2022年美国医疗行业网络安全十大事件
2022年医疗领域网络安全和漏洞事件频发,对医院运营和患者信息保护产生了越来越严重的影响。为了提升医疗行业对网络安全工作的认识,美国卫生与公众服务部(HHS)在其网站上设立了“耻辱之墙”,公布正在调查的安全案件详情,近两年来共有数百起安全违规事件被曝光。当今,医疗行业网络安全事件发生数量仍在增加,其导致的损失也变得越来越大。
医疗行业组织与联邦立法机构共同研究加强网络安全工作的具体措施:一是,建议政府在医疗行业关键基础设施遭到攻击时提供帮助;二是,医疗行业应高度关注第三方网络安全问题;三是,医疗行业应寻求联邦调查局的支持,获取技术帮助,尽早获悉网络安全漏洞信息。
以下是HIMSS出版物《Healthcare IT News》发表的2022年十大网络安全事件。
1数据泄露导致电子病历厂商被起诉
去年1月,总部位于田纳西州的电子病历厂商QRS被用户起诉。其原因是,自2021年8月份始,QRS公司没有采取有效的监测手段,未实施安全风险隐患加固措施,导致患者门户被攻击,数据被泄露。原告认为,“QRS公司未能合理地保护、监控和维护存储在其患者门户网站上的个人信息和法定保护的个人健康信息(PHI)”。
2CommonSpirit医疗集团遭受勒索病毒攻击
去年10月,CommonSpirit医疗集团遭受网络攻击。本次攻击导致分布在多个州的医疗机构业务工作大面积中断。CommonSpirit医疗集团在全国拥有350多家医院,是全美第二大非营利性连锁医院集团。在遭受网络攻击后,患者无法访问病历数据和登录患者门户,140多家医院不能正常运营。经过进一步调查发现,该事件还导致了患者病历数据泄露。
3提出医疗设备物联网安全法案建议
去年4月,威斯康星州参议员Tammy Baldwin和路易斯安那州的Bill Cassidy博士针对医疗设备和网络安全措施提出新的法案建议,称之为“Protecting and Transforming Cyber Health Care Act”。该法案的目的是,要求医疗设备制造商,在通过FDA审批上市前,需要实施相关网络安全协议和程序,以确保用户能够妥善地应对国内外勒索软件病毒的攻击。尽管该法案没能得到通过,但是美国FDA发布了医疗器械网络安全指南(草案),以及应对突发事件的预案和应急响应手册。
4联邦调查局对医院医疗设备进行网络安全风险评估
联邦调查局针对医院医疗设备的网络安全进行了评估。研究发现,胰岛素泵、心内除颤器、移动心脏遥测、起搏器和鞘内疼痛泵等医疗设备存在网络安全漏洞。调查发现,平均每台医疗设备有6.2个漏洞,约有40%的医疗设备没有安装安全补丁程序或进行软件升级。
5联邦调查局警告“齐柏林飞艇勒索软件”是针对医疗行业的病毒
去年8月,联邦调查局和国土安全部网络安全和基础设施安全局发布联合警报,称“齐柏林飞艇勒索软件”(Zeppelin)被用于针对医疗行业机构进行网络攻击。根据网络安全和基础设施安全局称,自2019年以来,网络犯罪分子已针对各种关键基础设施,组织部署“齐柏林飞艇勒索软件”,并要求对方以比特币支付高额赎金。该警报概述了相关策略,技术手段和工作程序,以及事件导致的后果,并提出帮助医院和卫生系统降低风险的建议。
6网络安全导致Tenet Healthcare医疗集团运营中断
去年4月,总部位于达拉斯的Tenet Healthcare医疗集团遭受攻击,其550多个急诊医疗业务被迫中断,其中包括在马萨诸塞州救护车无法调度,佛罗里达州的医院无法使用电子病历系统。由于网络漏洞的存在,该医疗集团停止了业务运营,并在一周后发布了相关事件情况公告。
7凯撒医疗集团员工安全违规导致患者电子病历信息泄漏
去年11月,凯撒医疗集团宣布,该单位一名员工非法访问了位于美国东中部几个州单位的患者医疗记录,导致患者基本信息和医疗信息泄露。在HIMSS 2022网络安全论坛上,在讨论单位内部安全威胁时,许多医疗信息技术专业人员表达了他们对电子病历访问控制管理上的担忧。
8研究显示,医院物联网设备安全防范能力薄弱
Cynerio和Ponemon研究所在年中发布了医疗物联网设备的安全脆弱性报告。报告详细介绍了医疗行业存在令人担忧的安全问题。由于医院未能采取基本的网络安全加固措施,导致反复遭受攻击,造成了数百万的经济损失。
9美国FDA发布医疗器械网络安全指南草案
去年4月,FDA发布了新版的医疗设备网络安全指南草案,取代了2018年发布的旧指南。发布新指南的目的是,确保医疗设备上市前应具备应对网络安全威胁和抗攻击能力。新版的指南草案在7月份之前接受了社会各界的建议和意见。该指南草案的主要内容是,关于“医疗器械网络安全:质量体系考虑因素和上市前提交内容”的建议。
10研究显示,医院网络被攻击与患者死亡率存在相关关系
Ponemon研究院针对640多名IT和安全领导者进行了民意调查。调查发现,89%的受访机构在过去一年平均遭受到43次攻击,几乎每周遭受一次。去年9月份的一份报告指出,20%的受访者表示,遭受四种最常见网络攻击医院的患者死亡率有所增加。
来源:healthcareitnews
作者:Andrea Fox