网络安全对医疗行业的挑战与应对

关键要点

在5月18日的参议院健康、教育、劳动和养老金委员会上，“我就是骑兵”的创始人JoshCorman指出，尽管国会、监管机构和医疗领导者正在采取“许多正确的措施”，但当前的“自愿实践，步伐缓慢，尚不足以克服市场失灵的问题”。

面对疫情和医疗资源的压力，网络安全已成为患者安全的重大隐患。Corman直言，医疗行业“过度依赖尚未发展的技术”。

“我们对连接技术的依赖增长速度超过了我们对其进行保护的能力，这涉及到公共安全、人类生命和国家安全的问题，” Corman表示。

显然，连接技术带来了迅速适应的前景和显而易见的好处，但决定这些选择的延迟后果却并不容易。

实际情况是，医疗行业存在着意识与采用的差距。Corman提到：“医疗组织目标丰富，但网络资源匮乏。它们缺乏做最基本的安全防护的资源。”

尽管政府和多方安全领导者提供了大量资源，但对这些“网络资源匮乏的”组织来说，支持的“覆盖面并不足够”。Corman解释说：“它们不参与，很多还没有首席信息安全官（CISO），也没有参与健康信息共享与分析中心（Health-
ISAC）等信息共享团体。”

卫生信息共享与分析中心的总裁兼首席执行官DenisAnderson表示，教育是医疗领域面临的主要障碍。许多组织甚至不知道威胁共享小组提供的服务的好处，其中包括大量免费资源。

与金融服务行业显著不同的是，财政部为其提供了大量支持，包括为金融公司审核而提出的检查清单。Anderson表示，一旦该行业意识到这些资源的存在，便会众多公司争相加入信息共享与分析中心。

“现在，这种方式并不有效，”她补充道。“但我相信如果我们能够进行教育，将会是一个巨大的进步。”

在当前的情况下，许多组织不知道这些小组或政府机构是谁，能够提供他们所需的帮助。Corman指出，一旦这些组织参与进来，就可以根据它们现有的技能水平“以同理心与它们合作，让它们从爬行、走路到奔跑。”

尽管行业和政府已取得了一些显著进展，但Corman强调，“在可预见的未来”仍然需要“更多实质性的行动”来“遏制这种失控局面”。他指出，“降低复杂性是减少风险的有效手段之一”。

他补充说：“这并不总是关于防守不可防守的东西，而是拥有更容易防守且更简单的基础设施。”

仅仅通过建议或自愿行动来提供指导，将不会有效。尽管多项自愿性的联邦指引发布多年，但网络安全标准的采用率仍然较低，大多数医疗组织仍难以跟上步伐。

Corman表示，如果国会希望采取行动，那就需要激励相关实体：“我们需要激励和约束。”这一观点与加州大学圣地亚哥分校卫生部门的急诊医生和安全研究员此前的声明不谋而合。

“如果我们要提供安全港，那应该与您当前实践状态的认证相绑定，” Corman补充道。

除了技术挑战，威胁形势的演变也让情况变得令人无法承受，Corman表示，“对手正在设定节奏”，并且以其商业模型使他们“几乎不可阻挡”，如今的勒索软件服务进一步促进了高度专业化的多方协调。

勒索软件革命最初专门针对财富500强企业，企图获取知识产权以便进行获利。然而，随着Bitcoin支付的便利性和以“人质”方式控制访