- 2019-07-17 11:03
- 作者:佚名
- 来源:HC3i中国数字医疗网
美国Ponemon研究院的一项调查显示:超过一半的医院表示,他们在过去两年中曾发生过一次或多次由第三方供应商造成的数据泄露,平均每起事件的成本为290万美元。即便如此,仍有太多医院未能对由第三方造成的数据泄露进行充分的风险评估。
第三方供应商,给医院带来更多安全隐患
没有一家医院是完全独立实现数字化医院建设的。
从临床软件到数据存储,有众多的供应商为医疗IT系统的必要组件提供服务。连接到互联网的每一个设备或软件,都会增加医院遭受攻击和破坏的可能性。
Ponemon研究院的一项研究表明,卫生系统管理第三方供应商风险的方法在这个网络安全环境中远远不够。同时医院也看到,HHS和OCR正在加强对安全的调查和处罚力度。
安全风控能力不足,医院要为第三方供应商“买单”
根据Ponemon报告,医疗保健、卫生系统平均有3.2名全职安全员,每月工作500小时以上,负责供应商风险评估。
但报告显示,鉴于普通医院与1300多家不同供应商有关系,这样的人力配置还不足以支撑安全调查的任务。大多数医院每年并不会审查每个医院的安全措施。事实上,只有不超过四分之一的受访者表示,他们为所有供应商合作伙伴进行供应商评估。
Ponemon研究人员表示,尽管每年在供应商管理、医疗保健组织等领域投入近240亿美元,但“控件和程序往往只是部分部署或根本不部署”,这会削弱他们监管第三方带来的风险的能力。
这让医疗卫生机构付出了代价:56%的受访者表示,他们的组织在过去两年中经历过一次或多次与供应商相关的数据泄露,平均成本为290万美元。
自动化工具和任务,例如供应商评估问卷和更新风险文件,有助于管理新供应商的涌入。但报告显示,尽管78名受访者认识到能够持续管理第三方风险变化的重要性,但是大多数医院系统在这一领域也处于滞后状态。
研究人员说:“对手工流程的依赖使得企业很难评估所有供应商,也很难了解他们面临的供应商风险类型。”
此外,近60%的受访者表示,医疗卫生机构的管理层愿意在风险评估过程中走捷径,“如果有必要,可以为重要的经济伙伴提供安全保护”。
更多依赖,更多安全隐患
当一家医院不能充分管理其供应商时,他们的网络就会面临相当大的风险。医疗保健系统需要在产品的有用性与它可能带来的风险之间取得平衡,并且比其他行业更加谨慎:更大的隐私和安全限制意味着与供应商共享数据,或在云中托管信息,这些都需要更严格的审查和监督。
好消息是,医院有很多方法可以在内部管理其安全防止外部安全威胁入侵,外部供应商也是如此认为。
“很明显,医疗保健提供者处境艰难,” Ponemon研究所主席兼创始人Dr. Larry Ponemon,说。他们所依赖的供应商数量在不断增加,同时这些供应商所带来的威胁在频率和严重程度上也在不断升级,因此很容易看出如何管理这些风险已成为一个压倒性的问题。”
标题:Hospitals are paying for not vetting their vendors
作者:Benjamin Harris