在醫療行業，數據泄露很常見，而且代價高昂。根據 IBM 的《2023 年數據泄露成本報告》，屬于醫療范疇的兩個垂直行業——醫療保健和制藥——位居數據泄露平均成本最高的列表之首。

醫療行業位居損失最慘重的數據泄露的首位可能并不令人意外。憑借其敏感且有價值的數據資產，它是最受攻擊的行業之一。制藥行業位居第三可能更令人驚訝。

數據安全風險高

針對制藥行業的攻擊不像醫療保健、金融或零售行業那樣廣為人知。然而，制藥與醫療保健有很多相似之處。除了患者信息外，制藥公司的網絡基礎設施還托管公司專有數據，例如藥物專利的知識產權、臨床試驗結果、制造物聯網和 OT 設備以及有關研究主題的信息。針對該行業的攻擊可能會擾亂重要的研究或清除門診處方記錄。

盡管數據泄露沒有什么好處，但有跡象表明制藥行業在網絡安全方面正在采取正確的措施。制藥違規造成的損失從 2022 財年的 501 萬美元下降到 2023 財年的 482 萬美元。檢測（189 天）和遏制（66 天）所需的時間比全球平均 204 天要快。識別并遏制 73 天。

制藥數據泄露最常見的根本原因是惡意攻擊 (45%)、人為錯誤 (28%) 和 IT 故障 (27%)。威脅行為者正在使用網絡釣魚、泄露的憑據和云錯誤配置作為選擇的攻擊媒介。數據存儲位置也很重要。本地存儲和私有云被破壞的頻率低于公共云，但那些使用多云環境的組織是最不安全的，而且這種環境的破壞成本最高。

合規性和法規

任何數據泄露的成本都受到行業必須遵守的合規法規數量的影響。根據《數據泄露成本》報告，如果一個行業受到嚴格監管，則其 58% 的數據泄露成本在第一年后會繼續累積。

制藥行業被認為是一個受到高度監管的行業。健康保險流通和責任法案 (HIPAA) 可能是最引人注目的，但醫療保健信息和管理系統協會發現網絡安全專業人員缺乏 HIPAA 合規性培訓。這種疏忽進一步增加了安全風險。

FDA還制定了新的指南來確保醫療設備的網絡安全。設備和藥品的制造流程應遵循良好制造規范的規定，供應鏈必須采用良好的分銷規范。由于生物制造屬于制藥業，因此公司還必須遵守《國防授權法》。由于許多制藥公司在各州和全球各地設有工廠、研究設施和辦事處，因此他們有責任遵守所有當地的法令和法規。

這只是行業必須遵守的法規的一個示例。網絡安全在許多不同的監管領域中占據著更高的優先地位。未能滿足合規性可能會導致許可證暫停或重罪指控，以及巨額罰款。同樣，這些處罰可以在多個州或國家征收，具體取決于違反規則的地點和方式。

藥品安全解決方案

人工智能是當下的流行語，每個人都想加入人工智能的行列。然而，制藥行業已經在其安全工具和自動化中利用人工智能，40% 的公司表示他們廣泛使用該技術。人工智能是制藥公司 OT 和物聯網環境中特別有用的安全工具。

雖然其他安全實踐（例如應用 IBM Security Guardium等系統來保護混合云和多云環境，或采用 DevSecOps 方法將安全性構建到軟件和硬件開發中）是任何網絡安全計劃的必要組成部分，但預計制藥行業將使用自動化和人工智能的領導者，特別是構建生成式人工智能，以更好地分析異常數據并發現網絡中的入侵者。