最近，全球醫(yī)療保健機(jī)構(gòu)遭受的網(wǎng)絡(luò)攻擊令人震驚。當(dāng)然，其他機(jī)構(gòu)也是大規(guī)模入侵的目標(biāo)，尤其是在關(guān)鍵基礎(chǔ)設(shè)施領(lǐng)域。然而，就醫(yī)院和診所而言，任何安全漏洞都可能導(dǎo)致死亡，而不僅僅是經(jīng)濟(jì)損失。

眾所周知，這也是一個(gè)對(duì)系統(tǒng)、網(wǎng)絡(luò)以及物聯(lián)網(wǎng)/醫(yī)療物聯(lián)網(wǎng) (IoMT) 設(shè)備保護(hù)水平較低的行業(yè)。一份由 Ponemon Institute 和 Cynerio 聯(lián)合編寫的報(bào)告基于 517 位在美國(guó)醫(yī)院和衛(wèi)生系統(tǒng)中擔(dān)任領(lǐng)導(dǎo)職務(wù)的醫(yī)療保健專家提供的數(shù)據(jù)，其中列出了醫(yī)療保健機(jī)構(gòu)及其專業(yè)人員面臨的最常見(jiàn)風(fēng)險(xiǎn)。

超過(guò)一半的受訪者組織 (56%) 在過(guò)去 24 個(gè)月中經(jīng)歷過(guò)一次或多次涉及醫(yī)療物聯(lián)網(wǎng)/物聯(lián)網(wǎng)設(shè)備的網(wǎng)絡(luò)攻擊，在此期間平均遭受12.5次攻擊。由于入侵，45% 的受訪者報(bào)告了對(duì)患者護(hù)理的不利影響，其中53%的受訪者(總體為24%)報(bào)告了導(dǎo)致死亡率增加的影響。

事情也可能會(huì)變得更糟，研究中發(fā)現(xiàn)的另一個(gè)事實(shí)是，攻擊者經(jīng)常進(jìn)行長(zhǎng)期操作并重復(fù)攻擊。在上述 56% 的受訪者中，他們?cè)谶^(guò)去 24 個(gè)月中至少遭受過(guò)一次網(wǎng)絡(luò)攻擊，其中 82% 在此期間平均遭受了四次或更多次攻擊。特別是，勒索軟件攻擊的發(fā)生率幾乎相似，43%的受訪者經(jīng)歷過(guò)一次攻擊，76%的受訪者平均經(jīng)歷過(guò)三次或更多次攻擊。

說(shuō)到勒索軟件，醫(yī)院越來(lái)越多地考慮支付贖金來(lái)作為加快數(shù)據(jù)恢復(fù)的可行選擇——47%經(jīng)歷過(guò)此類攻擊的組織最終支付了贖金，32% 的支付贖金金額在 250,000 美元到 500,000 美元之間。那些沒(méi)有支付贖金的組織通常將他們的決定歸因于有效的備份策略(53%)和公司政策(49%)。

轉(zhuǎn)售患者數(shù)據(jù)仍然具有價(jià)值，43%的受訪者表示在過(guò)去24個(gè)月中至少經(jīng)歷過(guò)一次數(shù)據(jù)泄露。其中，65% 在此期間平均經(jīng)歷了 5 次或更多數(shù)據(jù)泄露，其中 88% 涉及物聯(lián)網(wǎng)/醫(yī)療物聯(lián)網(wǎng)設(shè)備。參與調(diào)查的組織估計(jì)，涉及該物聯(lián)網(wǎng)/醫(yī)療物聯(lián)網(wǎng)設(shè)備的最大數(shù)據(jù)泄露的平均成本為1300萬(wàn)美元，包括直接成本、間接成本和商業(yè)機(jī)會(huì)損失。

主要原因

缺乏安全性的一個(gè)原因是缺乏明確的責(zé)任。當(dāng)受訪者被問(wèn)及哪些高級(jí)管理人員主要負(fù)責(zé)確保高危設(shè)備的安全時(shí)，沒(méi)有一個(gè)高級(jí)管理人員的答案超過(guò)18%。即使是排名靠前的答案也各不相同，包括首席信息官/首席技術(shù)官 (18%)、運(yùn)營(yíng)主管 (14%)、首席信息安全官/首席安全官 (14%) 和網(wǎng)絡(luò)主管 (11%)。

當(dāng)談到物聯(lián)網(wǎng)/醫(yī)療物聯(lián)網(wǎng)設(shè)備產(chǎn)生的安全風(fēng)險(xiǎn)級(jí)別時(shí)，71% 的受訪者將其評(píng)為高或非常高，但只有21%的受訪者表示處于網(wǎng)絡(luò)安全主動(dòng)措施的成熟階段。在大約一半的情況下(46%)，對(duì)設(shè)備進(jìn)行了基本驗(yàn)證，但三分之二的受訪者（67%）沒(méi)有跟蹤結(jié)果報(bào)告。

好消息是，預(yù)算持有者一直在爭(zhēng)取更多資源來(lái)保護(hù)他們的環(huán)境。據(jù)估計(jì)，本財(cái)年典型的IT投資平均為1.45億美元，其中17%集中在安全性上。在安全支出中，平均20%用于物聯(lián)網(wǎng)/醫(yī)療物聯(lián)網(wǎng)設(shè)備。

與醫(yī)療保健以外的其他行業(yè)一樣，攻擊者也利用了諸如人員短缺和物聯(lián)網(wǎng)/物聯(lián)網(wǎng)設(shè)備安全領(lǐng)域知識(shí)匱乏等弱點(diǎn)。受訪者表示最擔(dān)心的物聯(lián)網(wǎng)和其他連網(wǎng)設(shè)備的主要威脅包括：缺乏對(duì)物聯(lián)網(wǎng)網(wǎng)絡(luò)的可見(jiàn)性(45%)、網(wǎng)絡(luò)釣魚(yú)(45%)、零日攻擊(41%)和勒索軟件(39%)。