醫(yī)療行業(yè)的數(shù)據(jù)互聯(lián)能幫助實現(xiàn)治療的成功，也可提高醫(yī)療質(zhì)量和藥品的效率。但與此同時，數(shù)據(jù)互聯(lián)的風險也很大。隨著醫(yī)療信息網(wǎng)絡化的日益深入，隨之而來的各種犯罪活動也開始變得異常猖獗。

　　尤其在當今這個信息化的時代，醫(yī)療行業(yè)的信息保護手段遠遠落后于其他行業(yè)，如使用著過時的臨床技術(shù)、互聯(lián)醫(yī)療設備的安全性欠佳、以及整體上缺乏信息安全管理流程等等。有些醫(yī)療機構(gòu)可能還沒有意識到黑客行為的復雜性，以及他們滲透患者機密數(shù)據(jù)的網(wǎng)絡手段。

　　如今，醫(yī)療網(wǎng)絡攻擊的本質(zhì)、深度和后果都發(fā)生了變化，如果醫(yī)療機構(gòu)不與時俱進，更新自身的信息安全水平，必將遭受嚴重損失：不只在經(jīng)濟上，而且還可能會威脅到患者的生命。

　　根據(jù)2015年畢馬威會計師事務所對223位醫(yī)療行業(yè)高管進行的網(wǎng)絡安全調(diào)查統(tǒng)計，81%的受訪者表示，他們所在機構(gòu)在過去2年中至少受到了1種惡意軟件的侵害，如僵尸網(wǎng)絡(BotNet)或者其他網(wǎng)絡攻擊。事實上，只有一半的受訪者認為自己已經(jīng)為預防網(wǎng)絡攻擊做好了足夠的準備。那么，在這場與黑客曠日持久的醫(yī)療信息保衛(wèi)戰(zhàn)中，究竟有哪些迫在眉睫的關(guān)切點，又有哪些可行的解決措施呢?動脈網(wǎng)摘編了畢馬威的調(diào)查報告，帶您一探究竟。

　　畢馬威醫(yī)療網(wǎng)絡安全報告指出，醫(yī)療機構(gòu)正面臨著的安全威脅有：

　　患者記錄的數(shù)字化和臨床系統(tǒng)的自動化。

　　使用未達到當今網(wǎng)絡安全標準的陳舊電子病歷(EMR)和臨床應用程序;且軟件商將此問題推給了醫(yī)療提供者。

　　在內(nèi)部(筆記本電腦、移動設備、拇指驅(qū)動器)和外部(第三方、云服務)都能輕易地查詢到受保護的電子健康信息(ePHI)。

　　網(wǎng)絡系統(tǒng)和應用程序的異質(zhì)性。

　　威脅環(huán)境正在不斷變化，當今的網(wǎng)絡攻擊更加復雜，加上資金充足，其獲取的相關(guān)數(shù)據(jù)在黑市上的價值不菲。

　　對于醫(yī)療機構(gòu)和保險公司而言，網(wǎng)絡安全最需關(guān)注的是來自外部的攻擊。畢馬威調(diào)查指出，外部攻擊者和第三方是醫(yī)療機構(gòu)最脆弱的軟肋，而最大的威脅則是惡意軟件和HIPAA違規(guī)行為。(詳見下表)

　　調(diào)查指出，網(wǎng)絡信息日漸豐富的同時，威脅也在成倍增長，但意圖或已經(jīng)花費在保護信息安全上的支出卻沒有隨之進行調(diào)整。

　　由于有不同優(yōu)先級的劃分，當涉及安全漏洞時，保險公司和醫(yī)療機構(gòu)有著不同的關(guān)注點。對于醫(yī)療機構(gòu)而言，執(zhí)法監(jiān)管或訴訟等問題會讓已經(jīng)微薄的利潤更加捉襟見肘。對于投資，大多數(shù)醫(yī)療機構(gòu)顯得十分為難;如果醫(yī)院只有100萬美元，比起數(shù)據(jù)保護，它可能更愿意把錢花在患者護理和治病救人上。”

　　而保險公司往往是在多個司法管轄區(qū)內(nèi)經(jīng)營的大型上市企業(yè)。它們主要關(guān)注的是可能會影響股東財政損失或抑制增長計劃的負面名譽影響。(詳見下表)

　　■醫(yī)療機構(gòu)尚不能有效應對網(wǎng)絡安全威脅

　　醫(yī)療機構(gòu)并不像金融服務等部門那樣常常成為黑客的目標。正因如此，醫(yī)療機構(gòu)的管理層也就沒有像其他與網(wǎng)絡攻擊斗爭經(jīng)驗豐富的部門那樣，會嘗試追蹤網(wǎng)絡威脅的來源。畢馬威的調(diào)查顯示，在過去一年中，僅有13%的受訪者表示曾對網(wǎng)絡漏洞進行每日追蹤，38%的追蹤次數(shù)為50~350次，而44%的只有1~50次。

　　這表明，大多數(shù)醫(yī)療機構(gòu)并不能有效地對網(wǎng)絡威脅進行追蹤、報告和管理，缺乏成熟的意外和漏洞管理流程，日常的網(wǎng)絡攻擊往往得不到任何處理。畢馬威的一家客戶在實施了有效的安全運營中心(SOC)后，網(wǎng)絡事件和漏洞報告增加了1000%，而這很可能是因為該機構(gòu)之前完全無法得知網(wǎng)絡攻擊的存在。事實上，調(diào)查中25%的受訪者說，根據(jù)該機構(gòu)現(xiàn)有的保護系統(tǒng)，他們沒有或不知道自己是否有這個能力，在其系統(tǒng)受到損害時，能實時檢測出來。

　　■抵御網(wǎng)絡攻擊的關(guān)鍵是要做好準備

　　即時管理和即時響應非常微妙，它包含調(diào)查、追蹤和消除網(wǎng)絡威脅，以及溝通和向公眾和監(jiān)管機構(gòu)報告等內(nèi)容。而一些醫(yī)療機構(gòu)報告漏洞的行為速度過快，甚至是在還沒弄明白威脅從何而來、誰是攻擊者、系統(tǒng)的哪些部分已被破壞等情況之前。因此往往適得其反，反而加大了自身的損失。

　　畢馬威的調(diào)查顯示，在過去一年中，各地的管理層(85%的受訪醫(yī)療機構(gòu)和89%的受訪保險公司)已經(jīng)針對網(wǎng)絡安全進行了諸多討論，但許多醫(yī)療機構(gòu)尚未采取必要措施來為對抗網(wǎng)絡威脅做好準備。

　　在人力資本方面，19%的醫(yī)療機構(gòu)沒有指定一名高管全權(quán)負責信息技術(shù)安全，而保險公司的數(shù)據(jù)則為8%;25%的醫(yī)療機構(gòu)沒有設立信息安全運營中心以識別和評估威脅，而保險公司的數(shù)據(jù)則為20%。在日后的網(wǎng)絡攻擊應對工作中，應當首先對以上二者進行完善。

　　■網(wǎng)絡安全投資分布

　　雖然大多數(shù)的受訪醫(yī)療機構(gòu)已經(jīng)增加了網(wǎng)絡安全支出，并在過去的一年中加大了網(wǎng)絡安全投資，可投下的錢在許多領(lǐng)域并沒有帶來足夠的安全性。這或許是因為醫(yī)療機構(gòu)低估了網(wǎng)絡威脅的增加量，使得投資的比例相對不足。

　　投資網(wǎng)絡安全的水平和能力之間的差異，是購買力與自身能力不匹配的結(jié)果。如果網(wǎng)絡安全投資不是一個協(xié)調(diào)一致戰(zhàn)略的一部分，那么其支出往往會造成更多的浪費。

　　■結(jié)論

　　綜上所述，醫(yī)療網(wǎng)絡安全需要一種全新的方法來推進，具體如下：

　　通過戰(zhàn)略設計，在前期結(jié)合網(wǎng)絡安全的技術(shù)和網(wǎng)絡架構(gòu)。由于許多企業(yè)已經(jīng)實現(xiàn)了互聯(lián)互通，其自身的控制能力相應降低，需要重新設計和開發(fā)安全實施計劃。網(wǎng)絡安全投資應成為一個協(xié)調(diào)數(shù)字化戰(zhàn)略的一部分。

　　精心籌備協(xié)調(diào)的網(wǎng)絡安全團隊和信息安全運營中心。任命一名高管全權(quán)負責信息技術(shù)安全，并通過安全運營中心加強即時監(jiān)控功能。需要涵蓋的其他領(lǐng)域包括管理漏洞并與各部門進行溝通。

　　提高各層級的網(wǎng)絡安全意識和能力。網(wǎng)絡安全是經(jīng)營風險，也是技術(shù)風險。因此，網(wǎng)絡安全人員需要精通以上兩方面。雖然行政管理層一般只需要意識到問題的存在，但如果董事會成員能有懂行的人，并能夠幫助進行管理，也是十分重要的。

　　以開闊的視野實施網(wǎng)絡安全策略。通過與各種業(yè)務伙伴的合作，醫(yī)療機構(gòu)實際上實現(xiàn)了價值鏈的擴展。第三方載體增加了網(wǎng)絡安全風險，但關(guān)鍵是要了解多個第三方載體合用時的固有風險，并確定那么必須要修復的風險。