医疗行业中的勒索软件危及患者
导语:Proofpoint的医疗保健网络安全负责人Ryan Witt研究了勒索软件对患者护理的影响。
在过去的两年里,考虑到疫情给患者造成的巨大损失,COVID-19病毒一直医疗保健组织的心腹之患——这是理所当然的。但另一个造成巨大伤害的威胁受到的关注比起COVID-19则微不足道——勒索软件。虽然勒索软件攻击占据了很多头条新闻,但经常在讨论中缺失的这种威胁可能给患者造成的不可挽回的伤害。
网络攻击是一种不同类型的流行病,在过去几年中大幅增加。它们已成为医疗保健行业所要应对的日常现实问题。医疗保健组织的领导者明白网络威胁成为了一种“新常态”。但关于网络风险的对话通常集中在底线,例如缓解、不合规或诉讼的成本。
对于一个以提高我们生活质量为使命的行业来说,令人惊讶的是,最大的网络安全问题的关注视角始终围绕着财务损失。医疗保健领导者、医生和其他护理人员需要从一个新的视角——患者健康和安全——来看待网络安全风险。
勒索软件和健康专业人士承诺“不伤害”
医疗保健专业人员致力于保护患者免受伤害。在当今的数字世界中,这项任务不再局限于直接护理服务。勒索软件攻击使患者面临身体风险,并与可能危及生命的疾病一样具有破坏性。
以2020年秋季使佛蒙特大学医学中心(UVMC)运营瘫痪的袭击为例。在勒索软件关闭了对电子健康记录等系统的访问近一个月后,UVMC的癌症中心不得不拒绝数百名化疗患者。
癌症诊所主要为农村地区服务,因此网络攻击不仅让许多患者感到恐惧、痛苦和流泪,而且没有其他治疗方法。《纽约时报》援引一名护士的话说:“(我)看着病患的眼睛,告诉他们不能接受延长生命或挽救生命的治疗,这太可怕了,而且完全令人心碎。”
像UVMC患者这样的故事很少在公共场合得到讨论,但它们远非独一无二。根据Ponemon Institute最近的一份报告(PDF)显示,在过去两年中,43%的接受调查的医疗保健提供组织遭到勒索软件攻击。这其中导致的后果包括由于程序或测试延迟而导致的结果不佳(70%受勒索软件影响的医院经历过),医疗程序并发症增加(36%),死亡率上升(22%)。
重新思考网络安全的重要性
ECRI是一家专注于患者安全的非营利组织,他们将网络安全攻击评为2022年最大的健康技术危害(PDF)。影响排名的因素包括严重性、频率、广度和可预防性。欧洲反对种族主义和不容忍委员会的报告强调,网络安全事件“不仅会干扰业务运营——还可以扰乱患者护理,构成真正的人身伤害威胁”。
预计随着威胁行为者以惊人的速度瞄准该行业,解决这种风险带来的不利影响将迫在眉睫。UVMC就是一个很好的例子——就在几天前,美国政府官员警告俄罗斯黑客即将对美国医院进行网络攻击,他们袭击了医疗中心。这不是第一次这样的警报。
当然,网络安全对该行业来说不是一个新问题。长期以来,IT和网络安全专业人士一直敲响警笛,表明医疗保健是许多其他行业实施强大防御的幕后黑手。但勒索软件威胁重新揭示了网络安全的不足,因为对患者的影响是立竿见影的,其危害比数据泄露之类的东西大得多。
现在是决策者和医疗保健专业人员理解网络安全对人类的好处以及网络安全缺失或失败时的人员损失的时候了。患者来到医院或诊所等待治疗,通常是紧急的。如果医疗保健提供商因网络犯罪分子劫持他们的系统而无法提供这些服务,那么他们就会侵犯患者的信任,并危及生命。考虑到该行业网络攻击的快速增长,像我们在UVMC看到的改变生活的情况将变得普遍。
投资于重要的事情
网络安全在任何部门都不是容易解决的问题,但在医疗保健领域更是如此。环境的复杂性,包括连接的医疗设备、多个位置和遗留系统,造成了许多挑战。一个典型的医疗保健组织拥有最低的IT预算远远不足以实施有效的网络安全解决方案,这杯水车薪,无济于事。
让IT团队几乎没有资源来抵御网络攻击不再是一种选择。虽然医疗保健组织将大部分资金用于提供护理,但他们还需要认识到,在当今的环境中,护理的提供不仅依赖于医疗设备和人员,还依赖于强大的网络安全防御。如果网络安全是低优先级,那么护理的提供将受到影响。
你如何迫使决策者从新的角度看待他们的责任?首先就要告诉他们他们需要听的故事。关于两个孩子的母亲被剥夺了救生待遇的故事。或者,护士将在受勒索软件影响的医疗中心工作比作在波士顿马拉松爆炸案后在烧伤病房工作。或者一位悲痛欲绝的母亲将孩子死亡归咎于勒索软件攻击。
这些不是恐吓策略。它们是那种有助于将网络安全风险转化为人类影响的信息。如果这不能迫使董事会或其他决策者对网络安全进行投资,会发生什么?
发表评论