毕马威：是谁在威胁医疗数据的安全，又该如何解决？

　　医疗行业的数据互联能帮助实现治疗的成功，也可提高医疗质量和药品的效率。但与此同时，数据互联的风险也很大。随着医疗信息网络化的日益深入，随之而来的各种犯罪活动也开始变得异常猖獗。

　　尤其在当今这个信息化的时代，医疗行业的信息保护手段远远落后于其他行业，如使用着过时的临床技术、互联医疗设备的安全性欠佳、以及整体上缺乏信息安全管理流程等等。有些医疗机构可能还没有意识到黑客行为的复杂性，以及他们渗透患者机密数据的网络手段。

　　如今，医疗网络攻击的本质、深度和后果都发生了变化，如果医疗机构不与时俱进，更新自身的信息安全水平，必将遭受严重损失：不只在经济上，而且还可能会威胁到患者的生命。

　　根据2015年毕马威会计师事务所对223位医疗行业高管进行的网络安全调查统计，81%的受访者表示，他们所在机构在过去2年中至少受到了1种恶意软件的侵害，如僵尸网络(BotNet)或者其他网络攻击。事实上，只有一半的受访者认为自己已经为预防网络攻击做好了足够的准备。那么，在这场与黑客旷日持久的医疗信息保卫战中，究竟有哪些迫在眉睫的关切点，又有哪些可行的解决措施呢?动脉网摘编了毕马威的调查报告，带您一探究竟。

　　毕马威医疗网络安全报告指出，医疗机构正面临着的安全威胁有：

　　患者记录的数字化和临床系统的自动化。

　　使用未达到当今网络安全标准的陈旧电子病历(EMR)和临床应用程序;且软件商将此问题推给了医疗提供者。

　　在内部(笔记本电脑、移动设备、拇指驱动器)和外部(第三方、云服务)都能轻易地查询到受保护的电子健康信息(ePHI)。

　　网络系统和应用程序的异质性。

　　威胁环境正在不断变化，当今的网络攻击更加复杂，加上资金充足，其获取的相关数据在黑市上的价值不菲。

　　对于医疗机构和保险公司而言，网络安全最需关注的是来自外部的攻击。毕马威调查指出，外部攻击者和第三方是医疗机构最脆弱的软肋，而最大的威胁则是恶意软件和HIPAA违规行为。(详见下表)

　　调查指出，网络信息日渐丰富的同时，威胁也在成倍增长，但意图或已经花费在保护信息安全上的支出却没有随之进行调整。

　　由于有不同优先级的划分，当涉及安全漏洞时，保险公司和医疗机构有着不同的关注点。对于医疗机构而言，执法监管或诉讼等问题会让已经微薄的利润更加捉襟见肘。对于投资，大多数医疗机构显得十分为难;如果医院只有100万美元，比起数据保护，它可能更愿意把钱花在患者护理和治病救人上。”

　　而保险公司往往是在多个司法管辖区内经营的大型上市企业。它们主要关注的是可能会影响股东财政损失或抑制增长计划的负面名誉影响。(详见下表)

　　■医疗机构尚不能有效应对网络安全威胁

　　医疗机构并不像金融服务等部门那样常常成为黑客的目标。正因如此，医疗机构的管理层也就没有像其他与网络攻击斗争经验丰富的部门那样，会尝试追踪网络威胁的来源。毕马威的调查显示，在过去一年中，仅有13%的受访者表示曾对网络漏洞进行每日追踪，38%的追踪次数为50~350次，而44%的只有1~50次。

　　这表明，大多数医疗机构并不能有效地对网络威胁进行追踪、报告和管理，缺乏成熟的意外和漏洞管理流程，日常的网络攻击往往得不到任何处理。毕马威的一家客户在实施了有效的安全运营中心(SOC)后，网络事件和漏洞报告增加了1000%，而这很可能是因为该机构之前完全无法得知网络攻击的存在。事实上，调查中25%的受访者说，根据该机构现有的保护系统，他们没有或不知道自己是否有这个能力，在其系统受到损害时，能实时检测出来。

　　■抵御网络攻击的关键是要做好准备

　　即时管理和即时响应非常微妙，它包含调查、追踪和消除网络威胁，以及沟通和向公众和监管机构报告等内容。而一些医疗机构报告漏洞的行为速度过快，甚至是在还没弄明白威胁从何而来、谁是攻击者、系统的哪些部分已被破坏等情况之前。因此往往适得其反，反而加大了自身的损失。

　　毕马威的调查显示，在过去一年中，各地的管理层(85%的受访医疗机构和89%的受访保险公司)已经针对网络安全进行了诸多讨论，但许多医疗机构尚未采取必要措施来为对抗网络威胁做好准备。

　　在人力资本方面，19%的医疗机构没有指定一名高管全权负责信息技术安全，而保险公司的数据则为8%;25%的医疗机构没有设立信息安全运营中心以识别和评估威胁，而保险公司的数据则为20%。在日后的网络攻击应对工作中，应当首先对以上二者进行完善。

　　■网络安全投资分布

　　虽然大多数的受访医疗机构已经增加了网络安全支出，并在过去的一年中加大了网络安全投资，可投下的钱在许多领域并没有带来足够的安全性。这或许是因为医疗机构低估了网络威胁的增加量，使得投资的比例相对不足。

　　投资网络安全的水平和能力之间的差异，是购买力与自身能力不匹配的结果。如果网络安全投资不是一个协调一致战略的一部分，那么其支出往往会造成更多的浪费。

　　■结论

　　综上所述，医疗网络安全需要一种全新的方法来推进，具体如下：

　　通过战略设计，在前期结合网络安全的技术和网络架构。由于许多企业已经实现了互联互通，其自身的控制能力相应降低，需要重新设计和开发安全实施计划。网络安全投资应成为一个协调数字化战略的一部分。

　　精心筹备协调的网络安全团队和信息安全运营中心。任命一名高管全权负责信息技术安全，并通过安全运营中心加强即时监控功能。需要涵盖的其他领域包括管理漏洞并与各部门进行沟通。

　　提高各层级的网络安全意识和能力。网络安全是经营风险，也是技术风险。因此，网络安全人员需要精通以上两方面。虽然行政管理层一般只需要意识到问题的存在，但如果董事会成员能有懂行的人，并能够帮助进行管理，也是十分重要的。

　　以开阔的视野实施网络安全策略。通过与各种业务伙伴的合作，医疗机构实际上实现了价值链的扩展。第三方载体增加了网络安全风险，但关键是要了解多个第三方载体合用时的固有风险，并确定那么必须要修复的风险。