医疗保健网络安全“远比预期糟糕”

默克公司(Merck & Co)的一名高管告诉美国立法者，网络安全是医疗保健行业的一个严重问题，近年来有超过100万份健康记录被泄露。

这家制药公司的首席信息安全官特伦斯·赖斯本周告诉众议院能源和商业委员会监督和调查小组委员会，尽管根据2016年的数据，网络安全事件的报告严重不足IBM网络安全情报索引医疗保健是去年受到攻击最多的行业。

他在会议上表示:“我们观察到网络安全研究人员演示了胰岛素泵和起搏器中的软件漏洞如何被利用来引发致命攻击，我们还目睹了美国和英国的整个医院在一段时间内关闭，以应对关键系统上的勒索软件感染。”

目前，组织只被要求报告个人健康信息暴露、患者安全受损或攻击可能导致组织财务重大事件的网络安全事件。现实情况是，由于对声誉的潜在损害，大多数事件都没有被报道。

赖斯说，那些缺乏资源来获取预防甚至检测攻击的工具和服务的小公司尤其容易受到攻击，这适用于医疗保健行业90%的公司。与此同时，数据变得越来越可移植，而软件越来越多地渗透到医疗保健生态系统中，为攻击者打开了潜在的大门。

“无论是私营企业还是政府都无法单独解决这个问题;我们必须协同合作，透明地减少这种风险，”他对议员们说，并指出卫生与公众服务部(HHS)应该任命一名医疗保健联络官，与私营部门建立更紧密的联系。

赖斯希望看到卫生与公众服务部部门协调委员会与NH-ISAC(一个由200多家公司组成的联盟，共享情报并致力于确保大数据的安全)以及其他公私伙伴关系(如制定了数字身份和数字签名标准的SAFE生物制药协会)之间进行更密切的合作。

联邦机构和大型医疗保健公司应该采用这一标准，以创建一个医疗保健“生态系统”，不仅有可能显著改善网络安全，还可以简化业务流程，并“合理化目前医疗保健领域碎片化、冗余的身份信任问题”。

赖斯说，其他措施可能包括招募即将离职的军事人员来填补美国大约20万个网络安全职位空缺。她的完整证词和建议清单可以在网上查看在这里．

他说:“如果我们在这些努力中失败，我们无法显著降低我们面临的网络安全风险，我们可能会推迟甚至失去利用有前途的新健康信息技术的机会，这种技术有可能拯救和改善世界各地的生命。”