探索中国CIO人才现状 | 第四季调研报告
医疗记录可以不加密进行传输吗?
2016-09-08  来源:techtarget

最近针对医院和其他医疗提供商的网络安全调查发现了他们的不良习惯,例如传输未加密医疗记录以及缺乏部署安全产品的问题。

这项调查由芝加哥医疗卫生信息和管理系统协会(HIMSS)执行,在一个月左右的时间,他们收到来自119家急性病医疗机构和31家非急性病机构的回复,其中包括医生办公室和门诊办公室。根据调查显示,36%的受访者承认他们在传输时没有加密医疗记录,而只有58.7%会加密静态数据。

“这意味着医疗提供商在以纯文本格式发送受保护的医疗信息和其他数据,这让这些数据很容易通过窃听、数据包嗅探或其他手段被泄露,”HIMSS在报告中写道,“同样,只有61.3%急性病提供商在加密静态数据,48.4%非急性病提供商在加密静态数据。这也会让这些数据面临潜在的篡改以及破坏,还有可能被泄露。”

在调查的网络安全产品中,只有防病毒或反恶意软件、防火墙和审计日志在非急性病提供商间非常普遍。HIMSS认为这可能是由于急性病提供商拥有相对更多的财政资源投资于更广泛的技术。

“在2016年的调查中,医疗提供商的信息安全工具情况表明他们通常仅依靠有限的安全工具,”HIMSS写道,“这可能是因为提供商缺乏适当的人员和/或预算,虽然医疗提供商有广泛的信息安全工具可选择,但急性病医疗机构似乎比非急性病提供商有更多的安全技术。”

防病毒或反恶意软件以及防火墙是超过80%受访者都会使用的安全产品,而只有超过50%的非急性病提供商会同时使用这两种技术以及审计日志。有些工具在使用方面存在很高的差异性,例如补丁和漏洞管理,61.3%的急性病提供商已经部署,而非急性病提供商只有41.9%部署率。

“从本质上讲,只要技术存在,就会有漏洞。这些漏洞有时候可能有很高的利用率,”HIMSS写道,“缺乏漏洞管理工具可能导致出现很大的攻击面。补丁修复、正确的配置以及其他技术可用于解决这些可被利用的漏洞。如果没有部署这样的技术,这可让攻击者有很大的时间窗口来利用未修复的系统,时间就是金钱,对于攻击者来说也是如此,他们可能会寻求唾手可得的目标。”

然而,HIMSS在报告中指出,证据证明医疗提供商和医院网络安全在不断改进。超过70%的受访者称网络安全在过去一年有所改进,而61.3%改善了终端安全,52%改进了灾难恢复。

“除了重大安全事故带来的教训,受访者指出在过去一年中推动他们改进信息安全做法的三个因素;对网络钓鱼攻击和病毒/恶意软件事件作出响应,以及主动解决风险评估的结果,”HIMSS写道,“面对网络钓鱼和拒绝服务攻击、病毒和恶意软件不断增加,医疗提供商自然会想要改进其信息安全状况。”

HIMSS表示受访者想要掌控他们当前和未来所面临的风险,以及医院网络安全可能受到威胁的地方。其中,电子邮件被认为是最大的漏洞区域,网络钓鱼被认为是需要关注的问题,还有对已知软件漏洞的利用。勒索软件被认为是医院网络安全面临的最大未来威胁。

但受访者对于缓解这些威胁的最大障碍是什么无法达成共识,58.7%的受访者认为是缺乏网络安全人员,54.7%认为缺乏财政资源,而49.3%认为有太多新的或新出现的威胁。

“网络安全攻击可能给医疗提供商和整个社会带来灾难性后果,对于医疗提供商来说,当务之急是认识到解决网络安全问题和采取相应行动的需要,”HIMSS写道,“这项调查还表明医疗提供商正在采取措施来解决网络安全问题。然而,他们还需要做出更多改进才能保持领先于威胁。”