赛门铁克杰出医疗架构师声称,医疗服务机构要将网络安全话题从IT部门移到董事会,并将其视作是牵涉全局的业务问题。
HIMSS18在拉斯维加斯开设了网络安全指挥中心
近日,第三份年度HIMSS分析和赛门铁克IT安全及风险管理报告发布。报告显示,尽管有迹象表明医疗保健领域的风险管理趋于成熟,但网络安全危险的缺口依然存在,医疗服务机构对于自身阻止攻击的信心低得可怜。为了支持实行长期、有意义的变革,医疗服务机构需要将网络安全话题从IT部门移到董事会。
高管们逐渐开始重视网络安全
据研究结果显示,60%的IT领导人目前已将风险评估(而不是HIPAA合规)视为促进安全投入的首要因素,94%的领导人将风险评估列为三大因素之一。此外,59%的人表示“风险框架方面的表现”是一大绩效性能指标(KPI)。
报告称,高管们也开始事必躬亲地处理网络安全问题,安全报告要么一经要求就提供(约40%的调查对象),要么经常在开会时提交(约27%)。14%多一点的人主动探讨新的风险或当前风险。
Axel Wirth是HIMSS隐私和安全委员会的杰出医疗架构师,还是赛门铁克的医疗解决方案架构师。他说:“如果医疗服务机构没有将自己视作被攻击的目标,那表明它没有完全了解网络安全在2018年意味着什么。”
网络安全资金投入不足
当下,由于医疗设备的使用,技术环境日益复杂,医疗服务机构在网络安全方面的投入远远不够,且仍对云计算持怀疑态度,不知道如何确保安全,也没有对于安全给予足够的重视。
尽管最近医疗保健行业的网络攻击事件猖獗、破坏严重,但45%的调查对象表示,2017年IT预算总额中投入到IT安全的比例不超过3%,有的甚至是零。
28%的调查对象表示,2018年IT预算中4%-6%投入到安全。只有7.7%的调查对象表示,10%的预算专门用于信息安全。
抵御网络犯罪信心不足
此外,医疗机构抵御网络犯罪方面的信心也低得惊人。2017年,只有6%的人表示对于抵御网络攻击极有信心。报告显示,主要原因是资源有限、人员短缺。73%的调查对象提到预算有限制是三大障碍之一,约63%的人提到人员短缺是一大障碍,40%多点的人表示找不到合适的技能来做好安全工作。
Wirth表示,无论是什么样的挑战,今天的IT安全已与几年前大不一样。它不再是“单点问题”,而是牵涉全局的问题,因为它直接影响医疗服务机构的经营收入、医疗服务和患者安全。
“你解决了一层的安全问题,却发现下一层还有更多的挑战。这就是为什么医疗服务机构的网络安全方法涉及的每个方面都要从业务风险的角度来加以开展。” Wirth说。(沈建苗编译)
