者，不再需要频繁查房。
在新冠疫情期间，远程医疗更成了医疗健康系统一个显著增长的方面。由于医疗健康服务逐渐转变为以患者为中心，远程医疗可以运用在各个方面包括远程患者监控或常规预约等等。此外，新冠疫情的爆发促使 HDO开始采用视频会议进行常规在线门诊。如果得到有效运用，远程医疗可以极大地改善患者与其他患者、工作人员和弱势群体的接触问题，还可以为家中症状较轻的患者提供所需的护理，同时减缓致命病毒的传播。
这些先进技术通过与云计算结合，使我们现在拥有了庞大的数据集。这些数据集可同大数据分析一起使用于管理人口健康、预测健康趋势以及处理流行疾病，如新冠疫情的应对。这种数据分析可以有效改善患者的治
疗效果。

美国医疗健康行业作为首要目标

无论从哪个角度看，美国医疗健康行业是一个目标丰富的环境！ 该行业得到超过784,626个组织的支持，这些组织包括数千个复杂且动态的供应链。美国每8个公民中就有一个是这些组织的雇员。在6210多家注册医院中，每年的住院人数超过3600万。这还不包括新冠疫情后远程医疗和远程医疗服务的激增，这创造了一种新的患者服务、入院和治疗类别。
自2010年以来，美国每年的医疗支出占国内生产总值（GDP）的17%以上，这一事实表明了美国在医疗健康行业的支出规模。

云计算—大湖中的小池塘

云计算仍处于起步阶段，该行业在20世纪50年代开始技术尝试。但如图1所示，预计采用的增长速度将越来越快。
随着这种增长，预计由于本手册中提到的许多原因，网络安全攻击的风险将反映与目前该行业的现有传统技术平台所经历的频率相似，甚至更高。 根据2019年的泰雷兹报告70% 接受调查的医疗健康组织报告了数据泄露，其中三分之一的机构自去年以来报告了数据泄露。 所有接受调查的组织都报告说使用数字转换技术收集、存储或共享敏感信息。
“2009 年至 2019 年间，共发生了 3,054 起医疗健康数据泄露事件，涉及 500 多条记录。 这些泄漏事件已导致 230,954,151 份医疗记录丢失、被盗、暴露或不允许披露。 这相当于美国人口的 69.78% 以上。 2019年，每天报告的医疗健康数据泄露事件达1.4 起。
根据2021年1月5日发表在《Health IT Security》上的一篇文章，自2020年
11月以来，针对医疗实体的网络攻击增加了45%。根据Check Point和Fortified
Health Security的报告，按照这个比率，该行业占所有数据泄露报告事件的79%。
Check Point的研究为该行业目前面临的最大威胁提供了新的分析。在联邦
机构就医疗服务提供商面临的勒索软件威胁发出告警后不久，研究人员发现
攻击事件增加了45%，是其他行业的两倍多。

这些威胁包括僵尸网络、远程代码执行和DDoS攻击，其中勒索软件攻击增幅最大。Check Point强调，恶意软件是医疗健康提供商面临的最大威胁。
这些信息证实了我们的论点，医疗健康行业面临着与其他行业不同的重大挑战，即：
供足够的医疗健康服务将会收集大量敏感数据，这些数据比其他行业具有更大的长期风险。此外，与可以访问和利用的其他类型的数据相比，这些数据本质上对黑客更具吸引力。 因此，可能会对成功受到攻击的组织产生一系列负面影响，例如： 监管机构（例如美国的 HHS、FDA 和欧盟和欧洲经济区的GDPR）处以巨额罚款/处罚或采取法律诉讼； 此外，患者和社会的信心丧失，所涉组织的声誉也受到损害。
从风险的角度来看，无法完全减轻未来受到损害的可能性。 例如，在金融服务中，可以取消信用卡并关闭银行账户。 在医疗健康领域，患者的私人数据可以在无休止的欺诈和滥用循环中重新出售、回收和再利用！
更糟糕的是，患者可能永远不会意识到与他们的数据相关的欺诈行为！如果没有改进和更有效的干预措施，结果是可想而知且令人担忧的。
随着更敏感的医疗健康和相关个人数据迁移到云端，受独立提供商和市场新进入者增长的刺激，目标数量将增长，并且数据量将呈指数级增长。
全球患者将继续来到美国寻求只有在美国才能获得的出色医疗健康服务。 这就产生了来自欧盟的合规负担——通用数据保护条例，又名GDPR。此类活动引发了两项监管要求。根据美国 HIPAA 要求，定期风险评估必须记录这些跨境数据流的存在，而根据欧盟的 GDPR，必须记录实现合规所需的数据保护要求。 此外，随着英国于2021年1月1日退出欧盟，根据英国脱欧协议，英国目前存在的 GDPR 肯定会进行修改。
医疗健康也是管理供应链风险的一项研究。 组织不应天真地认为他们不必担心安全性，因为他们正在迁移到云。 根据 HIPAA的规定，供应商继续负责完成和记录企业风险评估，包括与外包给第三方相关的风险，尤其是第三方的第N方可能随后负责选定的安全和隐私控制的操作。现在，比以往任何时候都更需要一个安全公理，那就是组织是强大的取决于其最薄弱的环节是“强大”的，这是所有供应商尽职调查的精神和实践中的一个口号。
我们观察到，采用云服务的组织开始意识到，随着每个新 CSP 的采用，他们实际上已将其企业扩展为“云中某处”的另一个实体。 一个他们对其运营的控制措施有限，甚至可见性更低的实体，但仍然对持续运营、有效性能、适当的安全性、隐私和所有相关的法规遵从性要求负全部责任。虽然并非不可能，但如果没有深入的规划、持续的警惕和对整个供应链提供的技术服务的掌握，成功也不是必然的。这些新挑战可能会给那些试图平衡患者护理和在全球大流行病中运营的组织带来相当大的预算和培训负担。
解决医疗健康领域的网络安全和云技术技能差距。 进入2021年，大多数医疗健康组织面临的最普遍挑战之一将是掌握技能提升和新技能要求，以满足数字化转型和云技术平台的独特需求，包括治理、风险、合规性、安全性和隐私保护

医疗健康网络安全手册 下载地址

CSA 医疗健康网络安全手册 在线下载,免费下载 - 安全报告 · CSA · github5安全文库

友情链接

GB-T 30276-2013 信息安全技术 网络安全漏洞管理规范