尼克尔|医疗行业面临哪些数据安全管理短板？尼康

【尼克尔|医疗行业面临哪些数据安全管理短板？】

文章图片

文章图片

近年来，医疗机构的安全事件变得越来越普遍。据相关数据显示，针对医疗机构的勒索软件攻击在短短一年内增加了94% 。
此外，全球各地的网络犯罪分子每天发送34亿封网络钓鱼邮件，而美国医疗机构是主要目标。其中， 61%的受访者报告称他们支付了赎金，这一比例高于任何其他行业。

不同于其他大部分行业“只有海量数据才具有价值” ，医疗行业的单条数据价值就非常大。因此，在利益的驱动下，保险、银行、药厂、保健等机构不断瞄准医疗数据以获得最大收益，这间接导致不法分子非法获取大量医疗数据，并在黑市进行交易。
据IBM 安全事业部在 2019 年发布的一项年度调研结果中表明，医疗保健组织已经连续第 9 年蝉联数据泄露损失排行榜冠军，平均损失接近 650 万美元，高出其他行业总体平均值的 60% 。

以国内医疗行业为例，仅就勒索软件攻击而言，针对医疗机构的攻击正在不断增加。根据腾讯智慧安全发布的《医疗行业勒索病毒专题报告》显示，在全国三田医院中，有247家医院检出了勒索病毒，以广东、湖北、江苏等地区检出勒索病毒最多。
据了解，医疗机构的数据安全主要存在这些安全隐患：第一，社会工程学攻击，黄牛以抢号、刷号为由骗取患者个人信息；第二，安全漏洞威胁，黑客利用网站、设备、系统等漏洞获取医疗数据；第三，内部信息泄露，医疗卫生行业人员向外部人员提供病患、用药等信息。

另外，在整个2022年，国内外仅因勒索软件攻击造成的医疗机构安全事件保守估计至少百起以上， HIMSS的一份调研数据显示，原因在于绝大多数医疗机构面临老旧设备与操作系统不受最新安全解决方案的支持。
例如，医疗环境中与loT相关设备的安全威胁处理能力严重不足，有数据显示，医院53%的联网医疗设备和其他loT设备存在已知的严重漏洞。更加严重的是，医疗机构各部门在处理与疫情相关的危机时仍然捉襟见肘，以至于常规安全措施可能会半途而废，这可能是人力的问题，或者直接就是成本方面的问题。
故而，医疗行业在安全管控这方面也存在一些短板：
一是安全人员数量及能力不足。医疗机构的信息化业务、系统、软硬件数量非常庞大，远超其他行业，但技术人员较少，尤其专职的安全人员以及数据安全管理运营人员，且相关人员在信息安全方面的专业技能严重不足。

二是安全管理手段及力度不足。医疗行业中，大多数业务系统及安全运维措施都由第三方供应商的有关人员进行维护。但这也导致安全风险不断外延，如第三方人员经常通过认证不足、不安全的远程方式接入内网开展运维，而医院对以上接入过程操作缺乏精细化的管控手段。而且，一旦发生信息泄露事件，医院也很难对数据泄露事件进行有效溯源、明确多方责任，甚至难以平息事件的影响。
三是数据安全治理意识及手段不足。相比其他行业，医疗行业的网络安全体系化能力较为薄弱，数据安全层面的能力也处于传统数据安全产品的堆叠阶段，如数据防泄漏、数据脱敏等。随着智慧医疗的广泛推进，医疗行业面临的数据安全风险和问题将越发突出，现有的安全能力及安全投入都难以应对当下严峻的安全形势。