醫療記錄可以不加密進行傳輸嗎？

最近針對醫院和其他醫療提供商的網路安全調查發現了他們的不良習慣，例如傳輸未加密醫療記錄以及缺乏部署安全產品的問題。

這項調查由芝加哥醫療衛生資訊和管理系統協會（HIMSS）執行，在一個月左右的時間，他們收到來自119家急性病醫療機構和31家非急性病機構的回覆，其中包括醫生辦公室和門診辦公室。根據調查顯示，36%的受訪者承認他們在傳輸時沒有加密醫療記錄，而只有58.7%會加密靜態資料。

“這意味著醫療提供商在以純文字格式傳送受保護的醫療資訊和其他資料，這讓這些資料很容易通過竊聽、資料包嗅探或其他手段被洩露，”HIMSS在報告中寫道，“同樣，只有61.3%急性病提供商在加密靜態資料，48.4%非急性病提供商在加密靜態資料。這也會讓這些資料面臨潛在的篡改以及破壞，還有可能被洩露。”

在調查的網路安全產品中，只有防病毒或反惡意軟體、防火牆和審計日誌在非急性病提供商間非常普遍。HIMSS認為這可能是由於急性病提供商擁有相對更多的財政資源投資於更廣泛的技術。

“在2016年的調查中，醫療提供商的資訊保安工具情況表明他們通常僅依靠有限的安全工具，”HIMSS寫道，“這可能是因為提供商缺乏適當的人員和/或預算，雖然醫療提供商有廣泛的資訊保安工具可選擇，但急性病醫療機構似乎比非急性病提供商有更多的安全技術。”

防病毒或反惡意軟體以及防火牆是超過80%受訪者都會使用的安全產品，而只有超過50%的非急性病提供商會同時使用這兩種技術以及審計日誌。有些工具在使用方面存在很高的差異性，例如補丁和漏洞管理，61.3%的急性病提供商已經部署，而非急性病提供商只有41.9%部署率。

“從本質上講，只要技術存在，就會有漏洞。這些漏洞有時候可能有很高的利用率，”HIMSS寫道，“缺乏漏洞管理工具可能導致出現很大的攻擊面。補丁修復、正確的配置以及其他技術可用於解決這些可被利用的漏洞。如果沒有部署這樣的技術，這可讓攻擊者有很大的時間視窗來利用未修復的系統，時間就是金錢，對於攻擊者來說也是如此，他們可能會尋求唾手可得的目標。”

然而，HIMSS在報告中指出，證據證明醫療提供商和醫院網路安全在不斷改進。超過70%的受訪者稱網路安全在過去一年有所改進，而61.3%改善了終端安全，52%改進了災難恢復。

“除了重大安全事故帶來的教訓，受訪者指出在過去一年中推動他們改進資訊保安做法的三個因素；對網路釣魚攻擊和病毒/惡意軟體事件作出響應，以及主動解決風險評估的結果，”HIMSS寫道，“面對網路釣魚和拒絕服務攻擊、病毒和惡意軟體不斷增加，醫療提供商自然會想要改進其資訊保安狀況。”

HIMSS表示受訪者想要掌控他們當前和未來所面臨的風險，以及醫院網路安全可能受到威脅的地方。其中，電子郵件被認為是最大的漏洞區域，網路釣魚被認為是需要關注的問題，還有對已知軟體漏洞的利用。勒索軟體被認為是醫院網路安全面臨的最大未來威脅。

但受訪者對於緩解這些威脅的最大障礙是什麼無法達成共識，58.7%的受訪者認為是缺乏網路安全人員，54.7%認為缺乏財政資源，而49.3%認為有太多新的或新出現的威脅。

“網路安全攻擊可能給醫療提供商和整個社會帶來災難性後果，對於醫療提供商來說，當務之急是認識到解決網路安全問題和採取相應行動的需要，”HIMSS寫道，“這項調查還表明醫療提供商正在採取措施來解決網路安全問題。然而，他們還需要做出更多改進才能保持領先於威脅。”

本文轉自d1net（轉載）