醫療行業仍然是網絡罪犯最容易攻擊的行業之一。據HIPAA雜志報道,到目前為止,2025年已經發生了33起攻擊事件。在全球范圍內,與醫療行業相關的勒索軟件激增了31%以上。美國是受攻擊最嚴重的地區,部分原因在于當地組織傾向于支付贖金以恢復運營并降低對患者的風險。
那么,醫院和其他醫療保健公司如何保護自己和患者呢?在這里,我們將探討2025年網絡安全的變化前景、新出現的威脅以及保護患者信息的最佳實踐。
醫療行業的主要網絡安全風險包括勒索軟件攻擊、舊的遺留系統、第三方供應商、網絡釣魚和內部威脅。根據世界經濟論壇的預測,2025年還將出現使用生成式人工智能和社會工程的越來越復雜的攻擊。其他問題包括供應鏈挑戰、供應商安全措施的可見性、地緣政治緊張局勢和監管挑戰。
網絡釣魚與勒索軟件
HIPAA雜志報告,超過90%針對醫療行業的網絡攻擊源于網絡釣魚,最常見的形式是電子郵件釣魚,即看似無害的電子郵件中包含惡意鏈接。如今,人工智能(AI)能創建更具說服力的郵件內容,也提高了釣魚攻擊的有效性。這些惡意鏈接可能將惡意軟件注入網絡,感染并加密敏感數據,隨后黑客會要求支付贖金以釋放信息。
醫療行業是一個主要目標的原因是黑客深知其關鍵性質,并且知道許多人會支付贖金,以盡量減少運營干擾。盡管FBI反對支付贖金,因為這樣不僅不能保證數據會被歸還,反而會激勵黑客。但現實數據揭示了機構的困境:
數據泄露
該行業成為主要目標的另一個原因,黑客可以出售醫療數據牟利,醫療數據的價格是財務數據的50倍。
為防范數據泄露,HIPAA隱私規則制定了保護電子健康信息(ePHI)的標準,強制要求采取加密、訪問控制和風險評估等安全措施。
然而,大量的數據泄露是由第三方供應商造成的,估計在50%到60%之間。因此,醫療機構必須提升對所有涉及患者數據的第三方安全狀況的認知,以降低風險。這促使越來越多的組織采用HITRUST框架來評估、管理和減輕第三方風險——該認證展現了對數據隱私與安全的最高承諾,不僅滿足基礎HIPAA要求,更能應對更廣泛的漏洞和威脅。
美國政府正推動醫療行業強制網絡安全標準的實施,由衛生與公眾服務部(HHS)主導。
2024年9月參議院提出的《衛生基礎設施安全和責任法案》收緊了問責制,未能達到特定最低網絡安全標準的醫療服務提供者可能面臨刑事處罰。通過后,該法案將授權HHS為醫療服務提供者、健康計劃、商業伙伴和票據交換所設置強制性的最低網絡安全標準,并要求其進行年度審計和壓力測試。
隨后2024年12月,衛生與公眾服務部民權辦公室發布了一份擬議規則制定通知,以修改1996年的HIPAA安全規則,加強對ePHI的網絡安全保護。其中一些建議包括:
(1) 開發風險分析,識別可能的威脅和潛在的漏洞
(2) 建立應對突發事件和安全事件的程序和計劃
(3) 年度合規審核
(4) 要求加密ePHI
(5) 部署反惡意軟件防護
(6) 需要多因素身份驗證
(7) 需要漏洞掃描和滲透測試
(8) 要求業務伙伴和第三方部署技術保障措施來保護ePHI
隨著越來越多地使用數字平臺來加強醫護人員與患者之間的溝通,實施安全的通信渠道變得至關重要,既確保了法規合規性,同時又保護了患者機密性。安全通信的基礎包括加密,它將信息轉換為難以理解的編碼消息,同時這些數據只能由授權人員訪問,使其成為保護組織免受網絡攻擊和數據泄露的重要工具。最終目標是確保電子受保護健康信息(ePHI)無法被未授權者讀取或利用。
美國國家標準與技術研究院(NIST)推薦符合聯邦信息處理標準(FIPS 140-2)的加密方式,該標準包含高級加密標準(AES)——該算法獲美國國家安全局(NSA)采用,證明了其有效性。AES使用128位、192位或256位密鑰,至今未被成功破解。
具體而言,NIST建議對靜態PHI使用AES,對傳輸中的PHI則推薦OpenPGP、S/MIME或TLS協議。通過部署安全消息應用、加密郵件和患者門戶,并與符合HIPAA及HITRUST認證的第三方合作,可確保僅授權接收方能訪問患者敏感數據。
盡管人工智能(AI)本身帶來挑戰,但它也在增強網絡安全。越來越多的醫療機構利用AI和機器學習算法實時檢測威脅,通過分析海量數據識別潛在違規模式,并觸發快速響應:自動隔離受影響網絡、啟動安全協議并通知人員。
零信任架構通過嚴格驗證每個訪問請求、僅授予最小必要權限、強制多因素認證及網絡分段來限制損害范圍,并確保所有連接設備符合安全標準,輔以實時監控發現可疑活動。鑒于醫療設備互聯性增加帶來的額外風險,保持高度警惕至關重要:需及時更新威脅情報,實施實時檢測、數據加密、定期軟件更新和強認證協議,并對員工進行網絡安全培訓,輔以內外審計,以保護患者數據安全及信任。
醫療行業正通過改善患者護理和簡化操作的醫療設備變得越來越互聯。然而,這種互聯性帶來了額外的網絡安全風險。及時了解不斷變化的網絡安全形勢,并采取必要措施保護患者數據和安全至關重要。這些措施包括啟用實時檢測、數據加密、定期軟件更新和強大的身份驗證協議,以及對員工進行網絡安全保障培訓以及內部和第三方審計。
面對2025年持續嚴峻的網絡安全威脅,醫療行業保護患者數據和系統安全的挑戰巨大。勒索軟件、網絡釣魚、第三方風險及新興的AI驅動攻擊構成主要威脅,有效的防護需構建多層次體系:嚴格執行并超越HIPAA等法規要求,特別是強化ePHI加密、訪問控制和第三方風險管理;部署安全通信通道,采用AES等強加密標準保護數據靜態與傳輸安全;并積極利用AI威脅檢測、零信任架構等新興技術提升主動防御與響應能力。
參考鏈接:https://informationsecuritybuzz.com/cybersecurity-best-practices-for-patient-provider/
浙公網安備 33010502006954號 
