最近,全球医疗保健组织遭受了令人震惊的网络攻击。当然,其他机构也是大规模入侵的目标,尤其是在关键基础设施领域。然而,对于医院和诊所,任何安全漏洞都可能导致死亡,而不仅仅是经济损失。这也是一个众所周知的系统、网络和IoT/IoMT设备保护不足的行业。PonemonInstitute和Cynerio的一份报告基于517名在美国医院和卫生系统担任领导职务的医疗保健专业人员的数据,列出了医疗保健组织及其专业人员面临的最常见风险。超过一半的受访者组织(56%)在过去24个月内经历过一次或多次涉及医疗IoT/IoT设备的网络攻击,在此期间平均遭受12.5次攻击。由于入侵,45%的受访者报告对患者护理产生不利影响,53%的受访者(总体24%)报告导致死亡率增加的影响。事情也可能变得更糟,研究发现的另一个事实是攻击者经常长期运作并重复他们的攻击。在上述56%的受访者中,他们在过去24个月内至少经历过一次网络攻击,其中82%的受访者在此期间平均经历过四次或更多次攻击。特别是,勒索软件攻击的发生率几乎相似,43%的受访者经历过一次攻击,76%的受访者平均经历过三次或更多次攻击。谈到勒索软件,医院越来越多地考虑将支付赎金作为加快数据恢复的可行选择——在经历过此类攻击的组织中,有47%最终支付了赎金,其中32%支付了250,000美元至500,000美元。没有支付赎金的组织通常将他们的决定归因于有效的备份策略(53%)和公司政策(49%)。转售患者数据仍有价值,43%的受访者表示在过去24个月内至少经历过一次数据泄露。其中,65%在此期间平均经历了5次或更多次数据泄露,其中88%涉及物联网/医疗物联网设备。参与调查的组织估计,涉及此物联网/医疗物联网设备的最大数据泄露的平均成本为1300万美元,包括直接成本、间接成本和失去的商机。缺乏安全的主要原因之一是缺乏明确的问责制。当受访者被问及哪些高级管理人员主要负责保护高风险设备时,没有高级管理人员的回答超过18%。即使是排名靠前的答案也各不相同,包括CIO/CTO(18%)、运营主管(14%)、CISO/首席安全官(14%)和网络主管(11%)。当谈到物联网/医疗物联网设备带来的安全风险水平时,71%的受访者将其评为高或非常高,但只有21%的人表示他们处于主动网络安全措施的成熟阶段。在大约一半的案例(46%)中,对设备进行了基本验证,但三分之二的受访者(67%)没有报告跟踪结果。好消息是预算持有人一直在争取更多的资源来保护他们的环境。本财年典型的IT投资估计平均为1.45亿美元,其中17%专注于安全性。平均而言,20%的安全支出用于物联网/医疗物联网设备。与医疗保健以外的其他行业一样,攻击者利用人员短缺和缺乏物联网/物联网设备安全知识等弱点。受访者表示他们最担心的物联网和其他连接设备面临的主要威胁包括:缺乏对物联网网络的可见性(45%)、网络钓鱼(45%)、零日攻击(41%)和勒索软件(39%).
