在物聯(lián)網(wǎng)的世界里，虛擬和物理領(lǐng)域正變得越來越緊密?；ヂ?lián)網(wǎng)連接的速度超過了企業(yè)的安全能力。

[[325254]]

因此，網(wǎng)絡(luò)犯罪的一大驅(qū)動(dòng)因素是醫(yī)療信息技術(shù)世界中最不受保護(hù)的網(wǎng)絡(luò)和系統(tǒng)——建筑自動(dòng)化，或稱智能建筑技術(shù)。

例如，黑客進(jìn)入零售商的互聯(lián)網(wǎng)連接的HVAC系統(tǒng)，從Target那里竊取了4000萬個(gè)信用卡號(hào)。在另一個(gè)示例中，黑客通過網(wǎng)絡(luò)連接的魚缸訪問了北美數(shù)據(jù)庫。

這些場(chǎng)景揭示了運(yùn)營技術(shù)，如標(biāo)識(shí)、電梯、AV會(huì)議、暖通空調(diào)等，可能會(huì)給醫(yī)療機(jī)構(gòu)帶來嚴(yán)重的安全風(fēng)險(xiǎn)。

獨(dú)特的有價(jià)值的數(shù)據(jù)

TEKsystemsGlobalServices執(zhí)行董事馬修·埃利希(MatthewEhrlich)表示：“與其他行業(yè)相比，醫(yī)療服務(wù)提供商組織中的信息--病人健康信息(PHI)、支付卡信息(PCI)、知識(shí)產(chǎn)權(quán)(IP)等等--對(duì)黑客來說具有獨(dú)特的價(jià)值，這就是為什么迄今為止我們看到人們?nèi)绱岁P(guān)注醫(yī)療保健領(lǐng)域的網(wǎng)絡(luò)安全。”TEKsystemsGlobalServices是一家專門從事網(wǎng)絡(luò)安全的數(shù)字技術(shù)開發(fā)商。

他繼續(xù)說：“但是，我們看到的問題是，大多數(shù)保護(hù)醫(yī)療保健提供者的努力都屬于IT政策的保護(hù)范圍。”通過將網(wǎng)絡(luò)威脅限制為僅IT策略，組織就可以忽略公司的主要漏洞和風(fēng)險(xiǎn)。傳統(tǒng)上，建筑系統(tǒng)并不屬于IT領(lǐng)域，但是它們具有廣闊的技術(shù)生態(tài)系統(tǒng)，必須對(duì)其進(jìn)行評(píng)估和治理。”

他補(bǔ)充說，這些被稱為運(yùn)營技術(shù)的技術(shù)系統(tǒng)是原始的，而且通常管理不善，這使它們成為滲透到醫(yī)院主要網(wǎng)絡(luò)的成熟目標(biāo)。

醫(yī)療保健行業(yè)有許多不同的建筑系統(tǒng)存在網(wǎng)絡(luò)安全漏洞。傳統(tǒng)的商業(yè)建筑在操作技術(shù)方面存在漏洞，比如HVACs、火災(zāi)報(bào)警系統(tǒng)、數(shù)字標(biāo)牌、電梯、水表或電表、照明等等。所有這些漏洞也適用于醫(yī)療機(jī)構(gòu)。

非傳統(tǒng)技術(shù)

“但是，醫(yī)療保健提供者也具有如此獨(dú)特的房地產(chǎn)類型，從小型門診設(shè)施到復(fù)雜的1000多張病床醫(yī)院，實(shí)驗(yàn)室，停車場(chǎng)，藥房等等，”Ehrlich解釋說。“每種類型都帶來了大量非傳統(tǒng)技術(shù)支持和獨(dú)立的供應(yīng)商生態(tài)系統(tǒng)。”

以實(shí)驗(yàn)室為例：除了訂購系統(tǒng)，還有安全的房間/門、溫度控制室、血庫、特殊照明等。這一概念為醫(yī)療物聯(lián)網(wǎng)(IoMT)奠定了基礎(chǔ)，這是醫(yī)療保健組織需要關(guān)注的新興領(lǐng)域。

那么，醫(yī)療保健CIO和CIO可以采取哪些步驟來分析、設(shè)計(jì)、評(píng)估和實(shí)施智能建筑解決方案計(jì)劃，以保護(hù)自己免受黑客攻擊，從而獲得更重要的信息，如主網(wǎng)絡(luò)或電子健康記錄系統(tǒng)?

Ehrlich說："首先，醫(yī)療保健提供商應(yīng)該采取協(xié)作方式來解決這個(gè)問題——IT不能單獨(dú)擁有這一問題。同樣，風(fēng)險(xiǎn)組織也不能擁有這一點(diǎn)。風(fēng)險(xiǎn)、房地產(chǎn)、金融、運(yùn)營、IT和臨床需要之間的協(xié)調(diào)努力，以確保端到端政策的實(shí)施。

Ehrlich指出，初步評(píng)估是第一步，教育和了解風(fēng)險(xiǎn)可以產(chǎn)生巨大的投資回報(bào)率。他說，在修復(fù)了任何漏洞并建立了策略后，醫(yī)療服務(wù)提供商需要一種方法來監(jiān)控和管理正在進(jìn)行的運(yùn)營，因?yàn)榧夹g(shù)和供應(yīng)商格局正在不斷變化。

極度缺乏意識(shí)

他說:“大多數(shù)醫(yī)療行業(yè)領(lǐng)導(dǎo)者都意識(shí)到，一個(gè)企業(yè)可以從‘智能建筑’中獲益。”“但如今，人們對(duì)醫(yī)療保健領(lǐng)域存在的不斷上升的風(fēng)險(xiǎn)認(rèn)識(shí)極度匱乏，這些風(fēng)險(xiǎn)存在于現(xiàn)有的基礎(chǔ)設(shè)施中，比如電梯或HVACs等非常簡單的設(shè)施，更不用說像‘智能房間’這樣更具創(chuàng)新性的主題了。”我們擔(dān)心，由于缺乏教育和緊迫性，這個(gè)問題可能會(huì)在好轉(zhuǎn)之前變得更糟。”

在過去的十年中，整合的EHR、ERP和CRM的開發(fā)/實(shí)現(xiàn)產(chǎn)生了高級(jí)的分析，數(shù)據(jù)量是難以想象的。Ehrlich說，這樣一來，通過一個(gè)關(guān)鍵領(lǐng)域(建筑物系統(tǒng)漏洞)，對(duì)該數(shù)據(jù)的訪問就越來越多。