健康

健康是一种新型财富。我们的身体和心理健康会影响我们生活的方方面面——包括我们教育孩子、援助亲友和在职场上赢取成功的能力。我们的健康信息是极其私密的,除了信任的医疗人员外,这些最为私密的信息不应该被任何人所窥探。然而,正是医疗记录的这种敏感性,使其成为了老练的网络犯罪者觊觎的对象。其中增长型经济体尤其容易受到这种威胁。 网络犯罪者之所以将医疗行业作为目标,主要有两大原因:第一,医疗保健行业保存有大量珍贵的个人数据,能在黑市中卖个好价钱;第二,医疗保健行业当前的技术和流程充满了漏洞。个人健康数据的指数式增长来源于互联设备和网络的涌现。到2020年末,将有约40亿人通过医疗物联网实现互联。根据信息安全研究所(INFOSEC Institute)的数据,超过七成的医疗物联网设备缺乏基本的安全保障,因为其中的应用往往更注重软件的功能,而不是数据的安全。因此,医疗物联网向网络安全专家提出了前所未有的挑战,需要医疗保健体系中的各个利益相关方和服务提供者齐心协力,共同应对。 这是一场不断蔓延的战争。无论从数量、规模或是复杂程度上,网络攻击都在不断升级。CBI Insight的一份近期报告显示,“自2017年来,约有60亿份机密数字记录被从全球各地窃取。仅在过去两年中,就发生了至少三次独立的数据泄露事件,十亿份机密记录被同时窃取或公布。” 1   从偏僻乡村中的一台笔记本电脑,到不怀好意的政府赞助的精英专家团队,网络犯罪者可以从任何连接互联网的地方实施犯罪,而增长型经济体中那些尚未采用复杂精细的现代防护系统的医疗保健企业正在成为他们的首要目标。 在寻求方法对抗旷日持久、层出不穷的网络黑客威胁时,医疗保健业界、网络安全专家和政府必须正视以下五个不可否认的事实。 1. 医疗保健行业正被人虎视眈眈。   网络犯罪者的三大目标是电子健康记录、医疗保健基础设施和个人医疗记录。敏感信息已经成为现代社会的一种抢手商品。多个世纪以来,黄金、钻石和货币吸引着无数小偷大盗铤而走险,如今,信息也与它们一样,成为了地球上最珍贵的财产之一。信息越敏感、私密或具有破坏性,它蕴含的价值就越高。个人和群体的详细健康或疾病信息的价码甚至会达到难以想象的天文数字。     2018年7月,勒索软件对新加坡最大的医疗保健机构SingHealth发起了攻击,窃取了150万名患者的信息,其中就包括了该国总理李显龙,他被列为了此次攻击的一名特殊目标。网络犯罪者会持续不断地对医疗保健机构发起此类勒索软件攻击,而后者也会力求部署全面的防护策略。随着网络犯罪者和医疗保健机构针锋相对、互不相让,这种趋势只会愈演愈烈,就像银行和劫匪之间永无休止的斗智斗勇一样。2 2. 网络攻击可能会关乎生死。   健康信息隐私遭受的最令人担忧的威胁之一就是数据的完整性和可用性会受到严重影响。这些风险可能包括患者安全和健康危害、受保护健康信息(PHI)丢失和未经授权的数据访问。事实上,2013年《华盛顿邮报》就曾经报导称副总理迪克·切尼(Dick Cheney)的医生由于害怕其心脏起搏器被恐怖分子入侵而下令禁用起搏器的无线功能。3 有时候,医疗保健行业的网络犯罪甚至可能对医疗机构的品牌价值造成比重大经济损失更为严重的后果。虽然这样的说法是有争议的,但是担心无法获取自己至关重要的健康信息会带来一种强烈而合乎情理的不安感却是实际存在的。这种焦虑感也是个人信息拥有如此价值和能力的原因之一。数据安全漏洞会直接影响患者的身心健康,甚至导致死亡。摧毁医疗记录和劫持重要的药品处方会快速导致人员伤亡。通过窃取信息和引发公众恐惧,网络犯罪者能够以前所未有的方式来利用自己窃取的资产。这些犯罪可能会造成危及生命的后果,并且随时随地可能发生,这已经是无可辩驳的事实。 3. 数据泄露难以避免,而且可能是内贼所为。   网络黑客获得的金钱回报是非常丰厚的。不出意外,超过七成的医疗保健行业公司认为网络犯罪来自受到金钱驱使的犯罪者。然而,一名黑客坐在不知名城市的一间昏暗公寓中敲打键盘,或是居心不良的政府赞助的网络盗窃小组坐在一排朴素隔间中凝视电脑屏幕,网络犯罪的背后并不总是这种臆想中的画面。内部员工也是医疗保健机构的一大潜在威胁。每名员工都是普通人,无论他们是心怀不满、经济拮据,亦或是简单地没有意识到自己的行为会对安全协议带来何种影响,都可能成为腐败的契机。对于心怀不轨的内部员工而言,掌握安全漏洞、密码或是敏感信息的访问权,其巨大价值的诱惑力往往是他们难以抵抗的。 4. 健全的安全措施非常必要。   随着网络黑客不断寻求新的方法来渗入医疗保健机构和医疗保健体系利益相关方——包括互联医疗设备制造商构建的防护体系,这种猫鼠追逐和对抗将持续升级。如今的国际高科技罪犯非常坚决、精明而具有创造力。医疗保健机构必须比他们更胜一筹。尽管日益提升的网络安全意识已经开始动摇整个行业,但增长型经济体中的许多公司仍未设立和执行能提供综合管理和广泛监督的全面安全框架,其安全措施往往缺乏能够充分利用医疗专业人员、网络安全专家和各层政府决策者才智的综合方法。 要对抗网络犯罪者带来的动态、多变的威胁,就必须实现防御资源的无缝整合。所有经手健康数据的利益相关方都应当从被动网络防御转为主动网络防御。同时,医疗物联网的网络安全必须成为新一代医疗设备的主要议题之一。政府和决策者应当为设备制造商提供网络安全的指引和监管法案。医疗保健行业必须迅速制定和采用最佳实践、框架和架构,以便确保网络安全防护覆盖所有的医疗物联网。医院和医疗系统必须像银行保障旗下信用卡的安全性一样确保医疗设备的数据安全。 增长型经济体必须以得当的安全措施和网络安全政策来应对网络安全问题和做出表率。 5. 医疗保健机构也可以发起反击。   勒索软件和网络犯罪可以引起难以想象的混乱,但企业、社区和增长型经济体并非只能坐以待毙。只要齐心协力,他们就能建立起一个能够挫败最为顽强的黑客的系统、资产和协议网络。勤勉是其中的关键。在网络攻击尚未发生时,医疗保健行业必须防范于未然;在发生攻击后,必须灵活应对、减少损失。尽管许多医疗保健机构已经开始制定有效的安全策略,但能部署一个涵盖准备、预防、侦测、响应和恢复策略的完整计划的机构却少之又少。   医疗保健行业及其利益相关方必须采取与军队对待国防策略同等的严肃和强度来对待网络安全防御策略。例如,可以将诱骗技术作为一种有效激进的防御手段,通过欺骗攻击者来阻止攻击。此外,人工智能(AI)可以实时监控进出互联设备的流量,区分正常行为和异常行为——并在设备被犯罪网络、服务器或个人侵入或与其交互时通知网络安全人员。AI能够在恶意来源取得访问权和造成危害前实时主动地屏蔽该来源。优秀的网络安全策略应当能够主动拦截和预防攻击;毕竟,一旦设备被盗用,高级服务器被入侵,损失就已经形成。最后,医疗保健行业应当考虑采用其他创新防御措施,例如量子计算,提供全天候安全运作中心的网络安全作战室,以及能够充分利用技术、人力和流程的全面策略。 如需进一步了解网络犯罪者将如何威胁医疗保健机构,以及该行业应当如何自保,请阅读本白皮书。   1 为何说AI、区块链和强化加密代表了企业数据安全的未来 http://www.cbinsights.com/research/ai-blockchain-encryption-enterprise-data-security-expert-intelligence/ 2 新加坡遭受“最为严重”的数据泄露,包括总理在内的150万医疗患者受害 Eileen Yu - https://www.zdnet.com/article/singapore-suffers-most-serious-data-breach-affecting-1-5m-healthcare-patients-including-prime/ 3 山间医疗公司设立安全运作中心来对抗医疗数据网络攻击 https://www.modernhealthcare.com/article/20151114/MAGAZINE/311149977

Sophia Van | 07 二月 2019
tiles1

联系我们

与美世顾问对话

back_to_top