信息化觀察網(wǎng)

在物聯(lián)網(wǎng)的世界里，虛擬和物理領(lǐng)域正變得越來(lái)越緊密。互聯(lián)網(wǎng)連接的速度超過(guò)了企業(yè)的安全能力。

因此，網(wǎng)絡(luò)犯罪的一大驅(qū)動(dòng)因素是醫(yī)療信息技術(shù)世界中最不受保護(hù)的網(wǎng)絡(luò)和系統(tǒng)——建筑自動(dòng)化，或稱(chēng)智能建筑技術(shù)。

例如，黑客進(jìn)入零售商的互聯(lián)網(wǎng)連接的HVAC系統(tǒng)，從Target那里竊取了4000萬(wàn)個(gè)信用卡號(hào)。在另一個(gè)示例中，黑客通過(guò)網(wǎng)絡(luò)連接的魚(yú)缸訪問(wèn)了北美數(shù)據(jù)庫(kù)。

這些場(chǎng)景揭示了運(yùn)營(yíng)技術(shù)，如標(biāo)識(shí)、電梯、AV會(huì)議、暖通空調(diào)等，可能會(huì)給醫(yī)療機(jī)構(gòu)帶來(lái)嚴(yán)重的安全風(fēng)險(xiǎn)。

獨(dú)特的有價(jià)值的數(shù)據(jù)

TEKsystemsGlobalServices執(zhí)行董事馬修·埃利希(MatthewEhrlich)表示：“與其他行業(yè)相比，醫(yī)療服務(wù)提供商組織中的信息--病人健康信息(PHI)、支付卡信息(PCI)、知識(shí)產(chǎn)權(quán)(IP)等等--對(duì)黑客來(lái)說(shuō)具有獨(dú)特的價(jià)值，這就是為什么迄今為止我們看到人們?nèi)绱岁P(guān)注醫(yī)療保健領(lǐng)域的網(wǎng)絡(luò)安全。”TEKsystemsGlobalServices是一家專(zhuān)門(mén)從事網(wǎng)絡(luò)安全的數(shù)字技術(shù)開(kāi)發(fā)商。

他繼續(xù)說(shuō)：“但是，我們看到的問(wèn)題是，大多數(shù)保護(hù)醫(yī)療保健提供者的努力都屬于IT政策的保護(hù)范圍。”通過(guò)將網(wǎng)絡(luò)威脅限制為僅IT策略，組織就可以忽略公司的主要漏洞和風(fēng)險(xiǎn)。傳統(tǒng)上，建筑系統(tǒng)并不屬于IT領(lǐng)域，但是它們具有廣闊的技術(shù)生態(tài)系統(tǒng)，必須對(duì)其進(jìn)行評(píng)估和治理。”

他補(bǔ)充說(shuō)，這些被稱(chēng)為運(yùn)營(yíng)技術(shù)的技術(shù)系統(tǒng)是原始的，而且通常管理不善，這使它們成為滲透到醫(yī)院主要網(wǎng)絡(luò)的成熟目標(biāo)。

醫(yī)療保健行業(yè)有許多不同的建筑系統(tǒng)存在網(wǎng)絡(luò)安全漏洞。傳統(tǒng)的商業(yè)建筑在操作技術(shù)方面存在漏洞，比如HVACs、火災(zāi)報(bào)警系統(tǒng)、數(shù)字標(biāo)牌、電梯、水表或電表、照明等等。所有這些漏洞也適用于醫(yī)療機(jī)構(gòu)。

非傳統(tǒng)技術(shù)

“但是，醫(yī)療保健提供者也具有如此獨(dú)特的房地產(chǎn)類(lèi)型，從小型門(mén)診設(shè)施到復(fù)雜的1000多張病床醫(yī)院，實(shí)驗(yàn)室，停車(chē)場(chǎng)，藥房等等，”Ehrlich解釋說(shuō)。“每種類(lèi)型都帶來(lái)了大量非傳統(tǒng)技術(shù)支持和獨(dú)立的供應(yīng)商生態(tài)系統(tǒng)。”

以實(shí)驗(yàn)室為例：除了訂購(gòu)系統(tǒng)，還有安全的房間/門(mén)、溫度控制室、血庫(kù)、特殊照明等。這一概念為醫(yī)療物聯(lián)網(wǎng)(IoMT)奠定了基礎(chǔ)，這是醫(yī)療保健組織需要關(guān)注的新興領(lǐng)域。

那么，醫(yī)療保健CIO和CIO可以采取哪些步驟來(lái)分析、設(shè)計(jì)、評(píng)估和實(shí)施智能建筑解決方案計(jì)劃，以保護(hù)自己免受黑客攻擊，從而獲得更重要的信息，如主網(wǎng)絡(luò)或電子健康記錄系統(tǒng)？

Ehrlich說(shuō)："首先，醫(yī)療保健提供商應(yīng)該采取協(xié)作方式來(lái)解決這個(gè)問(wèn)題——IT不能單獨(dú)擁有這一問(wèn)題。同樣，風(fēng)險(xiǎn)組織也不能擁有這一點(diǎn)。風(fēng)險(xiǎn)、房地產(chǎn)、金融、運(yùn)營(yíng)、IT和臨床需要之間的協(xié)調(diào)努力，以確保端到端政策的實(shí)施。

Ehrlich指出，初步評(píng)估是第一步，教育和了解風(fēng)險(xiǎn)可以產(chǎn)生巨大的投資回報(bào)率。他說(shuō)，在修復(fù)了任何漏洞并建立了策略后，醫(yī)療服務(wù)提供商需要一種方法來(lái)監(jiān)控和管理正在進(jìn)行的運(yùn)營(yíng)，因?yàn)榧夹g(shù)和供應(yīng)商格局正在不斷變化。

極度缺乏意識(shí)

他說(shuō):“大多數(shù)醫(yī)療行業(yè)領(lǐng)導(dǎo)者都意識(shí)到，一個(gè)企業(yè)可以從‘智能建筑’中獲益。”“但如今，人們對(duì)醫(yī)療保健領(lǐng)域存在的不斷上升的風(fēng)險(xiǎn)認(rèn)識(shí)極度匱乏，這些風(fēng)險(xiǎn)存在于現(xiàn)有的基礎(chǔ)設(shè)施中，比如電梯或HVACs等非常簡(jiǎn)單的設(shè)施，更不用說(shuō)像‘智能房間’這樣更具創(chuàng)新性的主題了。”我們擔(dān)心，由于缺乏教育和緊迫性，這個(gè)問(wèn)題可能會(huì)在好轉(zhuǎn)之前變得更糟。”

在過(guò)去的十年中，整合的EHR、ERP和CRM的開(kāi)發(fā)/實(shí)現(xiàn)產(chǎn)生了高級(jí)的分析，數(shù)據(jù)量是難以想象的。Ehrlich說(shuō)，這樣一來(lái)，通過(guò)一個(gè)關(guān)鍵領(lǐng)域（建筑物系統(tǒng)漏洞），對(duì)該數(shù)據(jù)的訪問(wèn)就越來(lái)越多。

他總結(jié)說(shuō)：“建筑漏洞將成為整個(gè)醫(yī)療生態(tài)系統(tǒng)的主要切入點(diǎn)或破壞和事件的起因。”

本文作者： Bill Siwicki 編譯：Cassie