医疗行业仍然是网络罪犯最容易攻击的行业之一。据HIPAA杂志报道,到目前为止,2025年已经发生了33起攻击事件。在全球范围内,与医疗行业相关的勒索软件激增了31%以上。美国是受攻击最严重的地区,部分原因在于当地组织倾向于支付赎金以恢复运营并降低对患者的风险。
那么,医院和其他医疗保健公司如何保护自己和患者呢?在这里,我们将探讨2025年网络安全的变化前景、新出现的威胁以及保护患者信息的最佳实践。
一、2025年出现的网络安全威胁
医疗行业的主要网络安全风险包括勒索软件攻击、旧的遗留系统、第三方供应商、网络钓鱼和内部威胁。根据世界经济论坛的预测,2025年还将出现使用生成式人工智能和社会工程的越来越复杂的攻击。其他问题包括供应链挑战、供应商安全措施的可见性、地缘政治紧张局势和监管挑战。
网络钓鱼与勒索软件
HIPAA杂志报告,超过90%针对医疗行业的网络攻击源于网络钓鱼,最常见的形式是电子邮件钓鱼,即看似无害的电子邮件中包含恶意链接。如今,人工智能(AI)能创建更具说服力的邮件内容,也提高了钓鱼攻击的有效性。这些恶意链接可能将恶意软件注入网络,感染并加密敏感数据,随后黑客会要求支付赎金以释放信息。
HIPAA杂志报告,超过90%针对医疗行业的网络攻击源于网络钓鱼,最常见的形式是电子邮件钓鱼,即看似无害的电子邮件中包含恶意链接。如今,人工智能(AI)能创建更具说服力的邮件内容,也提高了钓鱼攻击的有效性。这些恶意链接可能将恶意软件注入网络,感染并加密敏感数据,随后黑客会要求支付赎金以释放信息。
医疗行业是一个主要目标的原因是黑客深知其关键性质,并且知道许多人会支付赎金,以尽量减少运营干扰。尽管FBI反对支付赎金,因为这样不仅不能保证数据会被归还,反而会激励黑客。但现实数据揭示了机构的困境:
近25%的医疗IT人员报告攻击导致患者死亡率上升;
64%医疗机构报告遭遇手术延误;
48%医疗机构观察到医疗并发症增加;
64%医疗机构报告遭遇手术延误;
48%医疗机构观察到医疗并发症增加;
数据泄露
该行业成为主要目标的另一个原因,黑客可以出售医疗数据牟利,医疗数据的价格是财务数据的50倍。
该行业成为主要目标的另一个原因,黑客可以出售医疗数据牟利,医疗数据的价格是财务数据的50倍。
为防范数据泄露,HIPAA隐私规则制定了保护电子健康信息(ePHI)的标准,强制要求采取加密、访问控制和风险评估等安全措施。
然而,大量的数据泄露是由第三方供应商造成的,估计在50%到60%之间。因此,医疗机构必须提升对所有涉及患者数据的第三方安全状况的认知,以降低风险。这促使越来越多的组织采用HITRUST框架来评估、管理和减轻第三方风险——该认证展现了对数据隐私与安全的最高承诺,不仅满足基础HIPAA要求,更能应对更广泛的漏洞和威胁。
二、不断变化的隐私与法规合规性
美国政府正推动医疗行业强制网络安全标准的实施,由卫生与公众服务部(HHS)主导。
2024年9月参议院提出的《卫生基础设施安全和责任法案》收紧了问责制,未能达到特定最低网络安全标准的医疗服务提供者可能面临刑事处罚。通过后,该法案将授权HHS为医疗服务提供者、健康计划、商业伙伴和票据交换所设置强制性的最低网络安全标准,并要求其进行年度审计和压力测试。
随后2024年12月,卫生与公众服务部民权办公室发布了一份拟议规则制定通知,以修改1996年的HIPAA安全规则,加强对ePHI的网络安全保护。其中一些建议包括:
(1) 开发风险分析,识别可能的威胁和潜在的漏洞
(2) 建立应对突发事件和安全事件的程序和计划
(3) 年度合规审核
(4) 要求加密ePHI
(5) 部署反恶意软件防护
(6) 需要多因素身份验证
(7) 需要漏洞扫描和渗透测试
(8) 要求业务伙伴和第三方部署技术保障措施来保护ePHI
(2) 建立应对突发事件和安全事件的程序和计划
(3) 年度合规审核
(4) 要求加密ePHI
(5) 部署反恶意软件防护
(6) 需要多因素身份验证
(7) 需要漏洞扫描和渗透测试
(8) 要求业务伙伴和第三方部署技术保障措施来保护ePHI
三、安全通信渠道的重要性
随着越来越多地使用数字平台来加强医护人员与患者之间的沟通,实施安全的通信渠道变得至关重要,既确保了法规合规性,同时又保护了患者机密性。安全通信的基础包括加密,它将信息转换为难以理解的编码消息,同时这些数据只能由授权人员访问,使其成为保护组织免受网络攻击和数据泄露的重要工具。最终目标是确保电子受保护健康信息(ePHI)无法被未授权者读取或利用。
美国国家标准与技术研究院(NIST)推荐符合联邦信息处理标准(FIPS 140-2)的加密方式,该标准包含高级加密标准(AES)——该算法获美国国家安全局(NSA)采用,证明了其有效性。AES使用128位、192位或256位密钥,至今未被成功破解。
具体而言,NIST建议对静态PHI使用AES,对传输中的PHI则推荐OpenPGP、S/MIME或TLS协议。通过部署安全消息应用、加密邮件和患者门户,并与符合HIPAA及HITRUST认证的第三方合作,可确保仅授权接收方能访问患者敏感数据。
四、新兴网络安全技术
尽管人工智能(AI)本身带来挑战,但它也在增强网络安全。越来越多的医疗机构利用AI和机器学习算法实时检测威胁,通过分析海量数据识别潜在违规模式,并触发快速响应:自动隔离受影响网络、启动安全协议并通知人员。
零信任架构通过严格验证每个访问请求、仅授予最小必要权限、强制多因素认证及网络分段来限制损害范围,并确保所有连接设备符合安全标准,辅以实时监控发现可疑活动。鉴于医疗设备互联性增加带来的额外风险,保持高度警惕至关重要:需及时更新威胁情报,实施实时检测、数据加密、定期软件更新和强认证协议,并对员工进行网络安全培训,辅以内外审计,以保护患者数据安全及信任。
五、在网络安全所有方面保持高度警惕
医疗行业正通过改善患者护理和简化操作的医疗设备变得越来越互联。然而,这种互联性带来了额外的网络安全风险。及时了解不断变化的网络安全形势,并采取必要措施保护患者数据和安全至关重要。这些措施包括启用实时检测、数据加密、定期软件更新和强大的身份验证协议,以及对员工进行网络安全保障培训以及内部和第三方审计。
结语:
面对2025年持续严峻的网络安全威胁,医疗行业保护患者数据和系统安全的挑战巨大。勒索软件、网络钓鱼、第三方风险及新兴的AI驱动攻击构成主要威胁,有效的防护需构建多层次体系:严格执行并超越HIPAA等法规要求,特别是强化ePHI加密、访问控制和第三方风险管理;部署安全通信通道,采用AES等强加密标准保护数据静态与传输安全;并积极利用AI威胁检测、零信任架构等新兴技术提升主动防御与响应能力。
参考链接:https://informationsecuritybuzz.com/cybersecurity-best-practices-for-patient-provider/
京公网安备 11010802033237号
