这些威胁不仅限于健康危机(如新冠疫情),还包括危险且往往代价高昂的网络攻击。以上周针对普罗斯佩克特医疗控股公司的勒索软件攻击为例——该连锁机构在四个州拥有16家医院和150多家门诊设施。此次攻击迫使该机构关闭全国计算机系统,导致部分机构临时停业,患者无法获得某些非紧急医疗服务。
根据ASPR-TRACIE的报告,该机构致力于通过在规划过程中共享信息和良好实践来弥补医疗系统应急准备能力的不足。报告指出,网络攻击凸显了各类规模和类型的医疗机构实施网络安全最佳实践的必要性。同时强调,医疗机构必须开展扎实的网络事件响应与后果管理规划及演练。
美国网络安全与基础设施安全局(CISA)指出,勒索软件是一种极具破坏性的网络犯罪攻击形式。黑客试图加密受害者的计算机文件,并要求支付赎金——通常以加密货币形式——以换取可能恢复文件访问权限的解密程序。无论受害者是否支付赎金,此类攻击都可能导致受害机构耗费数日甚至数周乃至数月时间,才能使系统恢复正常运行。
2022年10月,拥有140多家医院的CommonSpirit Health医疗集团遭遇勒索软件攻击。超过623,700名患者的个人数据遭泄露,迫使该公司在全国范围内暂停计算机系统运行。截至2023年6月,该事件造成约1.6亿美元损失,并引发两起集体诉讼。
遗憾的是,当今任何医疗机构都无法免疫于先进的网络安全威胁。事实上,根据美国网络安全与基础设施安全局(CISA)的观点,这类机构可能比其他行业更易受攻击。原因何在?医疗信息技术(IT)承担着至关重要的救命功能,其由互联互通的网络系统构成,这些系统广泛运用无线技术,因而更易遭受网络攻击。
尽管面临两难困境,医疗行业仍需优先保障网络安全,在可能时尽可能投入资源以保护患者健康和个人数据。这包括以"何时"而非"是否"发生网络安全事件的视角进行防范准备,并将应对网络攻击纳入机构应急预案。作为全球医疗质量改进与患者安全的重要推动者,联合委员会已强制要求制定此类预案。
鉴于网络安全公司Recorded Future报告称,近期对Prospect Medical Holdings的入侵是今年针对美国医疗保健机构的第157起网络攻击,时间就是生命。
网络犯罪分子全年无休地活动。因此,若贵院或医疗机构已久未审视应急预案(包括应对网络攻击的方案),请将其列为首要任务。此举将助力贵机构维持医疗质量,同时守护患者数据、机构声誉及经营收益。
编者按: 本文章最初发表在 Preparis 业务连续性软件网站上。2024 年 10 月,Mitratech 收购了业务连续性规划和应急响应解决方案的领先供应商Preparis。对内容进行了更新,以反映 Mitratech 扩大的产品范围、行业进步和监管动态。
