威胁参与者不仅将目标对准IT系统,现在还将目光投向了网络物理系统——从物联网设备到电梯和暖通空调系统等建筑管理系统——这些系统被认为对维护安全的患者护理环境至关重要。
受影响的网络物理系统
与许多其他关键基础设施组织一样,医疗保健提供组织在适应数字化转型的现实时,正变得越来越相互联系。然而,这一领域的独特之处在于,连接到互联网和彼此之间的广泛的网络物理系统,以及对这些系统或设备的成功攻击可能对医疗服务交付或患者安全造成的潜在破坏性影响。
·78%的受访者在过去一年中至少经历过一次网络安全事件。
·47%的人提到至少有一起事件影响了医疗设备和建筑物管理系统等网络物理系统。
·30%的受访者表示,受保护的健康信息等敏感数据受到影响。
·超过60%的人报告称,事故对护理提供造成了中等或严重的影响,另有15%的人报告了严重影响,损害了患者的健康和安全。
令人惊讶的是,在受到勒索软件攻击的受访者中,超过25%的企业支付了赎金。另一个值得注意的财务影响是,超过三分之一的企业在过去一年中遭遇了攻击,造成了100多万美元的损失。
Claroty的首席执行官YanivVardi表示:“医疗保健行业在网络安全方面有很多不利因素——迅速扩大的攻击面、过时的遗留技术、预算限制以及全球网络人才短缺。”
“我们的研究表明,医疗保健组织需要网络行业和监管机构的全力支持,以保护医疗设备免受越来越多的威胁,保护患者的安全。”YanivVardi补充道。
随着医疗保健组织经历数字化转型和技术创新给该行业带来革命性变化,监管要求越来越复杂,而且经常发生变化。跟上标准和理解指导方针可能具有挑战性,调查显示,组织高度重视这些规定,并重视指导。
更高的标准和法规为更强大的网络安全提供了动力,但还有更多工作要做:
·30%的人表示,当前的政府政策和法规需要改进,或者没有采取任何措施来防止威胁。
·大多数受访者认为NIST(38%)和HITRUST网络安全框架(38%)对其组织很重要。
·44%的受访者认为强制事件报告等监管发展是组织整体安全战略中最具影响力的外部因素。
对于认为法规可以改进的组织来说,大多数组织正在寻求帮助制定全面的网络安全战略,这可能反映了医疗环境的日益复杂、不断增长的攻击面,以及认识到需要一种全面的方法来弥合构成风险的差距。
网络技能短缺仍是一项挑战
·超过70%的医疗保健组织希望招聘网络安全职位。
·80%的招聘人员表示,很难找到具备所需技能的合格候选人。