日前,ENISA(欧盟网络安全局)为期两年期内调研的一份新报告就指出,针对医疗机构的网络安全威胁已占整体威胁的一半以上(53%),其中医院占比42%,卫生监管等科研机构占比14%,制药行业占比为9%。
该报告进一步披露显示,近一半(46%)的网络安全事件旨在窃取或泄露医疗机构数据,其安全事件归因为两个维度,一个是内部人员问题,包括恶意行为和操作不当,同时包含外部攻击因素,这方面的问题在于医疗机构普遍糟糕的安全措施。
尽管针对医疗行业的勒索软件攻击很普遍(占事件的54%),但报告发现,只有27%的受访组织有专门的勒索软件防御计划。
该报告主要发现如下:
·广泛的事件。 欧洲卫生部门经历了大量安全事件,医疗行业占总事件的53%。其中针对医院的安全事件占比高达42%。
·勒索软件和数据泄露。 勒索软件成为卫生部门的主要威胁之一(占事件的 54%)。这一趋势被认为有可能继续下去。在卫生部门中,只有 27% 的受访组织拥有专门的勒索软件防御计划。
·COVID-19大流行的影响和经验教训。必须指出的是,报告期恰逢 COVID-19 大流行时期,在此期间,医疗保健部门成为攻击者的主要目标。在患者数据价值的驱动下,出于经济动机的威胁行为者对大多数攻击负责(53%)。
在大流行期间,欧盟各国的 COVID-19 相关系统和测试实验室发生了多起数据泄露事件。内部人员和不良的安全实践(包括配置错误)被确定为这些泄漏的主要原因。
·医疗保健系统中的漏洞。 对医疗保健供应链和服务提供商的攻击导致卫生组织中断或损失(7%)。鉴于医疗保健系统和医疗设备漏洞带来的风险,预计此类攻击未来仍将延续。
·地缘政治发展和DDoS攻击。地缘政治发展和黑客活动导致黑客组织在 2023 年初对医院和卫生当局的分布式拒绝服务 (DDoS) 攻击激增,占事件总数的 9%。虽然预计这一趋势将继续下去,但这些攻击的实际影响相对较低。
·报告中审查的事件对卫生组织产生了重大影响,主要导致数据泄露或被盗(43%)、关键医疗服务中断(22%)、无关医疗服务中断(26%)。
·该报告还强调了造成的经济损失,卫生部门重大安全事件的中位数成本估计为30万欧元。
报告指出,鉴于网络事件可能导致分诊和治疗延误,患者安全成为卫生界最关心的问题。因此有安全专家评论报告发现时表示,医疗机构必须将勒索软件防御作为首要任务。
京公网安备 11010802033237号
