在醫(yī)療行業(yè)，數(shù)據(jù)泄露很常見(jiàn)，而且代價(jià)高昂。根據(jù) IBM 的《2023 年數(shù)據(jù)泄露成本報(bào)告》，屬于醫(yī)療范疇的兩個(gè)垂直行業(yè)——醫(yī)療保健和制藥——位居數(shù)據(jù)泄露平均成本最高的列表之首。

醫(yī)療行業(yè)位居損失最慘重的數(shù)據(jù)泄露的首位可能并不令人意外。憑借其敏感且有價(jià)值的數(shù)據(jù)資產(chǎn)，它是最受攻擊的行業(yè)之一。制藥行業(yè)位居第三可能更令人驚訝。

數(shù)據(jù)安全風(fēng)險(xiǎn)高

針對(duì)制藥行業(yè)的攻擊不像醫(yī)療保健、金融或零售行業(yè)那樣廣為人知。然而，制藥與醫(yī)療保健有很多相似之處。除了患者信息外，制藥公司的網(wǎng)絡(luò)基礎(chǔ)設(shè)施還托管公司專(zhuān)有數(shù)據(jù)，例如藥物專(zhuān)利的知識(shí)產(chǎn)權(quán)、臨床試驗(yàn)結(jié)果、制造物聯(lián)網(wǎng)和 OT 設(shè)備以及有關(guān)研究主題的信息。針對(duì)該行業(yè)的攻擊可能會(huì)擾亂重要的研究或清除門(mén)診處方記錄。

盡管數(shù)據(jù)泄露沒(méi)有什么好處，但有跡象表明制藥行業(yè)在網(wǎng)絡(luò)安全方面正在采取正確的措施。制藥違規(guī)造成的損失從 2022 財(cái)年的 501 萬(wàn)美元下降到 2023 財(cái)年的 482 萬(wàn)美元。檢測(cè)（189 天）和遏制（66 天）所需的時(shí)間比全球平均 204 天要快。識(shí)別并遏制 73 天。

制藥數(shù)據(jù)泄露最常見(jiàn)的根本原因是惡意攻擊 (45%)、人為錯(cuò)誤 (28%) 和 IT 故障 (27%)。威脅行為者正在使用網(wǎng)絡(luò)釣魚(yú)、泄露的憑據(jù)和云錯(cuò)誤配置作為選擇的攻擊媒介。數(shù)據(jù)存儲(chǔ)位置也很重要。本地存儲(chǔ)和私有云被破壞的頻率低于公共云，但那些使用多云環(huán)境的組織是最不安全的，而且這種環(huán)境的破壞成本最高。

合規(guī)性和法規(guī)

任何數(shù)據(jù)泄露的成本都受到行業(yè)必須遵守的合規(guī)法規(guī)數(shù)量的影響。根據(jù)《數(shù)據(jù)泄露成本》報(bào)告，如果一個(gè)行業(yè)受到嚴(yán)格監(jiān)管，則其 58% 的數(shù)據(jù)泄露成本在第一年后會(huì)繼續(xù)累積。

制藥行業(yè)被認(rèn)為是一個(gè)受到高度監(jiān)管的行業(yè)。健康保險(xiǎn)流通和責(zé)任法案 (HIPAA) 可能是最引人注目的，但醫(yī)療保健信息和管理系統(tǒng)協(xié)會(huì)發(fā)現(xiàn)網(wǎng)絡(luò)安全專(zhuān)業(yè)人員缺乏 HIPAA 合規(guī)性培訓(xùn)。這種疏忽進(jìn)一步增加了安全風(fēng)險(xiǎn)。

FDA還制定了新的指南來(lái)確保醫(yī)療設(shè)備的網(wǎng)絡(luò)安全。設(shè)備和藥品的制造流程應(yīng)遵循良好制造規(guī)范的規(guī)定，供應(yīng)鏈必須采用良好的分銷(xiāo)規(guī)范。由于生物制造屬于制藥業(yè)，因此公司還必須遵守《國(guó)防授權(quán)法》。由于許多制藥公司在各州和全球各地設(shè)有工廠、研究設(shè)施和辦事處，因此他們有責(zé)任遵守所有當(dāng)?shù)氐姆詈头ㄒ?guī)。

這只是行業(yè)必須遵守的法規(guī)的一個(gè)示例。網(wǎng)絡(luò)安全在許多不同的監(jiān)管領(lǐng)域中占據(jù)著更高的優(yōu)先地位。未能滿足合規(guī)性可能會(huì)導(dǎo)致許可證暫?；蛑刈镏缚?，以及巨額罰款。同樣，這些處罰可以在多個(gè)州或國(guó)家征收，具體取決于違反規(guī)則的地點(diǎn)和方式。

藥品安全解決方案

人工智能是當(dāng)下的流行語(yǔ)，每個(gè)人都想加入人工智能的行列。然而，制藥行業(yè)已經(jīng)在其安全工具和自動(dòng)化中利用人工智能，40% 的公司表示他們廣泛使用該技術(shù)。人工智能是制藥公司 OT 和物聯(lián)網(wǎng)環(huán)境中特別有用的安全工具。

雖然其他安全實(shí)踐（例如應(yīng)用 IBM Security Guardium等系統(tǒng)來(lái)保護(hù)混合云和多云環(huán)境，或采用 DevSecOps 方法將安全性構(gòu)建到軟件和硬件開(kāi)發(fā)中）是任何網(wǎng)絡(luò)安全計(jì)劃的必要組成部分，但預(yù)計(jì)制藥行業(yè)將使用自動(dòng)化和人工智能的領(lǐng)導(dǎo)者，特別是構(gòu)建生成式人工智能，以更好地分析異常數(shù)據(jù)并發(fā)現(xiàn)網(wǎng)絡(luò)中的入侵者。