最近针对医院和其他医疗提供商的网络安全调查发现了他们的不良习惯,例如传输未加密医疗记录以及缺乏部署安全产品的问题。
这项调查由芝加哥医疗卫生信息和管理系统协会(HIMSS)执行,在一个月左右的时间,他们收到来自119家急性病医疗机构和31家非急性病机构的回复,其中包括医生办公室和门诊办公室。根据调查显示,36%的受访者承认他们在传输时没有加密医疗记录,而只有58.7%会加密静态数据。
“这意味着医疗提供商在以纯文本格式发送受保护的医疗信息和其他数据,这让这些数据很容易通过窃听、数据包嗅探或其他手段被泄露,”HIMSS在报告中写道,“同样,只有61.3%急性病提供商在加密静态数据,48.4%非急性病提供商在加密静态数据。这也会让这些数据面临潜在的篡改以及破坏,还有可能被泄露。”
在调查的网络安全产品中,只有防病毒或反恶意软件、防火墙和审计日志在非急性病提供商间非常普遍。HIMSS认为这可能是由于急性病提供商拥有相对更多的财政资源投资于更广泛的技术。
“在2016年的调查中,医疗提供商的信息安全工具情况表明他们通常仅依靠有限的安全工具,”HIMSS写道,“这可能是因为提供商缺乏适当的人员和/或预算,虽然医疗提供商有广泛的信息安全工具可选择,但急性病医疗机构似乎比非急性病提供商有更多的安全技术。”
防病毒或反恶意软件以及防火墙是超过80%受访者都会使用的安全产品,而只有超过50%的非急性病提供商会同时使用这两种技术以及审计日志。有些工具在使用方面存在很高的差异性,例如补丁和漏洞管理,61.3%的急性病提供商已经部署,而非急性病提供商只有41.9%部署率。
“从本质上讲,只要技术存在,就会有漏洞。这些漏洞有时候可能有很高的利用率,”HIMSS写道,“缺乏漏洞管理工具可能导致出现很大的攻击面。补丁修复、正确的配置以及其他技术可用于解决这些可被利用的漏洞。如果没有部署这样的技术,这可让攻击者有很大的时间窗口来利用未修复的系统,时间就是金钱,对于攻击者来说也是如此,他们可能会寻求唾手可得的目标。”
然而,HIMSS在报告中指出,证据证明医疗提供商和医院网络安全在不断改进。超过70%的受访者称网络安全在过去一年有所改进,而61.3%改善了终端安全,52%改进了灾难恢复。
“除了重大安全事故带来的教训,受访者指出在过去一年中推动他们改进信息安全做法的三个因素;对网络钓鱼攻击和病毒/恶意软件事件作出响应,以及主动解决风险评估的结果,”HIMSS写道,“面对网络钓鱼和拒绝服务攻击、病毒和恶意软件不断增加,医疗提供商自然会想要改进其信息安全状况。”
HIMSS表示受访者想要掌控他们当前和未来所面临的风险,以及医院网络安全可能受到威胁的地方。其中,电子邮件被认为是最大的漏洞区域,网络钓鱼被认为是需要关注的问题,还有对已知软件漏洞的利用。勒索软件被认为是医院网络安全面临的最大未来威胁。
但受访者对于缓解这些威胁的最大障碍是什么无法达成共识,58.7%的受访者认为是缺乏网络安全人员,54.7%认为缺乏财政资源,而49.3%认为有太多新的或新出现的威胁。
“网络安全攻击可能给医疗提供商和整个社会带来灾难性后果,对于医疗提供商来说,当务之急是认识到解决网络安全问题和采取相应行动的需要,”HIMSS写道,“这项调查还表明医疗提供商正在采取措施来解决网络安全问题。然而,他们还需要做出更多改进才能保持领先于威胁。”
我们一直都在努力坚持原创.......请不要一声不吭,就悄悄拿走。
我原创,你原创,我们的内容世界才会更加精彩!
【所有原创内容版权均属TechTarget,欢迎大家转发分享。但未经授权,严禁任何媒体(平面媒体、网络媒体、自媒体等)以及微信公众号复制、转载、摘编或以其他方式进行使用。】
微信公众号
TechTarget
官方微博
TechTarget中国
翻译
相关推荐
-
思科通过收购Duo来增强云安全性
思科宣布以23.5亿美元收购Duo Security公司,此次收购将为该网络公司的云安全产品组合增添了两步身份 […]
-
Accenture公司的Tammy Moskites探讨CISO职位变化
首席信息安全官(CISO)职位仍在不断发展和成熟,对于这些变化,或许没有人比Tammy Moskites更有话 […]
-
企业没有从过往网络安全事件中吸取教训
根据Pluralsight作家同时也是安全专家Troy Hunt表示,反复发生的网络安全事件表明企业仍然在基础 […]
-
微软公司提供IE浏览器零日“双杀”漏洞补丁
微软公司2018年五月份的周二补丁日提供了IE浏览器零日漏洞补丁修复,该漏洞上个月已经被外部攻击者利用。(译注 […]