主持人 > 博客 > 管理 > 關於醫療信息系統網絡安全的大型常見問題解答

關於醫療信息系統網絡安全的大型常見問題解答

對2007年至2017年期間醫療信息系統相關網絡安全威脅的分析回顧。

– 俄羅斯的醫療信息系統有多普遍?
- 您能否告訴我們更多有關統一國家衛生信息系統 (EGSIZ) 的信息?
– 能否介紹一下國內醫療信息系統的技術特點?
– 國內EMIAS系統的網絡安全情況如何?
– 醫療信息系統的網絡安全狀況如何?
計算機病毒會感染醫療設備嗎?
– 勒索軟件病毒對醫療行業有多危險?
– 如果網絡事件如此危險,為什麼醫療設備製造商要將其設備計算機化?
- 為什麼網絡犯罪分子從金融部門和零售商店轉向醫療中心?
– 為什麼勒索軟件感染在醫療領域增加並持續增加?
– 受 WannaCry 影響的醫生、護士和患者 – 他們的結局如何?
– 網絡犯罪分子如何危害整形外科診所?
- 網絡犯罪分子竊取了醫療卡 - 這對其合法所有者有何威脅?
– 為什麼盜竊醫療卡的需求如此增長?
- 社會安全號碼被盜與偽造犯罪行業有何關係?
– 今天有很多關於人工智能係統的前景和安全性的討論。 醫療領域的進展如何?
醫療界是否從WannaCry事件中吸取了教訓?
– 醫療中心如何確保網絡安全?

關於醫療信息系統網絡安全的大型常見問題解答


這篇評論附有一封來自俄羅斯聯邦衛生部的感謝信(見劇透下方的屏幕截圖)。

關於醫療信息系統網絡安全的大型常見問題解答

俄羅斯的醫療信息系統有多普遍?

  • 2006年,Informatics of Siberia(一家專門從事醫療信息系統開發的IT公司)報導[38]:“《麻省理工科技評論》定期發布一份傳統列表,列出了十種有前途的信息和通信技術,這些技術將對人類生活產生最大的影響。不久的將來,社會。 2006年,該列表中的6個位置中有10個以某種方式被與醫學相關的技術佔據。 俄羅斯宣布2007年為“醫療信息化年”。 從2007年到2017年,醫療保健對信息和通信技術的依賴不斷增長。”
  • 10年2012月41日,信息和分析中心“開放系統”報導[2012],350年,莫斯科有24家綜合診所連接到EMIAS(統一醫療信息和分析系統)。 稍後,即 2012 年 42 月 3,8 日,同一消息來源報導[1,8],目前 12 名醫生擁有自動化工作站,2015 萬公民已經嘗試過 EMIAS 服務。 40 年 660 月 7 日,同一消息來源報導 [XNUMX] EMIAS 在莫斯科所有 XNUMX 家州立綜合診所運營,包含超過 XNUMX 萬患者的數據。
  • 25年2016月43日,Profile雜誌發表[25]普華永道國際分析中心的專家意見:“莫斯科是唯一全面實施城市綜合診所統一管理系統的大都市,而俄羅斯其他城市也有類似的解決方案。包括紐約和倫敦在內的世界都只是在討論中”。 Profile還報導,截至2016年75月9日,20%的莫斯科人(約240萬人)在EMIAS註冊,超過500萬名醫生在該系統工作; 系統上線以來,已累計預約醫生超過10億次; 系統每天執行超過 2017 萬次不同的操作。 39 年 97 月 XNUMX 日,Ekho Moskvy 報導[XNUMX],目前莫斯科超過 XNUMX% 的醫療預約都是通過 EMIAS 進行預約。
  • 19年2016月11日,俄羅斯聯邦衛生部長Veronika Skvortsova表示[2018],到95年底,該國83%的醫療中心將接入統一國家衛生信息系統(EGISZ)——通過引入統一的電子病歷(EMC )。 要求俄羅斯各地區連接到該系統的相關法律已經經過公開討論,並得到所有感興趣的聯邦機構的同意,並將很快提交給政府。 Veronika Skvortsova 表示,他們在 66 個地區組織了電子醫生預約; 81個科目實行區域統一救護車調度系統; 醫療信息系統在全國57個地區運行,11%的醫生已連接工作站。 [十一]

您能否告訴我們更多有關統一國家衛生信息系統 (EGSIZ) 的信息?

  • USSIZ是國內所有HIS(醫療信息系統)的根。 它由區域片段組成——RISUZ(區域健康管理信息系統)。 上面已經提到的EMIAS是RISUS(最著名、最有前途)的複製品之一。 [51] 正如《信息服務總監》雜誌的編輯所解釋的[56],USSIZ 是一個云網絡 IT 基礎設施,其區域部分的創建是由位於加里寧格勒、科斯特羅馬的研究中心進行的,新西伯利亞、奧廖爾、薩拉托夫、托木斯克等俄羅斯聯邦城市。
  • USSIZ的任務是消除醫療保健的“拼湊信息化”; 通過鏈接各個部門的MIS,在引入USSIZ之前,每個部門都使用自己定制的軟件,沒有任何統一的集中標準。 [54] 自 2008 年以來,26 個行業特定的 IT 標準一直是俄羅斯聯邦統一醫療信息空間的核心[50]。 其中 20 個是國際的。
  • 醫療中心的工作很大程度上依賴於HIS,例如OpenEMR或EMIAS。 HIS 提供患者信息的存儲:診斷結果、處方藥數據、病史等。 最常見的 HIS 組件(截至 30 年 2017 月 3 日): EHR(電子健康記錄)是一種電子病歷管理系統,以結構化形式存儲患者數據並維護其病史。 NAS(網絡附加存儲)——網絡存儲。 DICOM(醫學數字成像和通信)是醫學數字成像和通信的標準。 PACS(圖片存檔和通信系統)是按照DICOM標準運行的圖像存儲和交換系統。 創建、存儲和可視化檢查患者的醫學圖像和文檔。 最常見的 DICOM 系統。 [XNUMX] 所有這些 IIAs 都容易受到精心設計的網絡攻擊,其詳細信息是公開的。
  • 2015 年,Zhilyaev P.S.、Goryunova T.I. 奔薩州立理工大學的技術專家 Volodin K.I. 和 Volodin K.I. 在其關於醫療領域網絡安全的文章中告訴[57],EMIAS 包括: 1)IMEC(集成醫療電子卡); 2) 全市患者登記冊; 3)病人流量管理系統; 4)綜合醫療信息系統; 5)合併管理會計製度; 6)個性化醫療核算系統; 7)醫療登記管理系統。 至於CPMM,根據Ekho Moskvy radio的報告[39](10年2017月XNUMX日),該子系統是基於OpenEHR標準的最佳實踐構建的,是技術發達國家正在逐步轉向的最先進技術。
  • 《Computerworld Russia》雜誌的編輯還解釋說 [41],除了將所有這些服務相互集成以及與醫療機構的 MIS 集成之外,UMIAS 還與聯邦片段“EGIS-Zdrav”的軟件集成(EGIS 是統一的國家信息系統)和電子政府,包括公共服務門戶。 稍後,25 年2016 月43 日,《Profile》雜誌的編輯澄清[XNUMX],UMIAS 目前結合了多種服務:情況中心、電子登記、電子病歷、電子處方、病假證明、實驗室服務和個性化服務。會計。
  • 7年2016月59日,《信息服務主管》雜誌的編輯報導[XNUMX] EMIAS來到藥店。 莫斯科所有按優惠處方銷售藥品的藥店都推出了“管理民眾藥品供應的自動化系統”——M-Pharmacy。
  • 19年2017月58日,同一消息來源報導[2015],自XNUMX年以來,與UMIAS集成的統一放射信息服務(ERIS)的實施已在莫斯科開始。 對於轉診患者進行診斷的醫生,我們開發了用於 X 射線研究、超聲波、CT 和 MRI 的流程圖,這些流程圖與 EMIAS 集成。 隨著項目的擴展,計劃將擁有眾多設備的醫院連接到該服務。 很多醫院都有自己的HIS,也需要整合。 Profile編輯還表示,看到首都的積極經驗,各地區也對實施UMIAS產生了興趣。

您能否詳細介紹一下國內醫療信息系統的技術特點?

  • 本段信息取自分析評論[49]“西伯利亞信息學”。 大約70%的醫療信息系統是建立在關係數據庫之上的。 1999年,47%的醫療信息系統使用本地(桌面)數據庫,絕大多數情況下使用dBase表。 這種方法是醫學軟件開發初期和高度專業化產品創建的典型方法。
  • 國內基於桌面數據庫的系統數量每年都在減少。 2003年,這個數字僅為4%。 迄今為止,幾乎沒有開發人員使用 dBase 表。 一些軟件產品使用自己的數據庫格式; 它們通常用於電子藥理學參考書中。 目前,國內市場上已經有一個基於自己的“客戶端-服務器”架構的DBMS構建的醫療信息系統:e-Hospital。 很難想像做出此類決定的客觀原因。
  • 國內醫療信息系統開發中,主要使用以下DBMS:Microsoft SQL Server(52.18%)、Cache(17.4%)、Oracle(13%)、Borland Interbase Server(13%)、Lotus Notes/Domino(13%) 。 作為比較:如果我們分析所有使用客戶端-服務器架構的醫療軟件,那麼Microsoft SQL Server DBMS的份額將為64%。 許多開發人員 (17.4%) 允許使用多個 DBMS,最常見的是 Microsoft SQL Server 和 Oracle 的組合。 兩個系統(IS Kondopoga [44] 和 Paracelsus-A [45])同時使用多個 DBMS。 所有使用的 DBMS 都分為兩種根本不同的類型:關係型和後關係型(面向對象)。 目前,國內醫療信息系統70%建立在關係型DBMS之上,30%建立在後關係型DBMS之上。
  • 醫療信息系統的開發使用了多種編程工具。 例如,DOKA+ [47] 是用 PHP 和 JavaScript 編寫的。 “E-Hospital”[48]是在Microsoft Visual C++環境下開發的。 amulet 位於 Microsoft Visual.NET 環境中。 Infomed[46]運行在Windows(98/Me/NT/2000/XP)下,具有兩級客戶端-服務器架構; 客戶端部分採用Delphi編程語言實現; 服務器部分由Oracle DBMS 控制。
  • 大約 40% 的開發人員使用 DBMS 內置的工具。 42% 使用自己的開發成果作為報告編輯器; 23% - DBMS 中內置的工具。 為了自動化程序代碼的設計和測試,50% 的開發人員使用 Visual Source Safe。 作為創建文檔的軟件,85% 的開發人員使用 Microsoft 產品 - Word 文本編輯器,或者例如 e-Hospital 的創建者 Microsoft Help Workshop。
  • 2015年,Ageenko T.Yu。 莫斯科理工學院的技術專家Andrianov A.V.發表文章[55],詳細描述了醫院自動化信息系統(HAIS)的技術細節,包括醫療機構的典型網絡基礎設施和迫切需要解決的問題。確保其網絡安全的問題。 GAIS 是一個安全網絡,EMIAS 通過該網絡運行,是俄羅斯最有前途的 MIS。
  • 西伯利亞信息學指出[53],參與MIS開發的兩個最權威的研究中心是俄羅斯科學院程序系統研究所(位於俄羅斯古城佩列斯拉夫爾-扎列斯基)和非營利組織發展和提供專業醫療護理基金168”(位於新西伯利亞Akademgorodok)。 西伯利亞信息學本身也可以包含在此列表中,位於鄂木斯克市。

國內EMIAS系統的網絡安全情況如何?

  • 10 年2017 月39 日,EMIAS 項目負責人弗拉基米爾·馬卡洛夫(Vladimir Makarov) 在接受莫斯科迴聲電台採訪時分享了他的想法[90],即絕對的網絡安全並不存在:“數據洩露的風險始終存在。 你必須習慣這樣一個事實:使用任何現代技術的結果就是你的一切都會被人知道。 他們甚至打開各州第一人的電子郵箱。” 在這方面,可以提及最近發生的一起事件,其中約 XNUMX 名英國議會議員的電子郵件遭到洩露。
  • 12年2015月40日,莫斯科信息技術部談到了EMIAS的ISIS(綜合信息安全系統)的四個關鍵點[1]:2)物理保護——數據存儲在位於地下房間的現代服務器上,訪問受到嚴格監管; 3) 軟件保護——數據通過安全通信通道以加密形式傳輸; 此外,一次只能獲取一名患者的信息; XNUMX) 數據授權訪問——醫生通過個人智能卡進行身份識別; 對於患者,根據 MHI 政策和出生日期提供雙因素身份識別。
  • 4)醫療數據和個人數據分開存儲在兩個不同的數據庫中,這進一步保證了其安全性; EMIAS 服務器以匿名形式積累醫療信息:看醫生、預約、殘疾證明、轉診、處方和其他詳細信息; 個人數據 - MHI 保單號碼、姓氏、名字、父名、性別和出生日期 - 包含在莫斯科市強制醫療保險基金的數據庫中; 這兩個數據庫中的數據只有在醫生進行身份識別後才能在醫生的監視器上以視覺方式連接起來。
  • 然而,儘管這種 EMIAS 保護看似堅不可摧,但現代網絡攻擊技術(其細節已公開)甚至可以破解此類保護。 例如,請參閱對新 Microsoft Edge 瀏覽器的攻擊的描述 - 在沒有軟件錯誤且所有可用保護處於活動狀態的情況下。 [62]此外,程序代碼中沒有錯誤本身就已經是一個烏托邦了。 有關此內容的更多信息,請參閱“網絡防御者的骯髒秘密”演示文稿。 [63]
  • 27年2017月64日,因大規模網絡攻擊,Invitro診所暫停了在俄羅斯、白俄羅斯和哈薩克斯坦的生物材料收集和檢測結果的發布。 [XNUMX]
  • 12年2017月60日,卡巴斯基實驗室記錄[45] WannaCry勒索軟件病毒在全球74個國家成功發起了15次網絡攻擊; 此外,大多數襲擊發生在俄羅斯境內。 三天后(2017 年 61 月 200 日),反病毒公司 Avast 記錄[13] WannaCry 勒索軟件病毒已發起 2017 萬次網絡攻擊,並報告其中一半以上發生在俄羅斯。 BBC通訊社(61年XNUMX月XNUMX日)報導稱,在俄羅斯,衛生部、內政部、中央銀行和調查委員會等成為病毒的受害者。 [XNUMX]
  • 然而,這些部門和俄羅斯其他部門的新聞中心一致斷言,WannaCry 病毒的網絡攻擊雖然發生過,但並未取得成功。 大多數關於 WannaCry 事件的俄語出版物在提到一個或另一個俄羅斯機構時,都匆忙添加這樣的話:“但根據官方數據,沒有造成任何損害。” 另一方面,西方媒體確信 WannaCry 病毒網絡攻擊的後果比俄語媒體所描述的更為明顯。 西方媒體對此深信不疑,甚至澄清俄羅斯沒有參與這次網絡攻擊。 更相信誰——西方媒體還是國內媒體——是每個人的個人問題。 同時,值得考慮的是,雙方誇​​大和淡化可靠事實都有各自的動機。

醫療信息系統的網絡安全狀況如何?具體數字如何?

  • 1 年 2017 月 18 日,Rebecca Weintrab(布萊根婦女醫院主任醫師、博士)和 Joram Borenstein(網絡安全工程師)在《哈佛商業評論》上發表的聯合文章中指出 [XNUMX]時代大大簡化了醫療數據的收集和不同醫療中心之間醫療記錄的交換:如今,患者的醫療記錄已變得可移動和便攜。 然而,這種數字便利的代價是醫療中心面臨嚴重的網絡安全風險。
  • 3年2017月24日,SmartBrief通訊社報導[2017],250年前兩個月,大約發生了50起網絡安全事件,導致超過30萬條敏感記錄被盜。 其中 16% 的事件發生在中小型企業(不包括醫療保健行業)。 大約 22% - 落在衛生部門。 不久之後,即 2017 月 XNUMX 日,同一機構報告 [XNUMX],XNUMX 年網絡安全事件的領頭羊是醫療行業。
  • 17年2013月21日,網絡安全諮詢公司Smart Solutions首席執行官Michael Greg報告[2012],94年,65%的醫療中心成為機密信息洩露的受害者。 這比 2010-2011 年增加了 45%。 更糟糕的是,2012% 的醫療中心報告稱,隨著時間的推移,機密信息洩露的規模變得越來越嚴重; 並承認,2013年至XNUMX年期間,此類嚴重洩密事件已超過五起。 不到一半的醫療中心確信可以防止此類洩漏,或者至少您可以發現它們已經發生。
  • Michael Greg 還報導[21],在2010 年至2012 年期間,短短三年內,超過20 萬患者成為EHR 失竊的受害者,其中包含敏感的機密信息:診斷、治療程序、賬單信息、保險詳細信息、社交信息。安全號碼保險等。 竊取電子病歷的網絡犯罪分子可以通過多種方式使用從中收集的信息(請參閱“社會安全號碼盜竊與犯罪偽造行業有何關係?”段落)。 然而,儘管如此,醫療中心對電子病歷的保護往往比對個人電子郵件的保護要弱得多。
  • 2年2014月10日,麻省理工學院技術專家Mike Orkut表示[2014],勒索軟件感染事件每年都在增加。 600年,此類事件比2013年增加了26%。此外,美國聯邦調查局報告[2016],4000年每天發生的數字勒索案件超過2015起,是XNUMX年的四倍。 與此同時,令人擔憂的不僅是勒索軟件感染事件的增加趨勢; 有針對性的攻擊逐漸增加也令人震驚。 此類攻擊最常見的目標是金融機構、零售商和醫療中心。
  • 19年2017月23日,BBC通訊社發布[2017] Verizon 72年報告稱,12%的勒索軟件事件發生在醫療領域。 與此同時,過去50個月裡,此類事件的數量增加了XNUMX%。
  • 1年2017月18日,《哈佛商業評論》發表[2015]美國衛生與公共服務部提供的一份報告稱,113年超過2016億份電子病歷被盜。 16 年——超過 2016 萬。 與此同時,儘管與2017年相比,事件數量大幅下降,但總體趨勢仍在增長。 27 年初,智庫 Expirian 表示[XNUMX],醫療保健是迄今為止網絡犯罪分子最追捧的目標。
  • 醫療系統中患者數據的洩露正逐漸成為[37]醫療保健領域最緊迫的問題之一。 因此,據 InfoWatch 稱,在過去兩年(2005-2006 年)中,就有二個醫療機構洩露了患者信息。 與此同時,60% 的數據洩露並非通過通信渠道發生,而是通過特定人員將機密信息帶到組織外部。 只有 40% 的信息洩露是由於技術原因造成的。 醫療信息系統網絡安全中最薄弱的環節[36]是人。 您可以花費大量資金來創建安全系統,而低薪員工將以該成本的千分之一出售信息。

計算機病毒會感染醫療設備嗎?

  • 17年2012月1日,麻省理工學院技術專家David Talbot報告[XNUMX],醫療中心內使用的醫療設備正在變得更加計算機化、更加“智能”並且更靈活地重新編程; 並且也越來越具有支持聯網的功能。 因此,醫療設備越來越容易受到網絡攻擊和病毒的影響。 由於製造商通常不允許對其硬件進行修改,即使是為了使其網絡安全,這一事實也加劇了這個問題。
  • 例如,2009年,Conficker網絡蠕蟲滲透到貝斯以色列醫療中心並感染了那裡的一些醫療設備,包括產科護理工作站(來自飛利浦)和透視工作站(來自通用電氣)。 為了防止今後再發生類似事件,該醫療中心的IT主管、哈佛醫學院兼職教授、博士學位約翰·哈爾馬克決定禁用該設備上的網絡支持功能。 然而,他面臨著設備“因監管限制無法升級”的事實。 他花了相當大的精力與製造商協調以禁用網絡功能。 然而,斷開網絡連接遠非理想狀態。 尤其是在醫療設備日益一體化和相互依賴的背景下。 [1]
  • 這是關於醫療中心內使用的“智能”設備。 但也有可穿戴醫療設備,包括胰島素泵和植入式起搏器。 他們越來越多地遭受網絡攻擊和計算機病毒感染。 [1] 順便說一句,12 年2017 月28 日(WannaCry 勒索病毒勝利的日子),一位心臟外科醫生報告[XNUMX],在他的心臟手術過程中,幾台電腦當機了,但幸運的是,他還是成功地完成了手術。

勒索軟件病毒對醫療行業有多危險?

  • 3 年 2016 月 19 日,網絡安全公司 Carbonite 的首席執行官 Mohammed Ali 在《哈佛商業評論》中解釋[19],勒索軟件是一種阻止用戶訪問其係統的計算機病毒; 直到支付贖金。 勒索軟件病毒會對硬盤進行加密,導致用戶無法訪問其計算機上的信息,並且為了提供解密密鑰,勒索軟件病毒會要求贖金。 為了避免與執法部門會面,攻擊者使用匿名支付方式,例如比特幣。 [XNUMX]
  • Muhammad Ali 還報導[19],勒索軟件分發者發現,攻擊普通公民和小企業主時,最佳贖金價格為 300 至 500 美元。 這是許多人願意放棄的金額——面臨著失去所有數字儲蓄的前景。 [19]
  • 16 年 2016 月 13 日,《衛報》報導[XNUMX],由於勒索軟件感染,好萊塢長老會醫療中心的醫務人員無法訪問其計算機系統。 結果,醫生被迫傳真,護士被迫將病歷記錄在老式紙質病歷上,患者被迫親自去醫院領取檢查結果。
  • 17年2016月30日,好萊塢長老會醫療中心發表聲明[5],內容如下:“40月17000日晚,我們的員工無法訪問醫院網絡。 該惡意軟件鎖定了我們的計算機並加密了我們的所有文件。 執法部門立即接到通知。 網絡安全專家幫助恢復了對我們計算機的訪問。 要求的贖金為 XNUMX 比特幣(XNUMX 美元)。 恢復我們的系統和管理功能的最快、最有效的方法是支付贖金,等等。 獲取解密密鑰。 為了恢復醫院系統的健康,我們被迫這樣做。”
  • 12年2017月28日,《紐約時報》報導[XNUMX],由於WannaCry事件,一些醫院陷入癱瘓,甚至連新生兒的名牌都無法打印。 在醫院裡,病人被告知:“我們無法為您服務,因為我們的電腦出了故障。” 在倫敦這樣的大城市聽到這樣的聲音是相當不尋常的。

如果網絡事件如此危險,為什麼醫療設備製造商要對其設備進行計算機化?

  • 9年2008月2日,麻省理工學院技術專家克里斯蒂娜·格里凡蒂尼(Cristina Grifantini)在她的文章《醫療中心:即插即用時代》[XNUMX]中指出:醫院中各種令人恐懼的新型“智能”醫療設備有望為患者提供更好的護理。 然而,問題是這些設備通常彼此不兼容,即使是由同一製造商生產的。 因此,醫生迫切需要將所有醫療設備集成到一個計算機化網絡中。
  • 9 年 2009 月 2 日,退伍軍人健康管理局 IT 專家、哈佛大學醫學院兼職教授、博士 Douglas Rosendale 表示[XNUMX]醫療設備計算機化集成的迫切需要:具有封閉的架構,來自不同的供應商- 但問題是它們無法相互交互。 這使得照顧病人變得困難。”
  • 當醫療設備進行獨立測量且不相互交換時,它們無法全面評估患者的病情,因此無論有無理由,稍有偏差就會發出警報。 這給護士帶來了很大的不便,尤其是在重症監護室,那裡有很多這樣的獨立設備。 沒有網絡的整合和支持,重症監護室將成為一座瘋人院。 本地網絡的集成和支持使得協調醫療設備和醫療信息系統的工作(特別是這些設備與患者EHR的交互)成為可能,從而顯著減少誤報的數量。 [2]
  • 醫院有很多過時的昂貴設備,不支持聯網。 由於迫切需要集成,醫院要么逐步更換新設備,要么對其進行改造,使其能夠集成到整個網絡中。 與此同時,即使有了考慮到集成可能性而開發的新設備,這個問題也沒有得到徹底解決。 因為每個醫療設備製造商在永恆的競爭驅動下,都努力確保其設備只能相互集成。 然而,許多急診部門需要一套特定的設備,而製造商無法單獨提供這些設備。 因此,選擇一家製造商並不能解決兼容性問題。 這是阻礙複雜集成的另一個問題。 醫院正在大力投資其解決方案。 因為彼此不兼容的設備會使醫院因誤報而變成瘋人院。 [2]
  • 13 年2017 月17 日,約翰霍普金斯大學醫學院的博士醫師兼患者安全副主任Peter Pronowost 在《哈佛商業評論》上分享了[XNUMX] 他對醫療設備計算機化需求的想法:“以呼吸機為例, - 幫助機器。 患者肺部的最佳通氣模式直接取決於患者的身高。 患者的身高存儲在 EHR 中。 通常,呼吸器不與 EHR 交互,因此醫生必須手動獲取此信息,在紙上進行一些計算,並手動設置呼吸器的參數。 如果呼吸器和電子病歷通過計算機網絡連接,那麼該操作就可以自動化。 許多其他醫療設備也存在類似的醫療設備維護程序。 因此,醫生每天要進行數百次例行手術; 這伴隨著錯誤——雖然很少見,但不可避免。
  • 新的計算機化病床配備了一套高科技傳感器,可以監測躺在床上的患者的各種參數。 例如,這些床通過跟踪患者在床上的運動動態,可以確定他是否有患壓瘡的風險。 這些高科技傳感器佔整張床成本的 30%。 然而,如果沒有計算機化的集成,這張“智能床”的用處不大——畢竟它無法與其他醫療設備找到共同語言。 測量心率、MPC、血壓等的“智能無線監視器”也觀察到類似的情況。 如果不將所有這些設備集成到單個計算機化網絡中,並且最重要的是確保與患者的 EHR 直接交互,那麼它就沒有什麼用處。 [17]

為什麼網絡犯罪分子從金融部門和零售商店轉向醫療中心?

  • 16 年2016 月13 日,《衛報》特約記者Julia Cherry 分享了她的觀察結果,即醫療中心對網絡犯罪分子特別有吸引力,因為它們的信息系統(得益於醫療中心在全國范圍內推動健康記錄數字化)包含大量信息。 包括信用卡號、患者個人信息和敏感醫療數據。 [XNUMX]
  • 23 年 2014 月 12 日,路透社網絡安全分析師吉姆·芬克爾 (Jim Finkle) 解釋說 [XNUMX] 網絡犯罪分子往往會選擇阻力最小的道路。 與已經認識到這一問題並採取有效對策的其他部門相比,醫療中心的網絡安全系統要弱得多。 因此,網絡犯罪分子對它們很感興趣。
  • 18 年 2016 月 1 日,麻省理工學院技術專家 Mike Orkut 報告稱,網絡犯罪分子對醫療領域的興趣源於以下五個原因:2)大多數醫療中心已經將所有文件和卡片轉為數字形式; 其餘的正在進行此類轉移。 這些卡的詳細信息包含在暗網黑市上高度重視的個人信息。 3)醫療中心的網絡安全不是優先考慮的問題; 他們經常使用過時的系統並且沒有適當地支持它們。 4) 在緊急情況下快速訪問數據的需求往往超過對安全的需求,導致醫院忽視網絡安全,即使他們意識到潛在的後果。 5) 醫院正在向其網絡添加更多設備,為壞人提供更多滲透醫院網絡的選擇。 14) 更加個性化醫療的趨勢——特別是患者需要全面訪問其電子病歷——使得 MIS 成為更容易獲得的目標。 [XNUMX]
  • 零售和金融行業長期以來一直是網絡犯罪分子的熱門目標。 隨著從這些機構竊取的信息湧入暗網黑市,其價格變得越來越便宜,因此,壞人竊取和出售這些信息是無利可圖的。 因此,壞人現在正在掌握一個新的、更有利可圖的領域。 [12]
  • 在暗網黑市上,醫療卡比信用卡號貴得多。 首先,因為它們可用於訪問銀行賬戶並獲取受管製藥物的處方。 其次,因為醫療卡被盜和非法使用的事實比信用卡濫用的情況更難以被發現,並且從濫用到被發現的時間要長得多。 [12]
  • 據戴爾稱,一些特別有進取心的網絡犯罪分子正在將從被盜醫療記錄中提取的健康信息與其他敏感數據等結合起來。 收集一包偽造文件。 此類軟件包在暗網黑市行話中稱為“fullz”和“kitz”。 每個此類包裹的價格超過 1000 美元。 [12]
  • 1年2016月4日,麻省理工學院技術專家湯姆·西蒙特表示[XNUMX],醫療領域網絡威脅的本質區別在於它們所承諾的後果的嚴重程度。 例如,如果您無法訪問工作電子郵件,您自然會感到沮喪; 然而,無法訪問包含治療患者所需信息的醫療記錄則完全是另一回事。
  • 因此,對於網絡犯罪分子來說——他們知道這些信息對醫生來說非常有價值——醫療部門是一個非常有吸引力的目標。 如此有吸引力,以至於他們不斷投入巨資來改進勒索軟件; 為了在與反病毒系統的永恆鬥爭中保持領先一步。 他們通過勒索軟件籌集到的巨額資金使他們有機會慷慨地進行此類投資,而且這些成本得到了充分的回報。 [4]

為什麼勒索軟件感染在醫療領域不斷增加並持續增加?

  • 1年2017月18日,Rebecca Weintrab(布萊根婦女醫院主任醫師,博士)和Joram Borenstein(網絡安全工程師)在《哈佛商業評論》上發表了[XNUMX]他們關於醫療領域網絡安全的聯合研究結果。 他們研究的主要論文如下。
  • 沒有任何組織能夠免受黑客攻擊。 這就是我們生活的現實,當 WannaCry 勒索軟件病毒於 2017 年 18 月中旬爆發並感染世界各地的醫療中心和其他組織時,這一現實變得尤為明顯。 [XNUMX]
  • 2016 年,大型門診好萊塢長老會醫療中心的管理員突然發現他們無法訪問計算機上的信息。 醫生無法訪問患者的電子病歷; 甚至他們自己的報告。 他們計算機上的所有信息都被勒索軟件病毒加密。 當綜合診所的所有信息都被入侵者劫持時,醫生被迫將客戶轉移到其他醫院。 他們花了兩週的時間把所有的事情都寫在紙上,直到他們決定支付攻擊者所要求的贖金——17000 美元(40 個比特幣)。 由於贖金是通過匿名比特幣支付系統支付的,因此無法追踪付款。 如果網絡安全專家幾年前聽說決策者會對將資金轉換為加密貨幣以向病毒開發者支付贖金感到困惑,他們將不會相信。 然而,這正是今天發生的事情。 普通人、小企業主和大公司都是勒索軟件的目標。 [19]
  • 在社會工程方面,不再代表那些想要將部分財富遺贈給您以換取機密信息的海外親屬發送包含惡意鏈接和附件的網絡釣魚電子郵件。 如今,網絡釣魚電子郵件都是精心準備的消息,沒有拼寫錯誤; 通常偽裝成帶有徽標和簽名的官方文件。 其中一些與普通的商業信函或合法的應用程序更新通知沒有什麼區別。 有時,參與招聘的決策者會收到有前途的候選人的來信,信中附有簡歷,其中嵌入了勒索軟件病毒。 [19]
  • 然而,先進的社會工程並沒有那麼糟糕。 更糟糕的是,勒索軟件病毒的啟動可能不需要用戶的直接參與。 勒索軟件病毒可以通過安全漏洞傳播; 或通過未受保護的舊應用程序。 至少每週都會出現一種全新類型的勒索軟件; 勒索軟件病毒進入計算機系統的方式也在不斷增加。 [19]
  • 那麼,比如說,關於WannaCry勒索軟件病毒……最初(15年2017月25日),安全專家得出結論[22],英國國家衛生系統感染的主要原因是醫院使用過時版本的Windows 操作系統- XP (醫院使用該系統是因為許多昂貴的醫院設備與較新版本的Windows 不兼容)。 然而,不久之後(2017 年 29 月 7 日)事實證明 [XNUMX],嘗試在 Windows XP 上運行 WannaCry 經常會導致計算機崩潰,而不會受到感染; 而且大多數受感染的機器運行的是Windows XNUMX。此外,最初人們認為WannaCry病毒是通過網絡釣魚傳播的,但後來事實證明,這種病毒像網絡蠕蟲一樣在沒有用戶幫助的情況下自行傳播。
  • 此外,還有專門的搜索引擎,它們不查找網絡上的站點,而是查找物理設備。 通過它們你可以查到在什麼地方、在哪家醫院、什麼設備連接到了網絡。 [3]
  • 勒索軟件病毒流行的另一個重要因素是對比特幣加密貨幣的訪問。 從世界各地匿名收取付款的便捷性正在助長網絡犯罪的增長。 此外,通過將錢轉移給勒索者,您會刺激對您的反复勒索。 [19]
  • 與此同時,網絡犯罪分子甚至學會了捕獲那些部署了最現代保護措施和最新軟件更新的系統; 檢測和解密手段(保護系統所採用的)並不總是有效; 尤其是當攻擊具有針對性且獨特時。 [19]
  • 不過,針對勒索軟件仍然有一個有效的對策:備份關鍵數據。 這樣在出現問題時,可以輕鬆恢復數據。 [19]

受 WannaCry 影響的醫生、護士和患者 - 他們的結局如何?

  • 13 年 2017 月 5 日,《衛報》的 Sarah Marsh 採訪了幾位 WannaCry 勒索軟件病毒的受害者,以了解該事件對受害者的影響[XNUMX](出於隱私原因,姓名已更改):
  • 謝爾蓋·彼得羅維奇,醫生: 我無法為患者提供適當的護理。 無論領導人如何說服公眾網絡事件不會影響最終患者的安全,事實都不是這樣。 當我們的計算機系統出現故障時,我們甚至無法進行 X 光檢查。 幾乎任何醫療程序都離不開這些圖片。 例如,在這個不幸的夜晚,我正在看望一位病人,我需要送他去做X光檢查,但由於我們的計算機系統癱瘓了,我無法做到這一點。 [5]
  • 維拉·米哈伊洛夫娜 (Vera Mikhailovna),一位乳腺癌患者: 化療結束後,我正在出院的路上,但就在那時,發生了網絡攻擊。 雖然療程已經結束,但我還得在醫院裡多呆幾個小時——等待最後給我開藥。 造成這一問題的原因是,在配藥之前,醫務人員會檢查藥物是否符合處方,而這些檢查是由計算機系統進行的。 跟著我排隊的病人已經在病房裡接受化療了; 他們的藥品已經送達。 但由於無法檢查他們是否遵守食譜,該程序被推遲。 其餘患者的治療一般推遲到第二天。 [5]
  • 塔季揚娜·伊万諾芙娜,護士: 週一,我們無法查看患者的電子病歷和今天安排的預約列表。 這個週末我正在值班,所以周一,當我們的醫院成為網絡攻擊的受害者時,我必須準確記住誰應該來預約。 我們醫院的信息系統被封鎖了。 我們無法查看病史,無法查看藥物處方; 無法查看患者的地址和聯繫方式; 填寫文件; 檢查測試結果。 [5]
  • 葉夫根尼·謝爾蓋耶維奇(Evgeny Sergeevich),系統管理員: 通常週五下午我們的訪客最多。 就在這個星期五。 醫院裡擠滿了人,5名醫院工作人員正在接待電話申請值班,電話響個不停。 我們所有的計算機系統都運行完美,但下午 15:00 左右,所有計算機屏幕都黑了。 我們的醫生和護士無法訪問患者的電子病歷,接聽電話的值班員工也無法將請求輸入計算機。 [5]

網絡犯罪分子如何危害整形外科診所?

  • 據《衛報》[6]報導,30年2017月25日,沙皇衛隊犯罪集團公佈了立陶宛整形外科診所Grozio Chirurgija的60萬名患者的機密數據。 包括術前、術中、術後的私人親密照片(鑑於診所的具體情況,有必要保存); 以及護照和社會安全號碼的掃描件。 由於該診所擁有良好的聲譽和實惠的價格,包括世界著名名人在內的 7 個國家的居民使用其服務 [XNUMX]。 他們都成為了這次網絡事件的受害者。
  • 幾個月前,“警衛”入侵診所服務器並竊取數據後,要求支付 300 比特幣(約合 800 萬美元)的贖金。 診所管理層拒絕與“衛兵”合作,即使“衛兵”將贖金價格降低至 50 比特幣(約 120 萬美元),診所管理層仍然態度堅決。 [6]
  • 由於失去了從診所獲得贖金的希望,“警衛”決定轉向她的客戶。 150月份,他們在暗網上發布了8名診所患者的照片[50],以嚇唬其他人付費。 “衛兵”要求支付 2000 至 25 歐元的贖金,以比特幣支付,具體金額取決於受害者的名氣和被盜信息的親密程度。 被勒索的患者的確切人數尚不清楚,但有數十名受害者向警方求助。 現在,三個月後,衛兵又公佈了另外 6 名顧客的機密詳細信息。 [XNUMX]

網絡犯罪分子偷走了醫療卡 - 這對它的合法所有者有何威脅?

  • 19 年2016 月9 日,Cyber​​Scout 研究中心負責人的網絡安全專家Adam Levine 指出[XNUMX],我們生活在一個醫療記錄開始包含數量驚人的過於私密的信息的時代:有關疾病、診斷、治療的信息,以及關於健康問題。 如果落入壞人之手,這些信息可用於在暗網黑市上獲利,這就是網絡犯罪分子經常將醫療中心作為目標的原因。
  • 2 年 2014 月 10 日,麻省理工學院技術專家 Mike Orkut 表示 [XNUMX]:“雖然被盜的信用卡號碼和社會安全號碼本身在暗網黑市上越來越不受歡迎——醫療卡,一套個人信息,價格優惠。 部分原因是它們為未參保的人提供了獲得原本無法負擔的醫療服務的機會。”
  • 被盜的醫療卡可用於代表該卡的合法持有人獲得醫療護理。 結果,其合法所有者的醫療數據和竊賊的醫療數據將混合在醫療卡中。 此外,如果竊賊將偷來的醫療卡出售給第三方,那麼該卡可能會進一步受到污染。 因此,合法持卡人來醫院時,面臨著根據他人血型、他人病史、他人過敏反應清單等接受醫療服務的風險。 [9]
  • 此外,小偷可以耗盡醫療卡合法持有人的保險限額,這將剝奪後者在需要時獲得必要醫療護理的機會。 在最不合時宜的時候。 畢竟,許多保險計劃對某些類型的手術和治療有年度限制。 當然,沒有保險公司會支付你兩次闌尾炎手術的費用。 [9]
  • 使用偷來的醫療卡,小偷可以濫用藥物處方。 同時,剝奪了合法所有者在需要時獲得必要藥物的機會。 畢竟,藥物處方通常是有限的。 [9]
  • 消除對信用卡和借記卡的大規模網絡攻擊並不是什麼問題。 防範有針對性的網絡釣魚攻擊有點問題。 然而,當涉及盜竊和濫用電子病歷時,犯罪行為幾乎是看不見的。 如果犯罪事實被發現,那麼通常只有在緊急情況下才被發現,此時後果可能會危及生命。 [9]

為什麼醫療卡盜竊如此猖獗?

  • 2017 年 25 月,身份盜竊中心報告稱,超過 5,6% 的機密數據洩露發生在醫療中心。 這些洩露每年給醫療中心造成 18 億美元的損失。以下是醫療記錄盜竊需求如此旺盛的幾個原因。 [XNUMX]
  • 醫療卡是暗網黑市上最熱門的物品。 醫療卡在那裡出售,每張 50 美元。 相比之下,信用卡號碼在暗網上的售價為每張 1 美元,比醫療卡便宜 50 倍。 對醫療卡的需求也受到以下事實的推動:它們是複雜的犯罪偽造服務的消耗品。 [18]
  • 如果沒有找到醫療卡的購買者,攻擊者可以自己使用醫療卡並進行傳統的盜竊:醫療記錄包含足夠的信息來代表購買者獲得信用卡、開設銀行賬戶或貸款。受害者。 [18]
  • 例如,網絡犯罪分子手上有一張被盜的醫療卡,可以冒充銀行進行複雜的定向網絡釣魚攻擊(形像地說,磨利釣魚矛):“下午好,我們知道您要進行手術。 不要忘記點擊此鏈接來支付相關服務費用。 然後你想:“好吧,既然他們知道我明天要做手術,那肯定是銀行的一封信。” 如果攻擊者未能意識到此處醫療卡被盜的可能性,他可以使用勒索軟件病毒向醫療中心勒索金錢,以恢復對被阻止的系統和數據的訪問。 [18]
  • 醫療中心在實施網絡安全實踐方面進展緩慢(其他行業已經開發了這些實踐),這是相當諷刺的,因為確保醫療機密是醫療中心的責任。 此外,與金融機構等機構相比,醫療中心的網絡安全預算往往要低得多,合格的網絡安全專業人員也要少得多。 [18]
  • 醫療 IT 系統與金融服務緊密相連。 例如,醫療中心可以通過自己的支付卡或儲蓄賬戶制定靈活的儲蓄計劃以應對突發事件——可存儲六位數的金額。 [18]
  • 許多組織與醫療中心合作,為其員工提供個人健康系統。 這使得攻擊者有機會通過黑客攻擊醫療中心來獲取醫療中心企業客戶的機密信息。 更不用說雇主本身可以充當攻擊者——悄悄地將其員工的醫療數據出售給第三方。 [18]
  • 醫療中心擁有廣泛的供應鍊和大量與其建立數字連接的提供商名單。 通過侵入醫療中心的 IT 系統,攻擊者還可以接管提供商的系統。 此外,通過數字通信連接到醫療中心的供應商本身就是攻擊者進入醫療中心 IT 系統的誘人入口點。 [18]
  • 在其他領域,保護已變得非常複雜,因此攻擊者必須掌握一個新領域 - 通過易受攻擊的硬件和易受攻擊的軟件進行交易。 [18]

社會安全號碼盜竊與偽造犯罪行業有何關係?

  • 30 年 2015 月 31 日,《湯姆指南》通訊社解釋了[XNUMX]普通文件偽造與組合偽造的區別。 最簡單的是,文件偽造涉及詐騙者使用他人的姓名、社會安全號碼 (SSN) 和其他個人信息冒充他人。 類似的欺詐事實可以很快、很容易地發現。 通過綜合手段,壞人創造了一個全新的身份。 通過偽造一份文件,他們獲取了真實的 SSN,並向其中添加了幾個不同人的個人信息。 這個由不同人的個人信息拼接而成的弗蘭肯斯坦怪物,已經比最簡單的文件偽造更難被發現。 由於詐騙者僅使用每個受害者的部分信息,因此他的欺詐陰謀不會聯繫這些個人信息的合法所有者。 例如,當查看其 SSN 的活動時,其合法所有者不會發現任何可疑之處。
  • 壞人可以利用他們的弗蘭肯斯坦怪物來找到工作或獲得貸款[31],以及開設虛構的公司[32]; 購物、獲得駕駛執照和護照[34]。 同時,即使在貸款的情況下,也很難追踪偽造文件的事實,因此,如果銀行家開始調查,那麼這條或那條個人信息的合法持有者將最容易被追查。可能會被追究責任,而不是弗蘭肯斯坦怪物的創造者。
  • 不道德的企業家可以使用偽造的文件來欺騙債權人 - 通過創建所謂的。 商務三明治。 商業三明治的本質是,不擇手段的企業家可以創造多個虛假身份,並將其呈現為自己企業的客戶,從而創造出一個成功企業的表象。 因此,它們對債權人更具吸引力,並有機會享受更優惠的貸款條件。 [33]
  • 個人信息的盜竊和濫用往往會在很長一段時間內被其合法所有者忽視,但可能會在最不合時宜的時候給他帶來極大的不便。 例如,合法的 SSN 所有者可以申請社會服務,但由於使用其 SSN 偽造的商業三明治產生的超額收入而被拒絕。 [33]
  • 從2007年至今,基於SSN偽造證件的價值數十億美元的犯罪業務越來越受歡迎[34]。 與此同時,欺詐者更喜歡那些合法所有者不積極使用的 SSN,其中包括兒童和死者的 SSN。 據加拿大廣播公司報導,2014 年,每月發生的事故數量為數千起,而 2009 年,每月發生的事故數量不超過 100 起。 此類欺詐的指數級增長,尤其是其對兒童個人數據的影響,將在未來給年輕人帶來可怕的後果。 [34]
  • 兒童 SSN 被用於此騙局的可能性是成人 SSN 的 50 倍。 人們對兒童 SSN 如此感興趣,是因為兒童的 SSN 通常要到至少 18 歲才啟用。 那。 如果未成年子女的父母不及時更新他們的社會安全號(SSN),那麼他們的孩子將來可能會被拒絕獲得駕駛執照或學生貸款。 如果潛在雇主可以獲得有關可疑 SSN 活動的信息,也會使就業變得複雜。 [34]

今天有很多關於人工智能係統的前景和安全性的討論。 醫療領域的進展如何?

  • 在2017年35月號的《麻省理工科技評論》上,該雜誌專門研究人工智能技術的主編髮表了文章《人工智能的黑暗面》,文中詳細回答了這個問題。 他的文章[XNUMX]的要點:
  • 現代人工智能(AI)系統非常複雜,即使是設計它們的工程師也無法解釋人工智能如何做出決策。 今天和可預見的未來,不可能開發出一個總能解釋其行為的人工智能係統。 “深度學習”技術已被證明能夠非常有效地解決近年來的緊迫問題:圖像和語音識別、語言翻譯、醫療應用。 [35]
  • 人工智能在診斷致命疾病、做出艱難的經濟決策方面有著巨大的希望; 人工智能也有望成為許多其他行業的核心。 然而,這種情況不會發生——或者至少不應該發生——除非我們找到一種方法來製造一個可以解釋其所做決策的深度學習系統。 否則,我們將無法準確預測這個系統何時會失敗——而且遲早它肯定會失敗。 [35]
  • 這個問題現在已經變得很緊迫,而且將來只會變得更糟。 無論是經濟、軍事還是醫療決策。 運行相應人工智能係統的計算機已經自行編程,我們無法理解“它們在想什麼”。 當甚至設計這些系統的工程師都無法理解和解釋最終用戶的行為時,我們能說什麼呢? 隨著人工智能係統的發展,我們可能很快就會跨越界限(如果我們還沒有的話),因為依賴人工智能需要我們進行“信仰的飛躍”。 當然,作為人類,我們自己不能總是解釋我們的結論,而常常依賴直覺。 但我們能否允許機器以同樣的方式思考——不可預測和難以解釋? [35]
  • 2015 年,紐約市西奈山醫療中心受到啟發,將深度學習的概念應用於其廣泛的患者記錄數據庫。 用於訓練人工智能係統的數據結構包括數百個參數,這些參數是根據測試、診斷、測試和醫生筆記的結果設置的。 處理這些錄音的程序被稱為“Deep Patient”。 她接受了使用 700 名患者記錄的培訓。 在測試新記錄時,事實證明它對於預測疾病非常有用。 在沒有與專家進行任何互動的情況下,深度患者發現了隱藏在病歷中的症狀——根據人工智能的說法,這表明該患者正處於廣泛並發症的邊緣,包括肝癌。 我們之前嘗試過各種預測方法,使用許多患者的病歷作為輸入數據,但“深度患者”的結果無法與他們進行比較。 此外,還有完全意想不到的成就:深度病人非常擅長預測精神分裂症等精神疾病的發作。 但由於現代醫學沒有預測它的工具,所以問題是人工智能如何做到這一點。 然而,深淵病人未能解釋他是如何做到這一點的。 [35]
  • 理想情況下,這些工具應該向醫生解釋他們是如何得出特定結論的——例如,為了證明使用特定藥物的合理性。 然而,現代人工智能係統卻無法做到這一點。 我們可以創建類似的程序,但我們不知道它們是如何工作的。 深度學習使人工智能係統取得了爆炸性的成功。 目前,此類人工智能係統被用於醫療、金融、製造等行業的關鍵決策。也許這就是智能本身的本質——只有一部分可以理性解釋,而大部分是自發決策。 但是,當我們允許此類系統診斷癌症並執行軍事演習時,會導致什麼結果呢? [35]

醫療界是否從WannaCry事件中吸取了教訓?

  • 25年2017月16日,BBC通訊社報導[XNUMX],可穿戴醫療設備中網絡安全被忽視的重要原因之一是其尺寸要求嚴格,計算能力較低。 另外兩個同樣重要的原因:缺乏如何編寫安全代碼的知識以及推遲最終產品發布的最後期限。
  • 在同一份報告中,BBC 指出[16],對其中一台起搏器的程序代碼進行研究後,發現其中存在 8000 多個漏洞; 儘管 WannaCry 事件引發了備受矚目的網絡安全問題,但只有 17% 的醫療設備製造商採取了具體措施來確保其設備的網絡安全。 至於成功避免與 WannaCry 發生衝突的醫療中心,只有 5% 的醫療中心對其設備的網絡安全診斷感到困惑。 這些報告是在英國 60 多家醫療機構成為網絡攻擊受害者後不久發布的。
  • 13 年2017 月17 日,WannaCry 事件發生一個月後,約翰·霍普金斯大學醫學博士兼患者安全副主任Peter Pronowost 在《哈佛商業評論》中討論了計算機化醫療集成設備面臨的緊迫挑戰[XNUMX ]。更不用提網絡安全了。
  • 15 年2017 月15 日,WannaCry 事件發生一個月後,擁有博士學位的醫生、兩家醫療中心的負責人Robert Perl 在《哈佛商業評論》上討論[XNUMX]目前EHR 管理系統的開發者和用戶面臨的挑戰——他沒有提及網絡安全。
  • 20年2017月20日,WannaCry事件發生一個月後,哈佛大學醫學院的一群博士科學家、同時擔任布萊根婦女醫院關鍵科室負責人的科學家在《哈佛商業評論》上發表了[34]研究結果. 圓桌會議討論了醫療設備現代化的必要性,以提高患者護理質量。 圓桌會議討論了通過優化工藝流程和集成自動化來減輕醫生負擔、降低成本的前景。 來自美國XNUMX家領先醫療中心的代表參加了圓桌會議。 在討論醫療設備現代化時,與會者對預測工具和智能設備寄予厚望。 沒有提及網絡安全。

醫療中心如何確保網絡安全?

  • 2006年,俄羅斯聯邦安全局特種通信信息系統部負責人尼古拉·伊林中將表示[52]:“信息安全問題在今天比以往任何時候都更加重要。 使用的技術數量正在急劇增加。 不幸的是,如今信息安全問題並不總是在設計階段得到考慮。 顯然,解決這個問題的代價是系統本身成本的10%到20%,而且客戶並不總是願意支付額外的錢。 同時,您需要明白,只有在綜合方法的情況下,將組織措施與引入技術保護手段相結合,才能實現可靠的信息保護。”
  • 3 年2016 月19 日,IBM 和惠普前關鍵員工、現專門從事網絡安全解決方案的“Carbonite”公司負責人穆罕默德·阿里(Mohammed Ali) 在《哈佛商業評論》頁面上分享了他對以下問題的觀察[1]:醫療領域的網絡安全狀況:“由於勒索軟件非常常見,而且造成的損失可能會造成高昂的代價,所以當我與首席執行官交談時,他們並不關心,我總是感到驚訝。 首席執行官最多將網絡安全問題委託給 IT 部門。 然而,這還不足以提供有效的保護。 因此,我始終敦促CEO們:2)將防範勒索病毒影響的措施列入組織發展優先事項清單; 3)至少每年審查一次相關的網絡安全策略; XNUMX) 讓整個組織參與適當的教育。”
  • 您可以從金融部門借用現有的解決方案。 金融部門從網絡安全風暴中得出的主要結論是:“網絡安全最有效的要素是員工培訓。 因為當今網絡安全事件的主要原因是人為因素,特別是人們遭受網絡釣魚攻擊。 而強加密、網絡風險保險、多因素身份驗證、標記化、卡芯片、區塊鍊和生物識別技術雖然有用,但在很大程度上是次要的。”
  • 19年2017月23日,BBC通訊社報導[25],WannaCry事件後,英國安全軟件銷量增長了XNUMX%。 然而,Verizon 表示,恐慌性購買安全軟件並不是確保網絡安全所需要的。 為了確保這一點,您需要遵循主動保護,而不是被動保護。

聚苯乙烯 喜歡這篇文章嗎? 如果是,請點贊。 如果根據喜歡的數量(假設為 70),我發現 Habr 的讀者對這個主題感興趣,過一段時間我將準備一個續篇,概述最近對醫療信息系統的威脅。

參考書目

  1. 大衛·塔爾伯​​特。 計算機病毒在醫院醫療器械上“猖獗” // 麻省理工學院技術評論(數字版)。 2012年。
  2. 克里斯蒂娜·格里凡蒂尼。 即插即用醫院 // 麻省理工學院技術評論(數字版)。 2008年。
  3. 丹斯·馬克魯辛。 “智能”醫療的誤區 // 安全列表。 2017年。
  4. 湯姆·西蒙尼特. 醫院勒索軟件感染使患者面臨風險 // 麻省理工學院技術評論(數字版)。 2016..
  5. 莎拉·馬什. NHS 工作人員和患者了解網絡攻擊對他們的影響 // 守護者。 2017年。
  6. 亞歷克斯·赫恩. 黑客公佈整容診所私人照片 // 守護者。 2017年。
  7. 薩魯納斯·塞爾尼奧斯卡斯。 立陶宛:網絡犯罪分子用被盜照片勒索整形外科診所 // OCCRP:有組織犯罪和腐敗報告項目。 2017年。
  8. 雷·沃爾什. 整形手術患者的裸體照片在互聯網上洩露 // 最佳VPN。 2017年。
  9. 亞當·萊文. 醫生治愈自己:您的醫療記錄安全嗎? // 赫芬頓郵報。 2016年。
  10. 邁克·奧卡特. 黑客正瞄準醫院 // 麻省理工學院技術評論(數字版)。 2014年。
  11. 彼得·薩波日尼科夫。 2017年電子健康檔案將出現在莫斯科所有診所 // AMI:俄羅斯醫療和社會信息機構。 2016年。
  12. 吉姆·芬克爾。 獨家:聯邦調查局警告醫療保健行業容易受到網絡攻擊 // 路透社。 2014年。
  13. 朱莉婭·凱莉·黃. 網絡攻擊後洛杉磯醫院恢復傳真和紙質圖表 // 守護者。 2016年。
  14. 邁克·奧卡特. 好萊塢醫院遭遇勒索軟件是網絡犯罪令人震驚的趨勢的一部分 // 麻省理工學院技術評論(數字版)。 2016年。
  15. 羅伯特·M·珀爾,醫學博士(哈佛大學)。 衛生系統、醫院和醫生在實施電子健康記錄方面需要了解哪些信息 // 哈佛商業評論(數字版)。 2017年。
  16. 起搏器代碼中發現“數千個”已知錯誤 // 英國廣播公司。 2017年。
  17. 彼得·普羅諾沃斯特,醫學博士。 醫院為其技術支付的費用嚴重過高 // 哈佛商業評論(數字版)。 2017年。
  18. Rebecca Weintraub,醫學博士(哈佛大學),Joram Borenstein。 醫療保健部門必須採取的 11 件事來改善網絡安全 // 哈佛商業評論(數字版)。 2017年。
  19. 穆罕默德·阿里。 您的公司準備好應對勒索軟件攻擊了嗎? // 哈佛商業評論(數字版)。 2016年。
  20. Meetali Kakad,醫學博士,David Westfall Bates,醫學博士。 獲得醫療保健領域預測分析的認可 // 哈佛商業評論(數字版)。 2017年。
  21. 邁克爾·格雷格. 為什麼您的醫療記錄不再安全 // 赫芬頓郵報。 2013年。
  22. 報告:2017 年醫療保健導致數據洩露事件 // 智能簡報。 2017年。
  23. 馬修·沃爾,馬克·沃德。 WannaCry:您可以採取什麼措施來保護您的業務? // 英國廣播公司。 2017年。
  24. 1 年數據洩露事件迄今已洩露超過 2017 萬條記錄 // 英國廣播公司。 2017年。
  25. 亞歷克斯·赫恩. 誰應該為 NHS 遭受網絡攻擊負責? // 守護者。 2017年。
  26. 如何保護您的網絡免受勒索軟件侵害 // 聯邦調查局。 2017年。
  27. 數據洩露行業預測 // Rxperian。 2017年。
  28. 史蒂文·厄蘭格、丹·比萊夫斯基、休厄爾·陳。 英國衛生服務機構連續幾個月忽視警告 // 紐約時報。 2017年。
  29. Windows 7 是 WannaCry 蠕蟲病毒的重災區 // 英國廣播公司。 2017年。
  30. 艾倫·斯特凡內克. 霍爾伍德普雷斯比特里安醫學中心.
  31. 琳達·羅森克蘭斯。 合成身份盜竊:騙子如何創造一個新的你 // 湯姆指南。 2015年。
  32. 什麼是合成身份盜竊以及如何預防.
  33. 合成身份盜竊.
  34. 史蒂文·達方索。 合成身份盜竊:創建合成身份的三種方式 // 安全情報。 2014年。
  35. 威爾·奈特. 人工智能核心的黑暗秘密//麻省理工學院技術評論。 120(3),2017。
  36. 庫茲涅佐夫 G.G. 醫療機構信息系統選擇問題 //“西伯利亞信息學”。
  37. 信息系統和數據保護問題 //“西伯利亞信息學”。
  38. 不久的將來 IT 進入醫療保健領域 //“西伯利亞信息學”。
  39. 弗拉基米爾·馬卡羅夫。 有關 EMIAS 系統問題的解答 // 廣播電台“莫斯科迴聲”。
  40. 莫斯科人的醫療數據如何受到保護 // 開放系統。 2015年。
  41. 伊琳娜·謝岩。 莫斯科推出電子病歷 // 俄羅斯計算機世界。 2012年。
  42. 伊琳娜·謝岩。 在同一條船裡 // 俄羅斯計算機世界。 2012年。
  43. 奧爾加·斯米爾諾娃。 地球上最智慧的城市 // 輪廓。 2016年。
  44. 阿納斯塔西婭·採普廖娃。 醫療信息系統 Kondopoga // 2012。
  45. 醫療信息系統Paracelsus-A.
  46. 庫茲涅佐夫 G.G. 利用醫療信息系統“INFOMED”實現市政醫療信息化 //“西伯利亞信息學”。
  47. 醫療信息系統 (MIS) DOKA+.
  48. 電子醫院。 官方網站.
  49. 技術和觀點 //“西伯利亞信息學”。
  50. 俄羅斯的醫療行業遵循什麼 IT 標準?
  51. 區域子系統 (RISUZ) //“西伯利亞信息學”。
  52. 信息系統和數據保護問題 //“西伯利亞信息學”。
  53. 醫療信息系統的可能性 //“西伯利亞信息學”。
  54. 單一健康信息空間 //“西伯利亞信息學”。
  55. Ageenko T.Yu.,安德里亞諾夫 A.​​V. EMIAS與醫院自動化信息系統集成經驗 // IT 標準。 3(4)。 2015年。
  56. 區域層面的 IT:平衡局勢並確保開放 // 信息服務總監。 2013.
  57. 日利亞耶夫 P.S.、戈尤諾娃 T.I.、沃洛丁 K.I. 確保醫療保健領域信息資源和服務的保護 // 國際學生科學通報。 2015年。
  58. 伊琳娜·謝岩。 雲中的圖片 // 信息服務主管。 2017年。
  59. 伊琳娜·謝岩。 醫療信息化效率——“最後一公里” // 信息服務主管。 2016年。
  60. 卡巴斯基實驗室:俄羅斯受 WannaCry 黑客攻擊影響最嚴重 // 2017。
  61. 安德烈·馬霍寧。 俄羅斯鐵路和中央銀行報告病毒襲擊 // 英國廣播公司。 2017年。
  62. 埃里克·博斯曼,卡維·拉扎維。 Dedup Est Machina:內存重複數據刪除作為高級利用向量 // IEEE 安全和隱私研討會論文集。 2016.pp. 987-1004。
  63. 布魯斯·波特。 信息安全的骯髒小秘密 // DEFCON 15. 2007。
  64. 葉卡捷琳娜·科斯蒂娜。 Invitro 因網絡攻擊宣布暫停測試.

來源: www.habr.com

添加評論