HIMSS 新研究表明,缺乏 AI 治理对数据安全构成威胁
快速阅读: 据《医疗保健 IT 新闻》最新报道,医疗卫生组织在网络安全方面有所进展,但仍需加强治理和投资。HIMSS最新报告显示,预算从2020年的10%增至2024年的14%,但AI治理和内部威胁管理仍面临挑战。受访者中,52%预计2025年IT预算增加,但需更多资金支持安全服务。教育、工具和政策仍是关键防线。
医疗卫生组织在加强其安全态势方面取得了进展,但根据医疗卫生信息与管理系统协会的最新分析,仍需加强对治理的重视和对医疗卫生安全人员的进一步投资。在2024年医疗卫生网络安全调查报告中,HIMSS(医疗卫生信息与管理系统协会)询问了具有日常网络安全职责的医疗卫生网络安全专业人士关于行业当前的网络安全实践和趋势。该报告强调了不断增长的威胁和挑战安全的问题,审视了预算的使用情况,并提供了有关组织有机会改善其安全对话的见解。
威胁资金仍然不足
今年是HIMSS年度网络安全调查第十六个年头,该调查反映了负责或管理医疗卫生网络安全项目的医疗卫生网络安全专业人士的见解。主要议题包括勒索软件、安全事件、预算和人工智能。
“今年的调查显示,仅靠工具是不够的——更强的治理至关重要,关键领域包括人工智能、内部威胁管理和第三方风险管理,”HIMSS(《医疗卫生IT新闻》的母公司)在一份声明中表示。“资金支持安全,但没有治理,与人工智能相关的风险将无法得到控制。”
HIMSS高级网络安全和隐私负责人李·金周二在接受《医疗卫生IT新闻》采访时说:“这些风险不仅适用于医疗卫生组织,还涉及承包商、分包商和处理患者或敏感数据的第三方,以及为医疗卫生组织提供服务的供应商。”
HIMSS研究人员注意到,较少的勒索软件受害者报告支付了赎金。这可能部分由于医疗卫生组织增加了IT安全投资。在投入更多资源以强化网络安全防御方面,医疗卫生组织比以往更有策略地分配预算,以应对关键漏洞,预计将进一步增加投资。
“预算分配在7%-10%范围内从2020年的10%逐渐增加到2024年的14%,显示出对更高网络安全预算的投资增长,”研究人员在报告中表示。大多数受访者(52%)表示他们预计2025年其组织的整体IT预算将增加,而10%的人表示会减少,28%的人认为不会有变化,10%的人不确定。
然而,HIMSS在报告中表示,自2019年以来,受访者的预算增加总体上是适度的,需要额外的预算分配来支持这些增加的服务提供商的安全风险。
“有效的AI治理需要适当的政策、员工和持续监控,以应对数据泄露、社会工程等风险,其中包括不限于深度造假和AI驱动的钓鱼攻击、内部威胁等,”李女士说。
AI推动进一步的安全投资
一项迫在眉睫的担忧是,接受调查的医疗卫生网络安全专业人士表示,他们在组织内对AI使用的监控有限。
“当被问及他们的组织是否有批准AI技术的流程时,近一半(47%)的受访者表示他们的组织确实有批准流程,而42%的人表示没有,”研究人员说。“另有11%的人不确定其组织内是否存在此类流程。”
据新报告显示,缺乏正式的AI治理增加了风险,同时也注意到了机器学习驱动的网络欺诈作为新兴威胁。
“一半(50%)的受访者表示其组织只允许使用批准的AI技术,而30%的人允许无正式限制的AI使用,16%的人禁止使用AI,”报告称。只有1%的受访者报告采取了诸如‘制定AI政策或实施护栏’等行动,而3%的HIMSS调查受访者对其组织的立场不确定。
最显著的是,支出最少的地方
2024年的受访者指出,通过增加整体HIT预算实现的安全改进中最重要的是工具方面的改进。
“多数(57%)报告称他们使用的工具有了显著改进,47%报告称政策有了显著改进,31%报告称人员有了显著改进,”报告称。
增强劳动力——员工保留、招聘和技能提升——一直是该领域的持续问题。之前HIMSS网络安全调查的受访者曾指出,人手不足是改善医疗卫生网络安全计划的主要障碍,研究人员表示,有限的安全预算使这一挑战的进展缓慢。去年的报告显示,2023年HIMSS调查发现,合格的网络安全人员保留是一个当年隐私和安全专业人员面临的挑战。
“我们正在取得进展,但我们必须做更多的工作以应对当今不断演变的威胁,并为未来的威胁做好准备,”HIMSS研究人员在一份声明中表示。“任何安全计划中的薄弱环节都是人,这就是为什么教育、工具和政策仍然是最重要的防线。”
围绕网络安全优先事项的沟通
今年的报告涉及273名至少在日常网络安全运营或监督医疗卫生组织网络安全项目方面负有一定责任的医疗卫生网络安全专业人士。研究人员于2024年11月6日至12月16日询问了受访者过去12个月的观点、知识和经验。近一半的受访者既是执行经理,又将网络安全作为其主要职责,并给出了明确的回答。
HIMSS研究人员表示,其他受访者对网络安全预算分配的可见性较差也是一个值得关注的问题。
“虽然执行经理受访者通常了解网络安全预算分配,但非管理层和非执行经理受访者表现出有限的了解,这突显出更好地共享组织网络安全计划信息的机会,”他们说。
根据调查,钓鱼攻击是最常见的重大安全事件的攻击方法,但研究人员指出,游戏化、桌面推演和互动研讨会可以提高员工参与度,增强威胁教育。
“随着威胁环境的变化,医疗卫生组织必须保持警惕,同时确保网络安全能够支持业务和临床护理,”HIMSS在一份声明中表示。“持续适应和创新将是应对日益数字化世界的关键。”
欲了解更多,请访问今年在拉斯维加斯举行的医疗卫生网络安全论坛。
安德烈亚·福克斯是《医疗卫生IT新闻》的高级编辑。电子邮件:afox@himss.org
《医疗卫生IT新闻》是HIMSS媒体出版物。
(以上内容均由Ai生成)
