2020年的6大医疗安全威胁

当谈到网络钓鱼的敏感性时，规模很重要。KnowBe4的数据显示，员工在1，000人以上的医疗机构中，平均有25.6%的人可能会被诈骗。“在拥有1000多名员工的组织中，我们看到他们中的大多数人接受了更多一点的培训，并会在更高的复杂程度上运作，因为他们必须建立不同的系统来遵守严格的法规，”Carpenter说。

5. 加密挖矿

秘密劫持系统以开采加密货币是所有行业中日益严重的问题。医疗保健中所使用的系统是加密挖矿(cryptojacking)非常有吸引力的目标，因为保持它们的运行至关重要。该系统运行的时间越长，犯罪分子就越有可能获得加密货币。“在医院环境中，即使怀疑有人在加密挖矿，他们也可能不会急于拔掉机器的插头，”Carpenter说。“受病毒感染的机器运行的时间越长，对罪犯的好处就越大。”

这还是在假设医疗保健提供者能够检测到加密挖矿操作的情况下。加密挖矿代码不会损害系统，但是会消耗大量的计算能力。只有当系统和生产力变慢时才有可能识别到它。一些加密挖矿者会限制他们的代码以降低检测风险。而许多医疗保健组织也没有IT或安全人员来识别和修复这种加密货币攻击。

6. 被黑客入侵的物联网设备

医疗设备的安全多年来就一直是医疗保健领域的热点问题，众所周知，许多网络或互联网连接的医疗设备非常容易受到攻击。问题的关键是，许多医疗设备的设计并没有考虑到网络安全问题。在可能的情况下，修补通常只提供边缘保护。

根据从2019年初开始的Irdeto全球互联行业网络安全调查，82%的医疗机构表示，他们在过去的12个月里经历过针对物联网设备的网络攻击。这些袭击的平均财务影响为346205美元。这些攻击最常见的影响是操作停机(47%)，其次是客户数据泄露(42%)和终端用户的安全性泄露(31%)。

在制造商开始制造更安全的设备之前，医疗保健领域易受攻击的医疗设备和其他连接设备将继续是一个威胁。虽然问题很普遍，但更新、更安全的型号要取代旧型号还需要很多年。

最小化医疗安全威胁的技巧

更好地修补和更新关键系统。“事实上，那些旧的未修补系统常常是作为关键设备嵌入的，这导致了勒索软件的更大威胁，”Carpenter说。这可能会很困难，因为修补过程可能会中断关键系统或削弱供应商支持系统的能力。

在某些情况下，或许也没有可用于已知漏洞的修补程序。Carpenter建议应该在供应商没有或不能修补或更新系统的情况下向他们施压。“与供应商保持积极的关系，询问为什么这些系统不能或没有更新，并保持一个行业的压力。”

培训员工。根据KnowBe4的研究，医疗保健行业在培训员工识别网络钓鱼方面低于平均水平。许多医疗保健机构的规模很小，不到1000名员工，这可能是一个因素。Carpenter说：“这不仅仅是要告诉他们应该做什么。”你需要创建一个行为模拟程序，来训练他们不要点击网络钓鱼链接。

这个程序意味着需要发送模拟钓鱼邮件。点击链接的员工应该会立即收到关于他们做了什么以及他们应该如何做正确事情的反馈。这样的项目会产生巨大的影响。

如果长期坚持使用，培训就会起作用。KnowBe4的研究显示，在拥有250至999名员工的医疗机构中，经过一年的网络钓鱼培训和测试后，其对网络钓鱼的敏感度可从27.85%降至1.65%。

小心有关员工的信息。网络钓鱼攻击越个性化，成功的可能性就越大。在鱼叉式网络钓鱼攻击中，攻击者会试图尽可能多地了解目标个人。Carpenter说：“如果不在办公室的回复给出了要联系的人的名字，攻击者就可以通过使用这些名字和关系链来建立信任。”。

增强你防御和应对威胁的能力。“我(对医疗安全)最担心的事情是，医护人员缺乏在发现事故后进行适当调查的能力，缺乏对事故进行记录和评估危害的能力，缺乏与执法部门或法律部门合作以进行充分取证的能力。他们也缺乏能够进行补救的员工，无法保证这种情况再也不会发生了，”Long说。他的建议是：“通过员工或合作伙伴关系来获得正确的专业知识。”他补充说，安全性需要成为董事会和管理层的优先事项。“确定安全优先级后的第一步是确保您有一个具有适用经验的敬业的CISO。”

规模较小的医疗保健提供商可能没有资源雇佣CISO，但他们仍然需要优先考虑安全性，Long说。“他们可能需要在获得一流的安全专业知识方面更具创造性。这可能是通过合作或管理安全服务实现的，但没有人能够代替他们自己站出来说，我的病人应该得到安全保障，我必须致力于合作或让合适的安全人员进入到这里。”

（编辑：核心网）

【声明】本站内容均来自网络，其相关言论仅代表作者个人观点，不代表本站立场。若无意侵犯到您的权利，请及时与联系站长删除相关内容!