2021 年,近 5000 万份患者记录受到重大医疗数据泄露事件的影响。
最近,Tenet 医疗保健公司报告了 4 月份的一次网络攻击,他们估计需要花费 1 亿美元才能缓解这次攻击。Tenet Healthcare 是一家总部位于得克萨斯州达拉斯市的大型医疗保健机构,拥有 60 家医院、465 个非住院手术中心和 110 个其他门诊中心。
Tenet Healthcare 是一次网络攻击的受害者,这次攻击造成了严重的 IT 故障。根据 4 月 26 日的通知,Tenet "立即暂停用户访问受影响的信息技术应用程序,实施了广泛的网络安全保护协议,并迅速采取措施限制进一步的未经授权活动"。
医疗保健网络攻击的威胁
最近,医疗保健行业受到了网络犯罪分子的攻击。2021 年,有 4500 万人受到医疗保健相关网络攻击的影响,而 2020 年这一数字为 3400 万。一份报告对医疗机构向美国卫生与公众服务部(HHS)报告的漏洞数据进行了研究,根据该报告,这一数字在短短三年内增加了两倍,从 2018 年的 1400 万增加到 2019 年的 4200 万。
自 2020 年以来,受影响的总人数增加了 32%,这表明每年有更多的记录遭到泄露。
医疗保健行业是黑客攻击的目标,因为该行业广泛使用电子病历和其他敏感数据,这些数据可用于谋取经济利益或实施身份盗窃。
以下是这些攻击所影响的一些领域:
- 患者隐私:健康信息是高度个人化的机密信息。黑客可以利用这些数据窃取身份信息、勒索个人和/或利用社会安全号等私人信息敲诈勒索。他们还可能在暗网市场上将您的健康信息出售给想对您或您的家人实施欺诈或勒索的坏人。
- 医疗记录: 这包括病人档案,如化验报告、X 光片、医生笔记、处方信息等,以硬拷贝和数字形式存储。这些文件包含有关个人病史的敏感信息,包括疾病状况、治疗制度详情等,如果未经授权的人恶意访问,可能会导致身份被盗。
网络攻击如何影响医疗保健行业?
对医疗机构的网络攻击可能导致人员伤亡,并造成资金、声誉和数据损失。
在最近一次针对医疗机构的网络攻击中,黑客获取了美国和加拿大各地医院的病人医疗记录。在某些情况下,他们可能会窃取在这些机构使用信用卡的患者的信用卡信息。这种欺诈行为只是网络攻击如何对业务连续性战略产生负面影响的一个例子。
业务连续性规划和灾难恢复如何帮助减轻网络攻击的影响
网络攻击不断演变,变得越来越复杂。为确保关键系统受到保护,您必须制定业务连续性管理计划(BCMP)。
业务连续性规划是开发预防和恢复系统,以保护组织免受潜在威胁。它是建立组织复原力和准备工作的框架;业务连续性规划旨在确保在事件发生之前、期间和之后继续运营。
- 确定业务流程并对其进行优先排序,以确定所需的计划;进行风险评估,以确定和量化威胁。
- 确定业务连续性战略并制定计划。
- 维护计划--更新风险评估、业务影响分析和计划;通过定期演习确保对计划的认识和验证。
业务连续性计划有助于在发生网络攻击时保持正常运转
业务连续性计划(BCP)是确保企业从网络攻击中恢复的重要一步。BCP 规定了公司如何在中断期间维持运营。健全的 BCP 旨在灾难期间保持公司核心流程的正常运行,并最大限度地减少停机时间。业务连续性计划可以考虑各种情况,包括自然灾害、野火、网络攻击、工作场所暴力和孤立事件。
减轻医疗保健网络攻击的三种策略
三项关键策略可帮助您在遭受网络攻击时保持正常运行:
业务连续性计划和业务连续性管理(及软件)
业务连续性计划对于确保组织从网络攻击中恢复的能力至关重要。您应该制定应急计划,明确不同情况下的角色、责任和流程。
紧急通知
在应对灾难和在中断后恢复运行时,紧急通知系统是不可或缺的。这些计划的一部分应包括向员工发出安全事故警报,以便他们知道在 IT 人员恢复正常运行之前如何以最佳方式行事。
例如,如果一个办公室发生网络攻击,而员工缺乏必要的培训,又没有立即报告事件,那么后果可能会很严重。这样就无法保持业务连续性,组织可能会遭受重大的财产、资产和资源损失。
灾难恢复即服务(DRaaS)
如果贵公司严重依赖技术,从外部供应商购买额外的备份数据存储服务可能是明智之举,以防办公地点出现问题。
业务连续性计划对医院至关重要
随着勒索软件和其他网络攻击的兴起,医院制定业务连续性计划比以往任何时候都更加重要。BCP 可帮助组织在灾难或其他破坏性事件发生后继续运营。然而,根据 IBM 和 Ponemon Institute 委托进行的研究,在接受调查的医疗机构中,只有 43% 的医疗机构有记录在案的业务连续性计划,这使它们面临着严重停机的风险。
当您回想起自己作为病人的医疗保健经历时,您可能会希望:
- 无感染的医院
- 医院拥有懂得如何护理您的称职员工
- 能够确保您隐私的医院
业务连续性计划有助于确保在网络攻击等紧急情况下实现这些目标。
结论
医疗保健行业正遭受网络攻击的沉重打击,但有一些方法可以保护您的组织。业务连续性规划是确保您的组织免受这些威胁的一种方法。通过在流程的各个阶段监控和降低风险,您可以确保患者始终得到最好的护理。准备就绪,随时为您提供帮助。
编者按: 本文章最初发表在 Preparis 业务连续性软件网站上。2024 年 10 月,Mitratech 收购了业务连续性规划和应急响应解决方案的领先供应商Preparis。对内容进行了更新,以反映 Mitratech 扩大的产品范围、行业进步和监管动态。
