医疗网络安全的现状与挑战

关键要点

本年度，美国医院面临破产的比例达到了历史新高，这使得医疗领域长期面临的财务约束进一步加剧，不同医院之间的“网络化富者与穷者”差距加大。在2022年HIMSS网络安全论坛上，加州大学圣地亚哥分校的医生ChristianDameff表示：“我们可能只占1%的网络富者。”

此次论坛深入探讨了先进技术及网络安全方案的细微差别，旨在提升网络弹性。但“谁又在这个房间之外呢？”他问道，许多医院和提供商的声音没有被听到，无法向有能力帮助他们的行业领袖表达他们的具体困境和问题。

Dameff与范德比尔特大学Owen工商学院院长M. Eric Johnson、ChristianaCare首席信息安全官AnahiSantiago以及乔治华盛顿大学网络安全与隐私研究所所长Costis Toregas共同探讨了资源和知识的差距所带来的风险及可能的解决方案。

对于缺乏网络保险覆盖的小型医院而言，可能存在的最大鸿沟。

各行业均面临网络保险保费上涨及可能失去保险覆盖的忧虑，而医疗行业则面临最大挑战。Santiago指出，医疗行业的保费平均上涨约为103%，而其他行业的增幅略低于40%。

作为网络富者的ChristianaCare，在今年年初经历了续保过程，其中的流程和费用发生了巨大变化。

“我在医疗网络安全领域工作了18年，见证了问卷从一页纸变成三页纸，加上补充问题，以及三个月中的多次电话联络。”Santiago解释道。

“基于相对健康的预算，我们能够在保费上仅增加46%，而不是103%。”Santiago补充道。现实是，“基于所要求的内容，我知道99%的其他医疗机构无法承担这些投资。”

正如《SC媒体》之前报道，网络保险的巨大变化意味着在申请过程中增加了更多审查。这种难以忍受的现状将影响到大多数无法承担所需技术投资和保费的医疗提供商。

与此同时，这些组织面临着“更大的遭受泄露的风险”。Santiago表示，如果他们的系统遭受袭击，“他们可能无法从这些破坏中恢复过来，因此可能会破产或关闭。”

这些组织大多位于医疗十分重要的关键接入区域或服务不足的社区，Santiago补充道。由于这一日益加剧的财务危机，可能会导致患者面临医疗服务的不足。

对于Toregas来说，“小型医院及99%的提供者在地方层面的一项第二策略是自我保险。”

这些实体可以通过创建自我保险池来集中风险，以“找到前进的方式。这并不减轻保险公司对实体所施加的责任，但领导要开始采取行动，因为否则我看不到前进的办法，除了灾难。”

数据不足和缺乏事件透明度只在加大差距，同时提高了网络保险的保费和覆盖要求。“因为我们缺乏做出有根据的精算决策的数据。”Toregas指出。

医疗机构在网络事件或数据泄露后通常保持沉默，发布的通知往往经过精心修饰，省略了能为其他行业提供帮助的细节。相比之下，爱尔兰健康服务执行局的网络攻击事后总结提供了详细的错误及攻击者入侵点信息，这可以显著帮助其他机构构建高效的防御体系。

“医疗行业必须开始与关心保险的人进行沟通。”Toregas表示。

值得注意的是，缺乏网络资源的不仅仅是小型机构，实际上，由于其攻击面有限，它们可能在网络防护方面表现较好。Johnson指出，“我们目前研究中的最薄弱环节是一些中型医院。”

“它们足够大，能够进入雷达视线，拥有品牌和足够大的攻击面让攻击者感兴趣。”他补充道