医院面临网络攻击的风险。 这是我们能做的事情 意见

时间:2019-07-20
作者:木膀

本文最初出现

像任何一家大公司一样,现代医院有数百甚至数千名工人使用无数计算机,智能手机和其他安全漏洞,数据盗窃和勒索软件攻击的电子设备。 但医院在两个重要方面与其他公司不同。 他们保存医疗记录,这是最 。 许多医院电子设备帮助患者保持活力,监测生命体征,给予药物治疗,甚至为最恶劣条件下的人呼吸和抽血。

医疗集团2013年的一次数据泄露事件导致并导致联邦监管机构罚款750,000美元。 2015年,包括多家医院在内的显示,攻击者访问了其网络的一部分,处理了 。 网络攻击可以中断 ,关闭急诊室并取消手术。 例如, 扰乱了的 ,导致取消任命和运营。 这些问题是医疗保健行业 。

nhs cyberattack ransomware patients doctors hospitals 2014年11月24日,在伦敦市中心举行的NHS(国民健康服务)工人罢工期间,一名武装部队成员穿过圣托马斯医院急症室外的救护车入口.NHS受到重大打击网络攻击,影响医院,医生和患者。 REUTERS / Andrew Winning

保护医院的计算机网络对于保护患者隐私甚至生命本身至关重要。 然而,最近的表明,医疗保健行业在保护其数据方面落后于其他行业。

我是麻省理工学院斯隆管理学院的系统科学家,有兴趣了解复杂的社会技术系统,如医疗保健中的网络安全。 我以前的学生和我和行业专家的 ,以确定医院如何管理网络安全问题。 我们发现,尽管人们普遍担心网络安全缺乏资金,但两个令人惊讶的因素更直接地决定了医院是否能够很好地防范网络攻击:使用中的电子设备的数量和种类以及员工角色如何与网络安全工作保持一致。

各种设备

医院网络安全面临的一个主要挑战是的 。 与许多企业一样,这些企业包括移动电话,平板电脑,台式电脑和服务器。 但他们也有大量患者和访客自带设备 - 包括联网医疗设备,以监控他们的健康状况并与医务人员沟通。 这些项目中的每一项都是将恶意软件注入医院网络的潜在入口。

医院官员可以使用软件确保 。 但即便如此,他们的系统仍然容易受到软件更新和新设备的攻击。 另一个关键的缺点来自于在竞争激烈的市场中运营的设备制造商提供的免费样品 。 在连接到医院网络之前,他们适当的安全 。 我们的一位受访者提到:

“在医院......有一个完整的地下采购流程,医疗设备供应商接近临床医生并免费为他们提供大量物品,最终进入我们的楼层,然后一年后我们就收到了账单。”

当新技术绕过购买和风险评估的常规流程时,不会检查它们的漏洞,因此它们会引入更多的攻击机会。 当然,医院管理人员应该平衡这些问题与新系统可以带来的患者护理改进。 我们的研究表明,医院需要更强大的流程和程序来管理所有这些设备。

员工买入

让医院管理者了解网络安全的重要性是相当简单的:他们告诉我们他们担心成本,机构声誉和监管处罚。 让医务人员参与可能会困难得多:他们说他们专注于病人护理,没有时间担心网络安全问题。

人们通常将网络安全保护视为他们想要完成的工作的次要保护。 我们采访的一个人描述了为什么一些员工犯了共享密码的主要网络安全罪:

“要使用超声波机器[需要密码,必须每90天更换一次]。 [工作人员]只想使用超声波机器。 它没有持有大量患者数据......所以他们创建了一个共享登录,以便他们可以提供患者护理。“

医院的需求可能会有很大差异,其方式可能会令人惊讶 - 例如访问可能携带恶意软件的网站。 一家研究医院的首席信息官告诉我们,

“我个人认为,对于医院支持的设备,硬核色情内容没有任何意义。 五年前我做了什么? 我提出了互联网内容过滤器,阻止人们浏览色情内容。 在五分钟之内,精神病学主任打电话告诉我,我们有资助在医疗环境中学习色情内容[所以我们必须修改我们的过滤器]。“

这些经验是我们得出结论认为预算限制对于医院网络安全不如员工参与那么重要的原因。 医院可以根据需要购买尽可能多的硬件和软件。 如果工人不遵守组织程序,该技术将无法保证医院的安全。 我们的研究表明,网络安全与管理人员和技术一样重要。

合规性不是安全性

正如一位首席信息安全官告诉我们的那样,威胁在全国范围内,并且越来越难以防御:

“攻击的性质越来越复杂。 曾经是我最大的威胁是...学生。 今天,它是由国家支持的攻击,恐怖主义和有组织犯罪。 这种威胁比以往任何时候都更加严重。“

不幸的是,许多医院管理人员似乎认为保护数据就像满足州和联邦法规一样简单。 但这些是不能充分解决威胁的最低标准。 正如我们的一位受访者所说,

“合规性很低。 我保证小型医疗机构和医院什么都不做(没有监管)。 他们会在货架上放一张纸,称为安全政策。 它需要作为一个支持让公司至少考虑它。 但遵守规定并不能解决更大的风险管理问题。“

我们的研究表明,医院需要超越合规性思考。 此外,由于很少有医院能够很好地防范网络攻击,所有医院作为潜在目标似乎更具吸引力。 我们认为,医院改善自身防御措施并不足以让监管机构提高标准。 他们应该管理并评估其网络上设备的安全性,并确保医务人员了解良好的网络卫生如何能够支持良好的患者护理。 此外,政策制定者,医疗保健领导者和医院本身应该共同努力,使整个行业不易受到威胁人们隐私和生命的攻击。

麻省理工学院斯隆管理学院研究员Mohammad S. Jalali。

对话