调研 | 医疗设施网络安全风险加剧！医疗机构如何保护网络信息安全？

一项对400名IT专业人员的调查研究发现，大多数受访者担心利用医疗设备发起攻击和实施数据泄露的可能性。

网络安全公司Armis的调研数据表明，IT专业人员在过去12个月里见证了网络风险的不断攀升。

Armis和Censuswide访谈了美国医疗保健行业的400名IT专业人员和2030名大众受访者，发现近60%的IT受访者过去一年来处理过自家公司发生的勒索软件事件。

Armis的数据显示，目前世界范围内大约部署了4.3亿台联网医疗设备，这种情况使得很多医院面临各种各样的网络安全漏洞，这些漏洞广泛存在于气动管、暖通空调系统所用技术、输液泵等设备和技术当中。

超过32%的大众受访者表示自己曾经遭遇过医疗网络安全攻击，而IT行业受访者则表示自己较担心的是近些年来变得很普遍的那种医疗数据泄露事件。

超过半数的IT受访者表示，可导致患者机密信息泄露的数据泄露事件是较受关注的问题。除了数据泄露，23%的IT行业受访者还担忧针对医院运营的攻击，另有13%的受访者则提到了勒索软件攻击。

根据54%的IT专业人员的说法，从网络安全的角度来看，暖通空调和电气设备等楼宇系统的风险较大，其次是成像机、配药设备、值机柜台和生命体征监测设备。

值得庆幸的是，许多IT受访者表示，其所属医疗保健机构逐渐开始重视网络安全，86%的受访者表示所在机构已聘请了首席信息安全官(CISO)，95%的受访者则表示其联网设备已更新至较新版软件。

但75%的受访者称，这些网络安全方面的变化，是在近期多起网络攻击的压力下才出现的。超过半数的IT工作人员称，其所属医疗机构计划分配更多资金来保护系统安全。

超过62%的受访者表示，其所属医疗机构不得不提交网络保险索赔申请。

Armis医疗保健首席技术官Oscar Miranda表示：“持续可见性、上下文，以及安全分析与企业风险的匹配，是我们标定设备与资产管理改进方向的灯塔。”

“在考虑安全的时候，医疗保健机构必须考虑到整个患者历程。强大的医疗保健安全战略是多方面的，需要全面的视角。”

从潜在患者的角度来看，近一半的受访者表示，如果知道自己所在医院遭到勒索软件攻击，可能会更换医院，而37%的受访者担心医院使用在线门户获取患者信息。

在这项调查研究之前，Forescout Technologies和Medigate发布了一份报告，揭示西门子软件存在十多个漏洞，影响一系列供应商生产的约4000台设备。CNN首次报道了这些漏洞，称可影响多个版本的Nucleus实时操作系统(该系统管理患者监护仪、麻醉工具、超声机和X光设备。

医疗机构保护网络信息安全的具体措施：

安企神电脑文件防泄密软件是一款专业的数据防泄密软件，可以灵活控制USB存储设备、禁止U盘使用、禁止网盘上传文件、禁止聊天软件发送文件、禁止邮件附件发送文件、禁止FTP文件上传等，防止通过各种途径将电脑文件泄漏出去。

目前，国内一些上网行为管理软件提供商，在自家的产品中集成了限制USB接口使用的功能。尤其是采用一些基于C/S架构的上网行为管理软件，通过在员工的电脑安装客户端，然后通过网管员所在的服务端远程操控客户端的方式来达到禁止USB优盘使用、禁止移动硬盘、限制蓝牙使用同时不影响USB鼠标、键盘和加密狗使用的目的。毋庸置疑，这种通过服务端远程监控客户端电脑的方式，可以在一定程度上实现监视USB使用、只允许USB鼠标、键盘和加密狗而禁止U盘、限制移动硬盘使用的目的。但是，由于这种客户端很容易被安全软件、杀毒软件视为病毒而进行查杀或禁止开机启动或禁止客户端的通讯端口等方式而导致客户端被移除或失效，从而无法再进行远程监控电脑USB接口的功能。因此，通过这种C/S架构的方式来控制电脑USB接口的使用变得比较脆弱，无法达到有效监视电脑USB接口使用的目的。