畢馬威：是誰在威脅醫療數據的安全，又該如何解決？

　　醫療行業的數據互聯能幫助實現治療的成功，也可提高醫療質量和藥品的效率。但與此同時，數據互聯的風險也很大。隨著醫療信息網絡化的日益深入，隨之而來的各種犯罪活動也開始變得異常猖獗。

　　尤其在當今這個信息化的時代，醫療行業的信息保護手段遠遠落后于其他行業，如使用著過時的臨床技術、互聯醫療設備的安全性欠佳、以及整體上缺乏信息安全管理流程等等。有些醫療機構可能還沒有意識到黑客行為的復雜性，以及他們滲透患者機密數據的網絡手段。

　　如今，醫療網絡攻擊的本質、深度和后果都發生了變化，如果醫療機構不與時俱進，更新自身的信息安全水平，必將遭受嚴重損失：不只在經濟上，而且還可能會威脅到患者的生命。

　　根據2015年畢馬威會計師事務所對223位醫療行業高管進行的網絡安全調查統計，81%的受訪者表示，他們所在機構在過去2年中至少受到了1種惡意軟件的侵害，如僵尸網絡(BotNet)或者其他網絡攻擊。事實上，只有一半的受訪者認為自己已經為預防網絡攻擊做好了足夠的準備。那么，在這場與黑客曠日持久的醫療信息保衛戰中，究竟有哪些迫在眉睫的關切點，又有哪些可行的解決措施呢?動脈網摘編了畢馬威的調查報告，帶您一探究竟。

　　畢馬威醫療網絡安全報告指出，醫療機構正面臨著的安全威脅有：

　　患者記錄的數字化和臨床系統的自動化。

　　使用未達到當今網絡安全標準的陳舊電子病歷(EMR)和臨床應用程序;且軟件商將此問題推給了醫療提供者。

　　在內部(筆記本電腦、移動設備、拇指驅動器)和外部(第三方、云服務)都能輕易地查詢到受保護的電子健康信息(ePHI)。

　　網絡系統和應用程序的異質性。

　　威脅環境正在不斷變化，當今的網絡攻擊更加復雜，加上資金充足，其獲取的相關數據在黑市上的價值不菲。

　　對于醫療機構和保險公司而言，網絡安全最需關注的是來自外部的攻擊。畢馬威調查指出，外部攻擊者和第三方是醫療機構最脆弱的軟肋，而最大的威脅則是惡意軟件和HIPAA違規行為。(詳見下表)

　　調查指出，網絡信息日漸豐富的同時，威脅也在成倍增長，但意圖或已經花費在保護信息安全上的支出卻沒有隨之進行調整。

　　由于有不同優先級的劃分，當涉及安全漏洞時，保險公司和醫療機構有著不同的關注點。對于醫療機構而言，執法監管或訴訟等問題會讓已經微薄的利潤更加捉襟見肘。對于投資，大多數醫療機構顯得十分為難;如果醫院只有100萬美元，比起數據保護，它可能更愿意把錢花在患者護理和治病救人上。”

　　而保險公司往往是在多個司法管轄區內經營的大型上市企業。它們主要關注的是可能會影響股東財政損失或抑制增長計劃的負面名譽影響。(詳見下表)

　　■醫療機構尚不能有效應對網絡安全威脅

　　醫療機構并不像金融服務等部門那樣常常成為黑客的目標。正因如此，醫療機構的管理層也就沒有像其他與網絡攻擊斗爭經驗豐富的部門那樣，會嘗試追蹤網絡威脅的來源。畢馬威的調查顯示，在過去一年中，僅有13%的受訪者表示曾對網絡漏洞進行每日追蹤，38%的追蹤次數為50~350次，而44%的只有1~50次。

　　這表明，大多數醫療機構并不能有效地對網絡威脅進行追蹤、報告和管理，缺乏成熟的意外和漏洞管理流程，日常的網絡攻擊往往得不到任何處理。畢馬威的一家客戶在實施了有效的安全運營中心(SOC)后，網絡事件和漏洞報告增加了1000%，而這很可能是因為該機構之前完全無法得知網絡攻擊的存在。事實上，調查中25%的受訪者說，根據該機構現有的保護系統，他們沒有或不知道自己是否有這個能力，在其系統受到損害時，能實時檢測出來。

　　■抵御網絡攻擊的關鍵是要做好準備

　　即時管理和即時響應非常微妙，它包含調查、追蹤和消除網絡威脅，以及溝通和向公眾和監管機構報告等內容。而一些醫療機構報告漏洞的行為速度過快，甚至是在還沒弄明白威脅從何而來、誰是攻擊者、系統的哪些部分已被破壞等情況之前。因此往往適得其反，反而加大了自身的損失。

　　畢馬威的調查顯示，在過去一年中，各地的管理層(85%的受訪醫療機構和89%的受訪保險公司)已經針對網絡安全進行了諸多討論，但許多醫療機構尚未采取必要措施來為對抗網絡威脅做好準備。

　　在人力資本方面，19%的醫療機構沒有指定一名高管全權負責信息技術安全，而保險公司的數據則為8%;25%的醫療機構沒有設立信息安全運營中心以識別和評估威脅，而保險公司的數據則為20%。在日后的網絡攻擊應對工作中，應當首先對以上二者進行完善。

　　■網絡安全投資分布

　　雖然大多數的受訪醫療機構已經增加了網絡安全支出，并在過去的一年中加大了網絡安全投資，可投下的錢在許多領域并沒有帶來足夠的安全性。這或許是因為醫療機構低估了網絡威脅的增加量，使得投資的比例相對不足。

　　投資網絡安全的水平和能力之間的差異，是購買力與自身能力不匹配的結果。如果網絡安全投資不是一個協調一致戰略的一部分，那么其支出往往會造成更多的浪費。

　　■結論

　　綜上所述，醫療網絡安全需要一種全新的方法來推進，具體如下：

　　通過戰略設計，在前期結合網絡安全的技術和網絡架構。由于許多企業已經實現了互聯互通，其自身的控制能力相應降低，需要重新設計和開發安全實施計劃。網絡安全投資應成為一個協調數字化戰略的一部分。

　　精心籌備協調的網絡安全團隊和信息安全運營中心。任命一名高管全權負責信息技術安全，并通過安全運營中心加強即時監控功能。需要涵蓋的其他領域包括管理漏洞并與各部門進行溝通。

　　提高各層級的網絡安全意識和能力。網絡安全是經營風險，也是技術風險。因此，網絡安全人員需要精通以上兩方面。雖然行政管理層一般只需要意識到問題的存在，但如果董事會成員能有懂行的人，并能夠幫助進行管理，也是十分重要的。

　　以開闊的視野實施網絡安全策略。通過與各種業務伙伴的合作，醫療機構實際上實現了價值鏈的擴展。第三方載體增加了網絡安全風險，但關鍵是要了解多個第三方載體合用時的固有風險，并確定那么必須要修復的風險。