SecurityScorecard 在周二的一份声明中表示,虽然该研究重点关注医疗保健行业的网络安全进展,使其在 2024 年上半年获得“好于预期”的 B+ 安全评级,但应用程序和端点安全方面的弱点对供应链带来了重大风险。
为何重要
供应链网络安全公司 SecurityScorecard 表示,它研究了美国 500 家最大的医疗保健公司的违规历史和安全评级,这些公司的股票在美国公开交易,旨在为行业提供有助于阻止第三方数据泄露的见解。
在 2024 年美国医疗保健行业网络风险状况研究中,9% 的受访医疗保健组织在过去一年中曾发生过公开报告的入侵事件,或在过去 30 天内有证据表明机器遭到入侵——“如果不是两者兼有”,研究人员表示。此外,2% 的组织在过去一年中曾发生过公开报告的入侵事件,并且在过去 30 天内有机器遭到入侵。
与此同时,根据 SecurityScorecard 的威胁分析师的说法,医疗保健公司的平均安全评级为 88。
他们表示:“造成这种差异的可能原因包括:我们的样本是大型上市公司,这些公司通常具有更好的安全性;而且我们的样本中大多数是制药和生物技术公司。”
主要发现如下: 报告 详细说明医疗保健网络安全挑战如何超越其他所有领域。
分析师发现,应用程序安全问题是降低评分风险的最常见来源,“但这些问题的严重程度通常较低或中等”。
虽然端点安全问题通常对医疗保健组织分数的影响较小,但当它们对分数产生显著的负面影响时,与导致安全分数较低的其他因素相比,其严重性较高。
“端点安全评分低主要原因是使用过时的 Web 浏览器;其他端点安全问题则不太常见。”
制造商 医疗设备 医疗设备及用品分销商的得分也明显较低。
分析师表示:“我们将这种差异归因于它们的攻击面差异,其中一些攻击面可能与其他医疗保健组织的攻击面更相似,而非非医疗保健制造商的攻击面。”
该报告还讨论了勒索软件及其如何影响所有四个医疗保健部门,“而不仅仅是最为人熟知的医疗服务提供商”。
分析师表示,欺诈性使用患者数据、威胁泄露高价值医药知识产权以进行敲诈勒索以及中断业务流程(“就像 Change Healthcare 的案例一样”)都具有高度风险。
其他值得注意的风险来源包括专门的第三方平台、将非临床业务职能外包给第三方供应商以及将实验室测试和诊断成像委托给第三方护理提供商。
大趋势
去年,由 HITRUST 和 CORL 等一系列医疗和安全组织组成的健康第三方信任倡议组织表示,自 2022 年以来,55% 的医疗保健组织遭遇过第三方违规行为,并称第三方风险管理不足。
Health3PT 的 推荐做法和实施指南 旨在为 TPRM 生态系统创建标准,并通过标准化经过验证的保证机制而不是一次性的自我认证问卷来进一步提高效率和有效性。
UPMC 首席信息安全官 John Houston 表示:“我们希望成为第三方的统一战线。” 医疗保健 IT 新闻。“我认为这是其中很重要的一部分——能够对行业说,‘这是我们对你们的期望。’当第三方拥有我们的任何数据时,这就是我们所期望的。”
记录在案
SecurityScorecard 威胁研究和情报高级副总裁 Ryan Sherstobitoff 在报告公告中表示:“一个单点故障,例如支持医疗索赔处理的 Change Healthcare,就可能破坏整个医疗保健生态系统。”
“如果网络安全界不积极监控供应链风险,历史将继续重演。我们必须共同识别和解决单点故障。”
Andrea Fox 是医疗保健 IT 新闻的高级编辑。
电子邮件: [email protected]
医疗保健 IT 新闻是 HIMSS 媒体出版物。
1719372289
2024-06-25 15:24:55
