“良好的复杂性”可以使医院网络更加安全
5 月份,一次重大网络攻击导致 Ascension 的临床运营陷入近一个月的停顿。Ascension 是一家在全美拥有 140 家医院的医疗保健提供商。调查人员追踪到问题出在感染了一名员工计算机的恶意勒索软件。医疗保健系统因其拥有宝贵的个人、财务和健康数据而成为网络犯罪的诱人目标。2023 年对医疗信息技术和 IT 安全专业人士的一项调查报告称,88% 的组织在过去一年中平均遭受了 40 次攻击。
德克萨斯大学麦库姆斯分校信息、风险和运营管理副教授 Hüseyin Tanriverdi 表示,一个关键的弱点是其 IT 系统日益复杂。这是数十年来合并和收购的结果,形成了越来越大的多医院系统。
Tanriverdi 表示:“合并后,它们不一定会统一技术和护理流程。医疗系统最终会变得非常复杂,包含不同的 IT 系统、截然不同的护理流程和分散的治理结构。”
但他在新研究中发现,复杂性也可以为这些问题提供解决方案。他与香港城市大学的 Juhee Kwon 和路易斯维尔大学的 Ghiyoung Im 共同表示,“好的复杂性”可以改善不同系统、护理流程和治理结构之间的沟通,更好地保护它们免受网络事件的侵害。
该研究成果发表在《MIS Quarterly》杂志上。
复杂与复杂
该团队利用 2009 年至 2017 年 445 家多医院集团的数据,研究了“复杂性是安全的敌人”这一经常被重复的观点。
他们区分了两个听起来相似但却是问题的关键的 IT 概念。
复杂性是指系统中大量元素以结构化方式互连并共享信息。
当大量元素以非结构化的方式互连并共享信息时就会出现复杂性——例如合并和收购后的系统集成。
Tanriverdi 表示,由于复杂系统具有结构,因此预测和控制它们的行为虽然困难,但并非不可能。对于具有非结构化连接的复杂系统来说,这是不可能的。
Tanriverdi 发现,随着医疗保健系统变得越来越复杂,它们也变得越来越脆弱。最复杂的系统(从一家医院到另一家医院的医疗服务转诊种类最多)被入侵的可能性比平均水平高出 29%。
他说,问题在于,这样的系统为黑客提供了更多的数据传输点,也为人类用户犯安全错误提供了更多机会。
他发现其他形式的复杂性也存在类似的漏洞,其中包括:
许多不同类型的医疗服务处理健康数据。
将战略决策分散给成员医院,而不是由公司中心制定。
制定数据标准
研究人员还提出了一个解决方案:构建企业范围的数据治理平台,例如集中式数据仓库,以管理不同系统之间的数据共享。此类平台将把不同类型的数据类型转换为通用数据类型,结构化数据流并标准化安全配置。
他说:“他们会把一个复杂的系统变成一个复杂的系统。”通过简化系统,他们会进一步降低其复杂程度。
他测试了创建此类平台对网络安全的影响。结果发现,在最复杂的系统中,这些平台可将违规行为减少高达 47%。
Tanriverdi 表示,集中数据管理可以减少黑客入侵的渠道。“接入点减少,网络安全控制简化且强化,未经授权的各方不太可能未经授权访问患者数据。”
他还建议用更强有力的人为控制来补充技术控制:对用户进行网络安全实践培训,并更好地规范谁有权访问系统的各个部分。
Tanriverdi 承认他的方法存在一个悖论。投资新的技术层面可能一开始会引入更多的 IT 复杂性。但从长远来看,这是一种好的复杂性,可以驯服现有的、更危险的复杂性。
“从业者应该接受 IT 的复杂性,只要它能为以前临时的信息流提供结构,”他说。“如果技术得到良好的组织和管理,它就能降低网络安全风险。”
页:
[1]