最近，全球醫(yī)療保健機構遭受的網絡攻擊令人震驚。當然，其他機構也是大規(guī)模入侵的目標，尤其是在關鍵基礎設施領域。然而，就醫(yī)院和診所而言，任何安全漏洞都可能導致死亡，而不僅僅是經濟損失。

眾所周知，這也是一個對系統(tǒng)、網絡以及物聯(lián)網/醫(yī)療物聯(lián)網 (IoMT) 設備保護水平較低的行業(yè)。一份由 Ponemon Institute 和 Cynerio 聯(lián)合編寫的報告基于 517 位在美國醫(yī)院和衛(wèi)生系統(tǒng)中擔任領導職務的醫(yī)療保健專家提供的數據，其中列出了醫(yī)療保健機構及其專業(yè)人員面臨的最常見風險。

超過一半的受訪者組織 (56%) 在過去 24 個月中經歷過一次或多次涉及醫(yī)療物聯(lián)網/物聯(lián)網設備的網絡攻擊，在此期間平均遭受12.5次攻擊。由于入侵，45% 的受訪者報告了對患者護理的不利影響，其中53%的受訪者(總體為24%)報告了導致死亡率增加的影響。

事情也可能會變得更糟，研究中發(fā)現的另一個事實是，攻擊者經常進行長期操作并重復攻擊。在上述 56% 的受訪者中，他們在過去 24 個月中至少遭受過一次網絡攻擊，其中 82% 在此期間平均遭受了四次或更多次攻擊。特別是，勒索軟件攻擊的發(fā)生率幾乎相似，43%的受訪者經歷過一次攻擊，76%的受訪者平均經歷過三次或更多次攻擊。

說到勒索軟件，醫(yī)院越來越多地考慮支付贖金來作為加快數據恢復的可行選擇——47%經歷過此類攻擊的組織最終支付了贖金，32% 的支付贖金金額在 250,000 美元到 500,000 美元之間。那些沒有支付贖金的組織通常將他們的決定歸因于有效的備份策略(53%)和公司政策(49%)。

轉售患者數據仍然具有價值，43%的受訪者表示在過去24個月中至少經歷過一次數據泄露。其中，65% 在此期間平均經歷了 5 次或更多數據泄露，其中 88% 涉及物聯(lián)網/醫(yī)療物聯(lián)網設備。參與調查的組織估計，涉及該物聯(lián)網/醫(yī)療物聯(lián)網設備的最大數據泄露的平均成本為1300萬美元，包括直接成本、間接成本和商業(yè)機會損失。

主要原因

缺乏安全性的一個原因是缺乏明確的責任。當受訪者被問及哪些高級管理人員主要負責確保高危設備的安全時，沒有一個高級管理人員的答案超過18%。即使是排名靠前的答案也各不相同，包括首席信息官/首席技術官 (18%)、運營主管 (14%)、首席信息安全官/首席安全官 (14%) 和網絡主管 (11%)。

當談到物聯(lián)網/醫(yī)療物聯(lián)網設備產生的安全風險級別時，71% 的受訪者將其評為高或非常高，但只有21%的受訪者表示處于網絡安全主動措施的成熟階段。在大約一半的情況下(46%)，對設備進行了基本驗證，但三分之二的受訪者（67%）沒有跟蹤結果報告。

好消息是，預算持有者一直在爭取更多資源來保護他們的環(huán)境。據估計，本財年典型的IT投資平均為1.45億美元，其中17%集中在安全性上。在安全支出中，平均20%用于物聯(lián)網/醫(yī)療物聯(lián)網設備。

與醫(yī)療保健以外的其他行業(yè)一樣，攻擊者也利用了諸如人員短缺和物聯(lián)網/物聯(lián)網設備安全領域知識匱乏等弱點。受訪者表示最擔心的物聯(lián)網和其他連網設備的主要威脅包括：缺乏對物聯(lián)網網絡的可見性(45%)、網絡釣魚(45%)、零日攻擊(41%)和勒索軟件(39%)。