美电信商Verizon公布《2017 Verizon Data Breach Report》指出,在2016年医疗保健产业面临的网络攻击中,有72%是勒索软件,是仅次于金融服务的产业,彰显医疗保健产业加强网络安全的迫切性。
然据近期非赢利资安促进组织InformaTIon Systems Security AssociaTIon的调查,只有38%的资安专家认为他们所属组织有适当的资安风险训练计划。
医疗保健产业市调公司Black Book Market Research针对美国322个医疗相关机构决策层人士的调查也发现,84%的机构并未有专责网络安全人员,且仅有11%在2018年有增聘计划,也只有15%的机构设有信息安全长(CISO)等职位。
另一项由Accenture与美国医学会(AMA)合作针对1300名美国医生做的调查显示,64%的机构曾因遭遇网络攻击造成4小时的停机;29%的机构因网络攻击停机一整天;并有53%的受访者表示网络攻击可能会使病患的生命安全受影响。
Forbes列出医疗机构或可用于促进资安的五步骤。首先,医疗机构必须有足够的意识,了解网络攻击不仅有可能会把持病患个人病历要求赎金,甚至可能损害病患生命安全;第二,医疗机构可定期更新安全认证的强度,如定期增加口令或PIN的强度,或增加其它安全认证方法。
第三,定期训练员工对资安风险的认识与责任,例如员工应对恶意电子邮件有所警觉,定期更新对新形态资安威胁的知识;第四,找来受信赖的公正第三方检验公司的资安系统,检视员工训练绩效,并建议改善方法。
最后,在使用新系统,尤其是用于病历交换的系统,最好皆确认其是否能保证高度安全性,并定期检视安全漏洞,倘公司使用智能型手机App,确认诊疗信息并未存于手机上,如此至少能确保手机遭窃或遗失时,敏感信息不会遭取用。
医疗集团Commvault表示,现今BYOD(Bring Your Own Device)的流行,也让IT人员越来越难管理资料的安全性,所幸新技术象是虚拟机器可让医疗人员在不涉及安全性的情形下取用敏感资料,不过医疗机构还是应训练员工对BYOD风险的认识。