赛门铁克卓越的医疗保健设计师要求医疗保健提供商将医疗机构网络安全从IT部门转移到董事会,并将其视为与整体情况相关的业务问题。
HIMSS18在拉斯维加斯开设医疗机构网络安全管理中心
最近发布了第三份年度HIMSS分析和赛门铁克IT安全和风险管理报告。报告显示,尽管有迹象表明医疗风险管理正在成熟,但网络安全风险仍然不足。医疗保健提供商对自己的攻击防范缺乏信心。为了支持长期而有意义的变化,医疗保健提供商必须将网络安全从IT部门转移到董事会。
领导们逐渐开始重视医疗机构网络安全
研究显示,目前60%的IT高管认为风险评估而不是HIPAA合规性是促进安全投资的主要因素,94%的人认为风险评估是三个因素之一。59%的“风险框架绩效”是关键绩效指标(KPI)。
管理员也开始自行处理网络安全问题。安全报告要求(约40%的应答者)或经常提交到会议(约27%)。超过14%的人正在积极研究新的或当前的风险。
Axel Wirth是HIMSS隐私和安全委员会的杰出医疗设计师,也是赛门铁克医疗解决方案的设计师。他说:“如果医疗服务提供商没有把自己作为目标,这表明他们没有充分理解2018年网络安全意味着什么。”
医疗机构网络安全投资不足
目前,由于医疗设备的使用,技术环境日益复杂,医疗服务设施对网络安全投入严重不足,他们仍然怀疑云计算,不知道如何保障安全,对安全重视不够。
尽管最近医疗领域的网络攻击非常猖獗,造成了严重的损失,但45%的受访者认为2017年IT安全投资的总IT预算份额不超过3%,有些甚至为零。
28%的受访者表示,2018年IT预算的4.6%用于安全。只有7.7%的受访者表示,10%的预算用于信息安全。
对打击医疗机构网络安全网络犯罪缺乏信心
另外,医疗机构对阻止网络犯罪的信任度破例较低。今年对网络攻击防御的信心仅为6%。报告指出,主要原因是有限的资源和人力不足。73%的受访者认为预算限制是三大障碍之一,约63%的受访者认为主要障碍是员工短缺,超过40%的受访者认为找不到适合安全工作的技术。
正如Wirth所说,今天的IT安全与几年前大不相同。它不再是一个“单一问题”,而是一个影响全局的问题,因为它直接影响医疗服务设施的运营收益、医疗服务和患者安全。
Wirth表示:“他们在一楼解决了安全问题,但发现下一层还有更多挑战,因此应该从商业风险的角度考虑医疗网络安全方法的各个方面。”
