在物联网的世界里,虚拟和物理领域正变得越来越紧密。互联网连接的速度超过了企业的安全能力。
因此,网络犯罪的一大驱动因素是医疗信息技术世界中最不受保护的网络和系统——建筑自动化,或称智能建筑技术。
例如,黑客进入零售商的互联网连接的HVAC系统,从Target那里窃取了4000万个信用卡号。在另一个示例中,黑客通过网络连接的鱼缸访问了北美数据库。
这些场景揭示了运营技术,如标识、电梯、AV会议、暖通空调等,可能会给医疗机构带来严重的安全风险。
独特的有价值的数据
TEKsystemsGlobalServices执行董事马修·埃利希(MatthewEhrlich)表示:“与其他行业相比,医疗服务提供商组织中的信息--病人健康信息(PHI)、支付卡信息(PCI)、知识产权(IP)等等--对黑客来说具有独特的价值,这就是为什么迄今为止我们看到人们如此关注医疗保健领域的网络安全。”TEKsystemsGlobalServices是一家专门从事网络安全的数字技术开发商。
他继续说:“但是,我们看到的问题是,大多数保护医疗保健提供者的努力都属于IT政策的保护范围。”通过将网络威胁限制为仅IT策略,组织就可以忽略公司的主要漏洞和风险。传统上,建筑系统并不属于IT领域,但是它们具有广阔的技术生态系统,必须对其进行评估和治理。”
他补充说,这些被称为运营技术的技术系统是原始的,而且通常管理不善,这使它们成为渗透到医院主要网络的成熟目标。
医疗保健行业有许多不同的建筑系统存在网络安全漏洞。传统的商业建筑在操作技术方面存在漏洞,比如HVACs、火灾报警系统、数字标牌、电梯、水表或电表、照明等等。所有这些漏洞也适用于医疗机构。
非传统技术
“但是,医疗保健提供者也具有如此独特的房地产类型,从小型门诊设施到复杂的1000多张病床医院,实验室,停车场,药房等等,”Ehrlich解释说。“每种类型都带来了大量非传统技术支持和独立的供应商生态系统。”
以实验室为例:除了订购系统,还有安全的房间/门、温度控制室、血库、特殊照明等。这一概念为医疗物联网(IoMT)奠定了基础,这是医疗保健组织需要关注的新兴领域。
那么,医疗保健CIO和CIO可以采取哪些步骤来分析、设计、评估和实施智能建筑解决方案计划,以保护自己免受黑客攻击,从而获得更重要的信息,如主网络或电子健康记录系统?
Ehrlich说:"首先,医疗保健提供商应该采取协作方式来解决这个问题——IT不能单独拥有这一问题。同样,风险组织也不能拥有这一点。风险、房地产、金融、运营、IT和临床需要之间的协调努力,以确保端到端政策的实施。
Ehrlich指出,初步评估是第一步,教育和了解风险可以产生巨大的投资回报率。他说,在修复了任何漏洞并建立了策略后,医疗服务提供商需要一种方法来监控和管理正在进行的运营,因为技术和供应商格局正在不断变化。
极度缺乏意识
他说:“大多数医疗行业领导者都意识到,一个企业可以从‘智能建筑’中获益。”“但如今,人们对医疗保健领域存在的不断上升的风险认识极度匮乏,这些风险存在于现有的基础设施中,比如电梯或HVACs等非常简单的设施,更不用说像‘智能房间’这样更具创新性的主题了。”我们担心,由于缺乏教育和紧迫性,这个问题可能会在好转之前变得更糟。”
在过去的十年中,整合的EHR、ERP和CRM的开发/实现产生了高级的分析,数据量是难以想象的。Ehrlich说,这样一来,通过一个关键领域(建筑物系统漏洞),对该数据的访问就越来越多。
他总结说:“建筑漏洞将成为整个医疗生态系统的主要切入点或破坏和事件的起因。”