2024年2月,美国医疗IT巨头Change Healthcare遭遇大规模勒索软件攻击,事件造成广泛震动,导致全国医疗支付系统瘫痪,也凸显了医疗行业网络安全的脆弱性。为了应对类似事件,美国参议员Mark R. Warner提出《2024年医疗保健网络安全改进法案》,建议针对满足最低网络安全标准的医疗提供商,在网络事件后提供预付款和加急付款,以避免其面临财务破产风险。
医疗行业数字化转型下的网络安全挑战
近年来,随着医疗行业数字化转型步伐的加快,医疗机构的信息化水平不断提升,医疗数据日益丰富,也成为网络攻击者的重要目标。勒索软件攻击是近年来医疗行业面临的常见网络安全威胁,攻击者通过加密医疗机构关键数据并索要赎金,造成医疗机构运营中断、患者信息泄露等严重后果。
Change Healthcare事件的典型案例与深远影响
Change Healthcare事件是医疗行业遭受大规模勒索软件攻击的典型案例。该事件造成的影响主要体现在医疗支付系统瘫痪、患者护理服务受影响和数据泄露风险。Change Healthcare是美国主要的医疗支付系统供应商,其被攻击导致全国医疗支付系统瘫痪,医疗机构无法及时收到患者保险报销款项,面临巨大的财务压力。当医疗支付系统瘫痪后,医疗机构将无法及时获取患者支付信息,进而影响患者的诊疗流程和服务质量。与此同时,勒索软件攻击很可能发生并且导致医疗机构患者信息泄露,给患者隐私安全带来重大威胁。
《2024年医疗保健网络安全改进法案》的政策导向
《2024年医疗保健网络安全改进法案》的提出,旨在提高医疗行业的网络安全水平,降低网络攻击事件的发生概率和影响程度。该法案的主要内容包括建立最低网络安全标准以及加强监管,卫生与公众服务部应该负责制定医疗机构的最低网络安全标准,包括网络安全基础设施建设、安全策略制定、安全事件应急响应等方面的内容,同时负责对医疗机构的网络安全状况进行监督检查,并对违反相关规定的机构进行处罚;提供预付款和加急付款,对于满足最低网络安全标准的医疗机构,在遭遇网络事件后,可以申请预付款和加急付款,以缓解其财务压力。
Change Healthcare事件带给我们的思考
整起事件给医疗行业网络安全带来了各方面的启示,首先是医疗行业网络安全形势严峻,勒索软件攻击等新型网络攻击手段不断涌现,医疗机构需要高度重视网络安全问题。再者 医疗机构应加强网络安全基础设施建设,完善安全防护体系,提升网络安全防御能力,同时提高员工的网络安全意识,加强网络安全培训,定期开展网络安全演练,提升应对网络攻击事件的能力。政府则应完善网络安全法律法规,加大对网络攻击行为的惩处力度,为医疗行业网络安全提供法律保障。
医疗行业网络安全社会研究的未来方向
在医疗行业数字化转型不断深入的背景下,医疗行业网络安全需要进一步拓宽研究视野,深化理论研究,探索创新实践,为医疗行业网络安全提供更加有效的理论支撑和实践指导。包括了加强跨学科研究,通过加强网络安全、医疗信息学、公共卫生等学科的交叉融合,构建医疗行业网络安全社会研究的跨学科理论框架。开展医疗行业网络安全实证研究,分析医疗机构网络安全现状,识别网络安全风险,探索有效的网络安全防护策略。最后,还需要针对医疗行业网络安全监管、立法等问题开展政策研究,为完善医疗行业网络安全政策法规提供理论依据。
结论
Change Healthcare事件是医疗行业网络安全的重大警示,也为医疗行业网络安全社会研究提供了宝贵的经验和启示。网络安全是国家安全的重要组成部分,未来,医疗行业网络安全社会研究需要进一步加强跨学科研究、深化实证研究、探索政策研究,为医疗行业网络安全提供更加有效的理论支撑和实践指导,提升医疗机构网络安全防御能力,助力医疗行业数字化转型健康发展,是保障医疗行业安全发展的重要任务。
参考资料:Industrialcyber | 安全内参