医疗机构领导做梦都没想到,他们每天都在做一些“引狼入室”的事儿。

各行各业都要讲究为自己的产品做宣传、打市场,医疗行业也不例外。举例来说,很医院都在宣传自己拥有某项最先进的技术吗?殊不知这种宣传造势并不适合医疗网络安全。作为承载重要信息的新兴之地,医疗网络也是黑客们虎视眈眈的新领域。

医疗数据成黑客“新宠”

医疗行业的数据外泄日益严重,在过去的5年里上升了125%。美国研究机构波耐蒙(Ponemon Institute)的最新研究发现非法入侵是其主要原因。

医疗行业的网络信息成为黑客的攻击对象并没有多久,这很大程度上是因为这些黑客此前没有意识到这些信息的价值。但是,现在他们明显聪明多了。黑客们通过盗窃医疗数据和保险信息来伪造身份,进行医疗诈骗。PhishLabs智能防御部门主管唐·杰克逊(Don Jackson)称,被盗的医疗信用信息的价格可以比信用卡信息高出10到20倍。医疗信息这样“金贵”,难怪有些黑客会铤而走险。

千万别吹牛,言论不当是会引火上身的

在医院和其他医疗机构内部,网络安全的讨论当然是相关部门领导的头等大事。但是面对大众和媒体时,则需讲求正确的方式方法,方式不当则很有可能引火上身。

信息安全和隐私咨询公司CynergisTek的联合创始人兼首席执行官马克·麦克米兰(Mac McMillan)认为,关键是不要把话说满。例如,公开表示自己系统内的数据百分之百安全或用户完全无需故须他们的数据安全等。这样做会给医疗机构带来两个大麻烦。

第一个就是黑客。麦克米兰称,对于一些激进的黑客,他们攻陷某个系统并不是为了盗取数据,完全是为了证明自己的能力。因此,这种“百分之百”之类的言论简直就是在给他们发邀请函。最糟糕的是引来真正的恶意入侵。到时候系统出现了漏洞,怎么去兑现当初“百分之百安全”的承诺?

第二个大麻烦就是引来更严格的检查。一旦宣称自己坚不可摧,联邦贸易委员会(FTC)便会瞪大双眼拿着放大镜来盯着你。FTC会仔细检查公司对用户和消费者所作出的承诺,出现任何漏洞,医疗机构都有可能被指控欺诈消费者。麦克米兰解释说:“机构一旦在网站上标明用户信息完全安全或自己的网络是HIPAA兼容,这基本上就和用户达成了一种契约,如果没有践行此诺言,那么这就是欺诈消费者。”

此外,从根本上说确保信息安全本身就是不真实的。虽然有些医疗机构自信拥有最好的保护措施,但是医疗信息安全隐患就像病毒一样日新月异,每天都会出现新的漏洞和威胁。麦克米兰说:“根本就不存在什么百分之百安全的方案和环境。你可以担保自己做的都是正确的,或是遵循了一个特有的方式,或是担保自己使用了某种方案,但是不能保证这样就安全了。”

积极的态度才是讨论信息安全的正确姿势

麦克米兰提到,医疗机构在对外讨论网络安全时,更多的是要向患者和用户传递这样一种态度——系统在竭尽所能保护他们的信息。

麦克米兰说:“一个医疗机构应该向公众传达的是(假设这都是事实):我们在尽力达到信息安全的高水准,我们相信所作的一切可以确保信息安全,或者是我们把用户的信息安全当做头等大事来对待。这才是用户想听到的,即你们确实关心他们的数据安全,也在努力保护其信息。而这么做的同时,你也没有妄下断论称他们的信息在你的系统里是百分之百安全的。”

安全数据交付解决方案供应商Data Motion的医疗信息技术决策者安迪·尼托(Andy Nieto)也认为医疗机构应该公开讨论数据安全。不过他同时还警告,强大的安全网络对黑客来说既可以是威慑力也可能成为诱惑。他认为:“要在网络安全中取得主动地位就必须在展示能力和威力的同时又不透露任何细节,就像空军一号。空军一号被描述为最先进的飞机,所有的自动防御措施应有尽有,但是人们却从来不知道这些措施是什么。”

尼托认为,医院应该表明他们积极地通过各种项目、措施和解决方案确保网络安全,将“积极”变成关键词,以此表明其防御措施在不断改进和不断检测。医疗机构也应使大众知悉,安全是一个持续的关注点,没有最终目标。

让权威人士发布消息

医院和医疗机构发布给大众的信息非常重要,而通过谁人之口发布这些信息同样重要。在信息安全方面,负责安全项目的人所说的话明显更有分量。

麦克米兰说:“如果你问一家医院的首席医疗官(CMO):‘你觉得我们的信息安全怎么样?’他会说:‘我们有强大的安全项目,患者的信息也在保护之内。’同样的一个回答,如果换了直接负责安全项目并且熟谙该项目的首席信息安全官(CISO)说效果则大不相同。”

CMO只是在表明自己的态度,他很可能不知道这个项目的实情。而CISO和其他信息技术领导则是在掌握内部消息的情况下给出的结论,不过这些人在给出承诺的同时也应倍加小心。麦克米兰说:“不经深思熟虑肆意吹捧,最后只会让自己蒙羞。所以,CISO们,做自己的安全系统,让别人去吹牛吧。”

手拉手,共筑防御体系

向患者确保信息安全被当做头等大事来对待,或是抵御黑客入侵似乎还不够。各医疗机构之间相互合作也可以帮助增强信息防御体系。

在这一方面医疗行业应该向金融业取取经。金融业作为“金库”历来是非法入侵的目标,为此其业内将信息安全规划为非竞争领域,形成信息共享联盟,共同抵御安全威胁。为了减少安全隐患摆脱被动,金融服务业与金融服务圆桌组织(FSR)达成合作,自由共享安全知识和信息。FSR的成员包括约100个最大的金融机构:银行有美国银行和五三银行、信用卡公司如Visa和Discover,还有国营农场(State Farm)和哈特福德(The Hartford)这样的买家。

医疗行业也在朝着这个方向缓慢迈进。最近美国众议院通过了两项网络安全信息共享议案:网络保护法案和国家网络安全保护和发展法案。这些给私人公司之间以及私人公司和联邦政府之间共享网络安全信息和隐患提供了合法保护。

黑客对医疗信息的攻击是最近才出现的,因此还没有像金融行业一样形成非竞争性合作。不过,现在是时候结成联盟、一致对外了。

来源:中国数字医疗网