醫療記錄可以不加密進行傳輸嗎？

最近針對醫院和其他醫療提供商的網絡安全調查發現了他們的不良習慣，例如傳輸未加密醫療記錄以及缺乏部署安全産品的問題。

這項調查由芝加哥醫療衛生資訊和管理系統協會（himss）執行，在一個月左右的時間，他們收到來自119家急性病醫療機構和31家非急性病機構的回複，其中包括醫生辦公室和門診辦公室。根據調查顯示，36%的受訪者承認他們在傳輸時沒有加密醫療記錄，而隻有58.7%會加密靜态資料。

“這意味着醫療提供商在以純文字格式發送受保護的醫療資訊和其他資料，這讓這些資料很容易通過竊聽、資料包嗅探或其他手段被洩露，”himss在報告中寫道，“同樣，隻有61.3%急性病提供商在加密靜态資料，48.4%非急性病提供商在加密靜态資料。這也會讓這些資料面臨潛在的篡改以及破壞，還有可能被洩露。”

在調查的網絡安全産品中，隻有防病毒或反惡意軟體、防火牆和審計日志在非急性病提供商間非常普遍。himss認為這可能是由于急性病提供商擁有相對更多的财政資源投資于更廣泛的技術。

“在2016年的調查中，醫療提供商的資訊安全工具情況表明他們通常僅依靠有限的安全工具，”himss寫道，“這可能是因為提供商缺乏适當的人員和/或預算，雖然醫療提供商有廣泛的資訊安全工具可選擇，但急性病醫療機構似乎比非急性病提供商有更多的安全技術。”

防病毒或反惡意軟體以及防火牆是超過80%受訪者都會使用的安全産品，而隻有超過50%的非急性病提供商會同時使用這兩種技術以及審計日志。有些工具在使用方面存在很高的差異性，例如更新檔和漏洞管理，61.3%的急性病提供商已經部署，而非急性病提供商隻有41.9%部署率。

“從本質上講，隻要技術存在，就會有漏洞。這些漏洞有時候可能有很高的使用率，”himss寫道，“缺乏漏洞管理工具可能導緻出現很大的攻擊面。更新檔修複、正确的配置以及其他技術可用于解決這些可被利用的漏洞。如果沒有部署這樣的技術，這可讓攻擊者有很大的時間視窗來利用未修複的系統，時間就是金錢，對于攻擊者來說也是如此，他們可能會尋求唾手可得的目标。”

然而，himss在報告中指出，證據證明醫療提供商和醫院網絡安全在不斷改進。超過70%的受訪者稱網絡安全在過去一年有所改進，而61.3%改善了終端安全，52%改進了災難恢複。

“除了重大安全事故帶來的教訓，受訪者指出在過去一年中推動他們改進資訊安全做法的三個因素；對網絡釣魚攻擊和病毒/惡意軟體事件作出響應，以及主動解決風險評估的結果，”himss寫道，“面對網絡釣魚和拒絕服務攻擊、病毒和惡意軟體不斷增加，醫療提供商自然會想要改進其資訊安全狀況。”

himss表示受訪者想要掌控他們目前和未來所面臨的風險，以及醫院網絡安全可能受到威脅的地方。其中，電子郵件被認為是最大的漏洞區域，網絡釣魚被認為是需要關注的問題，還有對已知軟體漏洞的利用。勒索軟體被認為是醫院網絡安全面臨的最大未來威脅。

但受訪者對于緩解這些威脅的最大障礙是什麼無法達成共識，58.7%的受訪者認為是缺乏網絡安全人員，54.7%認為缺乏财政資源，而49.3%認為有太多新的或新出現的威脅。

“網絡安全攻擊可能給醫療提供商和整個社會帶來災難性後果，對于醫療提供商來說，當務之急是認識到解決網絡安全問題和采取相應行動的需要，”himss寫道，“這項調查還表明醫療提供商正在采取措施來解決網絡安全問題。然而，他們還需要做出更多改進才能保持領先于威脅。”

本文轉自d1net（轉載）