3.3 網(wǎng)絡(luò)安全監(jiān)管框架之外的風(fēng)險(xiǎn)挑戰(zhàn)
HIPAA和HITECH等立法主要側(cè)重于保護(hù)患者數(shù)據(jù)���。然而�,在臨床環(huán)境中�����,醫(yī)療設(shè)備與患者連接時(shí)���,網(wǎng)絡(luò)安全風(fēng)險(xiǎn)有可能誘發(fā)醫(yī)療安全問(wèn)題�����,甚至可能對(duì)患者生命安全造成威脅�����。當(dāng)發(fā)生不良事故的結(jié)果或死亡原因與網(wǎng)絡(luò)攻擊有關(guān)時(shí)�,相關(guān)處置規(guī)則尚不完全能從現(xiàn)行立法規(guī)則中找到處置依據(jù)��。像阿拉巴馬州這樣的訴訟����,勒索病毒對(duì)醫(yī)療設(shè)備的攻擊導(dǎo)致了剛出生的嬰兒死亡,這意味著未來(lái)的網(wǎng)絡(luò)安全風(fēng)險(xiǎn)可能會(huì)給醫(yī)療衛(wèi)生機(jī)構(gòu)帶來(lái)更大的損失����。?
網(wǎng)絡(luò)攻擊還威脅到醫(yī)療衛(wèi)生機(jī)構(gòu)難以衡量但又非常寶貴的資源:醫(yī)院的聲譽(yù)。人們對(duì)網(wǎng)絡(luò)安全事件的記憶可能會(huì)持續(xù)很長(zhǎng)時(shí)間��,尤其是在廣為人知的情況下�,無(wú)論是對(duì)醫(yī)療業(yè)務(wù)開(kāi)展,還是對(duì)行使拯救患者的使命����,對(duì)醫(yī)療衛(wèi)生機(jī)構(gòu)所造成的社區(qū)信任損害����,都是無(wú)法承受的��。
"一系列指責(zé):將嬰兒的死亡歸咎于阿拉巴馬州醫(yī)院的網(wǎng)絡(luò)攻擊�。
雖然法律法規(guī)在制定網(wǎng)絡(luò)安全標(biāo)準(zhǔn)方面發(fā)揮著關(guān)鍵作用,但它們往往是被動(dòng)的��,遲緩的��,不可能是積極主動(dòng)的���。對(duì)于利潤(rùn)微薄的醫(yī)療衛(wèi)生機(jī)構(gòu)來(lái)說(shuō)�����,僅僅依靠處罰和罰款是難以持續(xù)做好網(wǎng)絡(luò)安全工作的�。醫(yī)療衛(wèi)生機(jī)構(gòu)必須在法律要求基礎(chǔ)上�����,主動(dòng)地去應(yīng)對(duì)網(wǎng)絡(luò)安全的挑戰(zhàn)���。
4.1 建設(shè)更強(qiáng)壯的安全框架
做好醫(yī)療設(shè)備網(wǎng)絡(luò)安全工作�,一種有效的方法是嚴(yán)格采用行業(yè)的安全標(biāo)準(zhǔn),例如�����,美國(guó)國(guó)家標(biāo)準(zhǔn)與技術(shù)研究院 (NIST——National Institute of Standards and Technology) 開(kāi)發(fā)的網(wǎng)絡(luò)安全框架���。NIST的框架包括五大支柱:
1.識(shí)別:培養(yǎng)組織有效管理網(wǎng)絡(luò)安全風(fēng)險(xiǎn)的識(shí)別能力。
2.保護(hù):實(shí)施安全保障措施�����,確保能提供關(guān)鍵的醫(yī)療服務(wù)�。
3.檢測(cè):開(kāi)展檢測(cè)活動(dòng)以及時(shí)識(shí)別網(wǎng)絡(luò)安全事件。
4.響應(yīng):制定應(yīng)急響應(yīng)預(yù)案���,以便在檢測(cè)或遇到網(wǎng)絡(luò)安全事件時(shí)采取行動(dòng)�。
5.恢復(fù):制定恢復(fù)工作預(yù)案�����,及時(shí)恢復(fù)因網(wǎng)絡(luò)安全事件而受損的功能或服務(wù)。
2023年,NIST又引入了一個(gè)新的支柱——“治理”�����,它強(qiáng)調(diào)組織的內(nèi)部治理體系建設(shè)��,以指導(dǎo)組織有效地執(zhí)行框架中規(guī)定的行動(dòng)���。?
乍一看��,對(duì)于已經(jīng)建立的框架來(lái)說(shuō)����,這似乎是多余的�。然而,治理具有一致性�����、協(xié)調(diào)性���,讓網(wǎng)絡(luò)安全流程上各個(gè)環(huán)節(jié)主動(dòng)發(fā)揮作用的動(dòng)力����,這樣可以提升機(jī)構(gòu)整體防護(hù)水平��。對(duì)于面臨巨大財(cái)務(wù)和運(yùn)營(yíng)壓力的醫(yī)療衛(wèi)生機(jī)構(gòu)來(lái)說(shuō),基于網(wǎng)絡(luò)安全治理體系建設(shè)的方法�,是有效應(yīng)對(duì)意外風(fēng)險(xiǎn)的唯一途徑。
NIST安全框架的價(jià)值在于�,它一方面要遵循國(guó)家法律法規(guī)要求,另一方面要專注于機(jī)構(gòu)內(nèi)部的安全需求的最佳實(shí)踐�。這樣做的目的是,讓醫(yī)療衛(wèi)生機(jī)構(gòu)形成一種安全文化�,即醫(yī)療設(shè)備網(wǎng)絡(luò)安全是除監(jiān)管之外最優(yōu)先的事項(xiàng),需要所有相關(guān)者共同承擔(dān)責(zé)任和協(xié)同工作��,這是防范網(wǎng)絡(luò)安全風(fēng)險(xiǎn)的關(guān)鍵所在�。
4.2 從多方位視角去認(rèn)識(shí)網(wǎng)絡(luò)安全風(fēng)險(xiǎn)
為了采用更強(qiáng)有力的網(wǎng)絡(luò)安全政策���,醫(yī)療衛(wèi)生機(jī)構(gòu)需要全面了解其設(shè)備網(wǎng)絡(luò)安全風(fēng)險(xiǎn)情況�。醫(yī)療設(shè)備很復(fù)雜����,與之相關(guān)的風(fēng)險(xiǎn)同樣錯(cuò)綜復(fù)雜。醫(yī)療衛(wèi)生機(jī)構(gòu)在評(píng)估數(shù)字化醫(yī)療設(shè)備網(wǎng)絡(luò)安全風(fēng)險(xiǎn)時(shí)應(yīng)考慮多方面的因素:
設(shè)備是否能夠連接到網(wǎng)絡(luò)����,當(dāng)前是否已連接?
意外的設(shè)備故障會(huì)危及患者生命嗎����?
設(shè)備故障將如何影響提供醫(yī)療服務(wù)的能力���?
設(shè)備是否能顯示任何異常網(wǎng)絡(luò)行為?
設(shè)備可以存儲(chǔ)ePHI數(shù)據(jù)嗎���?
設(shè)備是否存在已知的軟件漏洞��?
設(shè)備制造商是否提供軟件升級(jí)補(bǔ)丁支持��?
只有認(rèn)識(shí)到這些復(fù)雜性����,方能讓醫(yī)療衛(wèi)生機(jī)構(gòu)中的相關(guān)人員自覺(jué)地采取行動(dòng)去應(yīng)對(duì)各種各樣的風(fēng)險(xiǎn)��。建立數(shù)字化醫(yī)療設(shè)備網(wǎng)絡(luò)安全治理體系�,是從更多視角去認(rèn)識(shí)風(fēng)險(xiǎn)。在技術(shù)層面����、業(yè)務(wù)層面和領(lǐng)導(dǎo)層面協(xié)同一致地做好安全防護(hù)工作,共同維護(hù)組織的聲譽(yù)����。
4.3 持續(xù)性改進(jìn)和實(shí)現(xiàn)閉環(huán)管理
衛(wèi)生系統(tǒng)即使是考慮了多方面的風(fēng)險(xiǎn)因素���,但仍是不足道的,因?yàn)榘踩L(fēng)險(xiǎn)是不斷變化的��。為此���,要定期開(kāi)展標(biāo)準(zhǔn)化評(píng)估��,及時(shí)識(shí)別風(fēng)險(xiǎn)���,采取應(yīng)對(duì)措施。建立嚴(yán)格的風(fēng)險(xiǎn)評(píng)估標(biāo)準(zhǔn)�����,意味著可以量化到具體設(shè)備上的風(fēng)險(xiǎn)��,并確定其安全防范處置的優(yōu)先級(jí)別�。建立標(biāo)準(zhǔn)的安全管理工作制度和工作流程���,定期開(kāi)展評(píng)估�����,實(shí)現(xiàn)閉環(huán)管理����,可及時(shí)發(fā)現(xiàn)存在的問(wèn)題,為及時(shí)采取安全防范措施取得先機(jī)�����。醫(yī)療設(shè)備網(wǎng)絡(luò)安全風(fēng)險(xiǎn)會(huì)隨著時(shí)間的推移而變化���,持續(xù)性評(píng)估和閉環(huán)管理���,可以幫助醫(yī)療衛(wèi)生機(jī)構(gòu)動(dòng)態(tài)跟蹤安全風(fēng)險(xiǎn)變化情況。在出現(xiàn)重大風(fēng)險(xiǎn)時(shí)�����,能夠快速識(shí)別并改善其應(yīng)對(duì)能力����。總而言之�����,定量、閉環(huán)的方法可以讓醫(yī)療衛(wèi)生機(jī)構(gòu)的安全防護(hù)工作保持領(lǐng)先地位���,主動(dòng)破解數(shù)字化醫(yī)療設(shè)備面臨的安全風(fēng)險(xiǎn)��。
*TRIMEDX是美國(guó)一家行業(yè)領(lǐng)先的獨(dú)立臨床資產(chǎn)管理公司��,提供全面的臨床工程服務(wù)���、臨床資產(chǎn)信息和醫(yī)療設(shè)備網(wǎng)絡(luò)安全服務(wù),幫助醫(yī)療衛(wèi)生機(jī)構(gòu)將其臨床資產(chǎn)轉(zhuǎn)化為戰(zhàn)略工具��,推動(dòng)減少運(yùn)營(yíng)費(fèi)用��,優(yōu)化臨床資產(chǎn)資本支出��,最大限度地利用患者護(hù)理資源����,并提供更好的安全和保護(hù)����。TRIMEDX的解決方案來(lái)自醫(yī)療衛(wèi)生機(jī)構(gòu),并為其提供服務(wù),它擁有92%的活躍醫(yī)療設(shè)備模型的數(shù)據(jù)����。
參考文獻(xiàn):
1.TRIMEDX內(nèi)部數(shù)據(jù)。
2.美國(guó)食品和藥物管理局�����。(2023年10月4日)網(wǎng)絡(luò)安全���。
3.榿木����,S.(2023年9月20日)�。2023年8月醫(yī)療服務(wù)數(shù)據(jù)泄露報(bào)告。HIPAA 期刊����。
4.IBM 安全性。(2023年7月24日)����。2023年數(shù)據(jù)泄露成本報(bào)告。
5.Bischoff��,P.(2022 年10月5日)。2020年�����,針對(duì)美國(guó)醫(yī)療衛(wèi)生機(jī)構(gòu)的勒索病毒軟件攻擊造成208億美元的損失���。比較技術(shù)�。
6.美聯(lián)社新聞(2021年10月1日)����。Suit將嬰兒的死亡歸咎于阿拉巴馬州醫(yī)院的網(wǎng)絡(luò)攻擊。美聯(lián)社新聞��。
7.美國(guó)國(guó)家標(biāo)準(zhǔn)與技術(shù)研究院�。(2023年8月23日)。NIST起草了對(duì)其廣泛使用的網(wǎng)絡(luò)安全框架的重大更新����。NIST的。
作者:Scott Trevino�,TRIMEDX網(wǎng)絡(luò)安全高級(jí)副總裁
來(lái)源:https://www.himss.org/resources/advancing-medical-device-cybersecurity-beyond-compliance-managing-risk-governance
