以下文章经许可转载自The Conversation,这是一个报道最新研究的在线出版物。
像任何大型公司一样,现代医院有数百甚至数千名员工使用无数的计算机、智能手机和其他电子设备,这些设备容易受到安全漏洞、数据盗窃和勒索软件攻击。但医院与其他公司有两个重要的不同之处。它们保存医疗记录,这些记录是关于人们最敏感的数据之一。许多医院电子设备有助于维持患者生命,监测生命体征、给药,甚至为病情最危急的患者提供呼吸和血液泵送。
2013 年,华盛顿大学医学医疗集团的数据泄露事件泄露了约 90,000 名患者的记录,并导致联邦监管机构处以 75 万美元的罚款。2015 年,包括多家医院在内的 UCLA 健康系统透露,攻击者访问了其网络的一部分,该部分处理了 450 万患者的信息。网络攻击会中断医疗设备、关闭急诊室和取消手术。WannaCry 攻击 例如,扰乱了英国国民健康服务 (NHS) 组织的三分之一,导致预约和手术取消。这些问题是医疗保健行业中日益增长的威胁。
支持科学新闻报道
如果您喜欢这篇文章,请考虑通过以下方式支持我们屡获殊荣的新闻报道 订阅。通过购买订阅,您正在帮助确保有关塑造我们当今世界的发现和想法的具有影响力的故事的未来。
保护医院的计算机网络对于保护患者隐私,甚至是生命本身至关重要。然而,最近的研究表明,医疗保健行业在保护其数据方面落后于其他行业。
我是麻省理工学院斯隆管理学院的系统科学家,对理解医疗保健领域的网络安全等复杂的社会技术系统感兴趣。一位以前的学生 Jessica Kaiser 和我采访了负责网络安全的医院官员和行业专家,以了解医院如何管理网络安全问题。我们发现,尽管人们普遍担忧网络安全资金不足,但有两个令人惊讶的因素更直接地决定了医院是否受到良好保护以抵御网络攻击:正在使用的电子设备的数量和种类范围,以及员工的角色如何与网络安全工作相符。
各种各样的设备
医院网络安全的一个主要挑战是可以访问设施网络的设备数量庞大。与许多企业一样,这些设备包括手机、平板电脑、台式计算机和服务器。但他们也有大量的患者和访客,他们也带着自己的设备前来——包括联网医疗设备,以监测他们的健康状况并与医务人员沟通。这些项目中的每一个都可能是将恶意软件注入医院网络的潜在入口。
医院官员可以使用软件来确保只有授权设备才能连接。但即便如此,他们的系统仍然容易受到软件更新和新设备的攻击。另一个关键弱点来自医疗设备,这些设备是由在竞争激烈的市场中运营的设备制造商作为免费样品提供的。它们通常未经测试以确保在连接到医院网络之前具有适当的安全性。我们的一位受访者提到
“在医院……存在一个完整的地下采购流程,医疗设备供应商会接触临床医生,并免费向他们提供大量东西,这些东西最终会进入我们的楼层,然后在一年后我们会收到账单。”
当新技术绕过常规的采购和风险评估流程时,它们不会被检查漏洞,因此它们会引入更多攻击机会。当然,医院管理者应该权衡这些担忧与新系统可以带来的患者护理改进。我们的研究表明,医院需要更强大的流程和程序来管理所有这些设备。
员工的支持
让医院管理者了解网络安全的重要性相当简单:他们告诉我们,他们担心成本、机构声誉和监管处罚。让医务人员加入进来可能会困难得多:他们说他们专注于患者护理,没有时间担心网络安全。
人们通常将网络安全保护视为次要于他们试图完成的事情。我们采访的一位人士描述了为什么一些员工犯了共享密码的严重网络安全错误
“要使用超声波机器[您需要密码,密码]必须每 90 天更改一次。[员工]只是想使用超声波机器。它没有保存大量患者数据……所以他们创建了一个共享登录名,以便他们可以提供患者护理。”
需求在整个医院中差异很大,其方式可能令人惊讶——例如访问可能携带恶意软件的网站。一家研究型医院的首席信息官告诉我们,
“我个人认为,在医院支持的设备上,硬核色情内容没有任何意义。五年前我做了什么?我设置了互联网内容过滤器,以阻止人们浏览色情内容。五分钟之内,精神病学主任打电话告诉我,我们有一项研究医学背景下色情内容的资助[所以我们不得不修改我们的过滤器]。”
这些经历是我们得出结论的原因,即预算限制对于医院网络安全而言不如员工参与那么重要。医院可以购买任意数量的硬件和软件。如果工作人员不遵守组织程序,技术将无法保证医院的安全。我们的研究表明,网络安全与管理人员一样与技术有关。
合规性不是安全性
威胁是全国性的,并且越来越难以防御,正如一位首席信息安全官告诉我们的那样
“攻击的性质越来越复杂。过去我最大的威胁是……学生。今天,它是国家支持的攻击、恐怖主义和有组织的犯罪。比以往任何时候都面临着更严重的威胁。”
不幸的是,许多医院管理者似乎认为保护数据就像满足州和联邦法规一样简单。但这些是未能充分解决威胁的最低标准。正如我们的一位受访者所说,
“合规性是一个低门槛。我保证,如果没有监管,小型医疗保健组织和医院将无所作为。他们会有一张纸放在架子上,称为他们的安全策略。作为让公司至少开始考虑它的后盾,这是需要的。但是,合规性并不能解决更大的风险管理问题。”
我们的研究表明,医院需要超越合规性来思考。此外,由于很少有医院能够很好地防御网络攻击,因此所有医院都显得更具吸引力,成为潜在目标。我们认为,医院仅仅改善自身防御是不够的——监管机构提高标准也是不够的。他们应该管理和评估其网络上设备的安全性,并确保医务人员了解良好的网络卫生习惯如何支持良好的患者护理。此外,政策制定者、医疗保健领导者和医院自身应共同努力,使整个行业更不容易受到威胁人们隐私和生命的攻击。
本文最初发表于The Conversation。阅读原文。