本文來自物聯(lián)之家網(wǎng)。
最近,全球醫(yī)療保健機構(gòu)遭受的網(wǎng)絡(luò)攻擊令人震驚。當(dāng)然,其他機構(gòu)也是大規(guī)模入侵的目標(biāo),尤其是在關(guān)鍵基礎(chǔ)設(shè)施領(lǐng)域。然而,就醫(yī)院和診所而言,任何安全漏洞都可能導(dǎo)致死亡,而不僅僅是經(jīng)濟損失。
眾所周知,這也是一個對系統(tǒng)、網(wǎng)絡(luò)以及物聯(lián)網(wǎng)/醫(yī)療物聯(lián)網(wǎng)(IoMT)設(shè)備保護水平較低的行業(yè)。一份由Ponemon Institute和Cynerio聯(lián)合編寫的報告基于517位在美國醫(yī)院和衛(wèi)生系統(tǒng)中擔(dān)任領(lǐng)導(dǎo)職務(wù)的醫(yī)療保健專家提供的數(shù)據(jù),其中列出了醫(yī)療保健機構(gòu)及其專業(yè)人員面臨的最常見風(fēng)險。
超過一半的受訪者組織(56%)在過去24個月中經(jīng)歷過一次或多次涉及醫(yī)療物聯(lián)網(wǎng)/物聯(lián)網(wǎng)設(shè)備的網(wǎng)絡(luò)攻擊,在此期間平均遭受12.5次攻擊。由于入侵,45%的受訪者報告了對患者護理的不利影響,其中53%的受訪者(總體為24%)報告了導(dǎo)致死亡率增加的影響。
事情也可能會變得更糟,研究中發(fā)現(xiàn)的另一個事實是,攻擊者經(jīng)常進行長期操作并重復(fù)攻擊。在上述56%的受訪者中,他們在過去24個月中至少遭受過一次網(wǎng)絡(luò)攻擊,其中82%在此期間平均遭受了四次或更多次攻擊。特別是,勒索軟件攻擊的發(fā)生率幾乎相似,43%的受訪者經(jīng)歷過一次攻擊,76%的受訪者平均經(jīng)歷過三次或更多次攻擊。
說到勒索軟件,醫(yī)院越來越多地考慮支付贖金來作為加快數(shù)據(jù)恢復(fù)的可行選擇——47%經(jīng)歷過此類攻擊的組織最終支付了贖金,32%的支付贖金金額在250,000美元到500,000美元之間。那些沒有支付贖金的組織通常將他們的決定歸因于有效的備份策略(53%)和公司政策(49%)。
轉(zhuǎn)售患者數(shù)據(jù)仍然具有價值,43%的受訪者表示在過去24個月中至少經(jīng)歷過一次數(shù)據(jù)泄露。其中,65%在此期間平均經(jīng)歷了5次或更多數(shù)據(jù)泄露,其中88%涉及物聯(lián)網(wǎng)/醫(yī)療物聯(lián)網(wǎng)設(shè)備。參與調(diào)查的組織估計,涉及該物聯(lián)網(wǎng)/醫(yī)療物聯(lián)網(wǎng)設(shè)備的最大數(shù)據(jù)泄露的平均成本為1300萬美元,包括直接成本、間接成本和商業(yè)機會損失。
主要原因
缺乏安全性的一個原因是缺乏明確的責(zé)任。當(dāng)受訪者被問及哪些高級管理人員主要負(fù)責(zé)確保高危設(shè)備的安全時,沒有一個高級管理人員的答案超過18%。即使是排名靠前的答案也各不相同,包括首席信息官/首席技術(shù)官(18%)、運營主管(14%)、首席信息安全官/首席安全官(14%)和網(wǎng)絡(luò)主管(11%)。
當(dāng)談到物聯(lián)網(wǎng)/醫(yī)療物聯(lián)網(wǎng)設(shè)備產(chǎn)生的安全風(fēng)險級別時,71%的受訪者將其評為高或非常高,但只有21%的受訪者表示處于網(wǎng)絡(luò)安全主動措施的成熟階段。在大約一半的情況下(46%),對設(shè)備進行了基本驗證,但三分之二的受訪者(67%)沒有跟蹤結(jié)果報告。
好消息是,預(yù)算持有者一直在爭取更多資源來保護他們的環(huán)境。據(jù)估計,本財年典型的IT投資平均為1.45億美元,其中17%集中在安全性上。在安全支出中,平均20%用于物聯(lián)網(wǎng)/醫(yī)療物聯(lián)網(wǎng)設(shè)備。
與醫(yī)療保健以外的其他行業(yè)一樣,攻擊者也利用了諸如人員短缺和物聯(lián)網(wǎng)/物聯(lián)網(wǎng)設(shè)備安全領(lǐng)域知識匱乏等弱點。受訪者表示最擔(dān)心的物聯(lián)網(wǎng)和其他連網(wǎng)設(shè)備的主要威脅包括:缺乏對物聯(lián)網(wǎng)網(wǎng)絡(luò)的可見性(45%)、網(wǎng)絡(luò)釣魚(45%)、零日攻擊(41%)和勒索軟件(39%)。