网络安全需要新的方法，所有利益相关者都做出贡献

快速阅读: 据《医疗保健 IT 新闻》最新报道，随着医疗领域的数字化转型，医疗IT系统成为恶意行为者的目标。勒索软件是主要威胁之一，占医疗领域违规事件的54%，每次事件平均损失30万欧元。为应对威胁，欧盟委员会提出全面行动计划，建立泛欧网络安全支持中心，提供定制指导和培训，并引入更严格的管理要求。医疗组织需加强员工培训和安全意识，以共同承担责任，改善整体网络安全。

随着医疗领域的数字化转型和数据质量的提升，医疗领域的IT系统正逐渐成为恶意行为者越来越有吸引力的目标。网络攻击可以瘫痪机构，导致服务交付中断并造成患者伤害。医疗组织面临的主要威胁包括勒索软件、由云漏洞和配置错误引起的漏洞、不良机器人流量和网络钓鱼。根据欧盟网络安全局（ENISA）的数据，勒索软件是医疗领域所有违规事件的54%，每次事件平均给医疗组织造成30万欧元的损失。随着医疗设备在患者护理中的应用，攻击威胁范围已超出传统IT系统。“联网医疗设备如输液泵、起搏器和成像系统通常运行在过时的软件上，缺乏加密或配置不当，”克利夫兰诊所伦敦分院临床工程部主任南娜·奥多姆说。“这为攻击者创造了高度易受攻击的入口点。”AI驱动的攻击的出现提高了风险。新时期的防御培训“过去你只需担心网络钓鱼攻击。现在你还需要担心深度伪造和AI生成的语音电话欺诈，”爱尔兰塔拉赫特大学医院首席信息官大卫·沃尔指出。“你以为你在和同事交谈，但实际上并不是。”这需要对员工进行信息安全方面的更新培训。“持续对员工进行培训和提高他们的意识非常重要，”沃尔说。“重要的是员工不要变得不参与，所以进行内部模拟网络钓鱼攻击真的很重要。这些应该定期进行，如每周、每天或每月，并且组织应协调不同类型的模拟——可能是针对财务部门的直接攻击，或者医院范围内的测试，比如当地超市的假免费优惠券。”一些医疗组织已经开始实施措施来应对这些挑战。奥多姆解释说，在克利夫兰诊所伦敦分院，安全评估作为采购过程的一部分进行，将重点从被动修复转向主动预防。然而，ENISA报告仍显示医疗组织普遍存在网络安全缺陷：95%难以进行风险评估，46%从未进行过风险评估。此外，40%缺乏非IT员工的安全意识培训，只有27%的组织拥有专门的勒索软件防御计划。这些缺陷通常源于对医疗技术的基本误解。“许多人认为一旦医疗设备部署完毕，它就会独立工作而无需更新，”奥多姆说。“然而，这些设备通常运行在需要定期修补以修复漏洞的商业操作系统上。由于担心干扰临床工作流程或使保修失效，医疗技术管理（HTM）团队在尝试实施固件更新或安全补丁时会遇到阻力。然而，未修补的设备存在显著的安全风险。”保护蓝图为了应对广泛存在的漏洞和不断升级的威胁，欧盟委员会于2025年1月公布了一项全面行动计划。委员会战略的核心是在ENISA下建立一个泛欧网络安全支持中心。该中心将为医疗机构提供定制指导、工具、培训和服务，包括网络安全最佳实践、监管映射工具、早期预警服务和事件响应手册。该计划引入了多项措施：强制性勒索软件报告：成员国可要求医疗服务提供商在网络安全事件报告中披露勒索支付情况，基于NIS2指令。供应链安全：将对医疗器械供应链进行安全风险评估。支持中心将提供采购指南以管理与云服务和第三方供应商相关的风险。医疗器械网络安全：鼓励制造商通过ENISA的报告平台报告网络安全事件和漏洞。行业协作：欧洲健康CISO网络将促进网络安全专业人员之间的知识共享，而欧洲健康ISAC将改善供应商和制造商之间的协调。健康网络安全咨询委员会将指导该计划的实施。在现有网络安全立法的基础上——包括NIS2指令、网络安全法、网络安全韧性法和网络安全团结法——该计划还引入了更强大的管理承诺要求，NIS2指令引入了执行层面对网络安全准备的责任。为了确保实施的有效性，ENISA强调集体行动的重要性，建议进行基本的网络安全检查，如离线加密备份、全面的意识培训、强大的漏洞管理和健全的事件响应计划。这种向集体责任的转变代表了医疗领域如何处理网络安全的根本变化。“网络安全将不再仅被视为IT职能，”奥多姆预测。“相反，它将在统一治理框架下成为全组织的责任，培养积极的网络安全文化。患者也将通过要求安全平台和问责制，更加积极地发挥作用。”南娜·奥多姆，克利夫兰诊所伦敦分院临床工程部主任，将在2025年6月10日至12日在巴黎举行的HIMSS欧洲会议“你安全吗？”网络安全会议中发言。查看完整议程。

(以上内容均由Ai生成)