近期发布的赛门铁克IT安全及风险管理报告显示,医院分配的IT预算中只有6%投入到网络安全。可见,医院对网络安全的重视程度不足,极容易泄露患者信息也不足为奇了。
医疗网络威胁无处不在
为了更容易、更高效地处理和治疗患者,医疗机构通常会将几个不同的系统连接起来以改善信息的流动和共享。这套体系对医生工作开展极其有益,然而正是由于这种互联性,黑客不费吹灰之力就能访问敏感信息,并可用于实施潜在的欺诈活动,让未经授权的人员访问处方、保险、医疗保险和医疗补助等信息。这类记录越来越有价值,可能会被人滥用。据了解,医疗信息在黑市的售价比其他任何个人记录都要高,能卖到60美元。
虽然心脏起搏器、胰岛素泵、除颤器和输液泵等设备能让生命更易于维持,但也存在几个已知和未知的安全漏洞。联网的医疗设备具有便利的功能,比如无线连接、远程监控等,让医疗专业人员没必要做侵入性治疗,就可以对植入设备进行微调。然而,黑客可以同样使用这些功能来黑入设备并访问医院网络。此外,黑客还可以利用搜索引擎发现连接到互联网的众多设备,这进一步简化了黑客找出并攻击医疗设备的过程。
生命面临危险经济蒙受损失
医疗保健系统的目的是为患者提供护理、健康和康复服务。然而,当计算机网络系统受到攻击时,医疗机构提供这些服务的能力就会受到阻碍,对患者误诊或治疗不当会导致死亡,对医疗设备做手脚也会带来同样的后果,医生也会面临医疗事故的责任。
死亡是医院被黑事件最严重的后果,蒙受重大经济损失是另一大后果。医院通常没有大量的钱来支付勒索金,同样也无力偿付因违反《健康保险可携性及责任性法案》(HIPAA)面临的罚款。除了患者流失外,因信息泄露还会面临集体诉讼高昂的诉讼费。另外,由于有太多医疗保健机构可供选择,如果医院无法保护患者的数据,患者可能会选择其他医疗机构。此外,如果黑客获取了患者记录,还可能实施身份欺诈,使患者自身的经济蒙受损失。
加利福尼亚州圣约瑟夫医疗集团(St.Joseph’sHealthSystem)就尝到了网络被黑的苦果。2016年,患者数据和病史无意中可以通过使用在线搜索引擎来访问后,圣约瑟夫面临一起集体诉讼,最后斥资2800万美元达成了和解协议。最终,该医疗集团花了300万美元偿付与身份窃取有关的费用,花了450万美元用于受害者身份窃取保护技术,花了1350美元支付其他安全费用。(Antwanye Ford)
