“良好的复杂性”可以使医院网络更加安全

Josiah02 · 发表于 2024-9-19 12:43:12

5 月份，一次重大网络攻击导致 Ascension 的临床运营陷入近一个月的停顿。Ascension 是一家在全美拥有 140 家医院的医疗保健提供商。调查人员追踪到问题出在感染了一名员工计算机的恶意勒索软件。
医疗保健系统因其拥有宝贵的个人、财务和健康数据而成为网络犯罪的诱人目标。2023 年对医疗信息技术和 IT 安全专业人士的一项调查报告称，88% 的组织在过去一年中平均遭受了 40 次攻击。
德克萨斯大学麦库姆斯分校信息、风险和运营管理副教授 Hüseyin Tanriverdi 表示，一个关键的弱点是其 IT 系统日益复杂。这是数十年来合并和收购的结果，形成了越来越大的多医院系统。
Tanriverdi 表示：“合并后，它们不一定会统一技术和护理流程。医疗系统最终会变得非常复杂，包含不同的 IT 系统、截然不同的护理流程和分散的治理结构。”
但他在新研究中发现，复杂性也可以为这些问题提供解决方案。他与香港城市大学的 Juhee Kwon 和路易斯维尔大学的 Ghiyoung Im 共同表示，“好的复杂性”可以改善不同系统、护理流程和治理结构之间的沟通，更好地保护它们免受网络事件的侵害。
该研究成果发表在《MIS Quarterly》杂志上。
复杂与复杂
该团队利用 2009 年至 2017 年 445 家多医院集团的数据，研究了“复杂性是安全的敌人”这一经常被重复的观点。
他们区分了两个听起来相似但却是问题的关键的 IT 概念。
复杂性是指系统中大量元素以结构化方式互连并共享信息。
当大量元素以非结构化的方式互连并共享信息时就会出现复杂性——例如合并和收购后的系统集成。
Tanriverdi 表示，由于复杂系统具有结构，因此预测和控制它们的行为虽然困难，但并非不可能。对于具有非结构化连接的复杂系统来说，这是不可能的。
Tanriverdi 发现，随着医疗保健系统变得越来越复杂，它们也变得越来越脆弱。最复杂的系统（从一家医院到另一家医院的医疗服务转诊种类最多）被入侵的可能性比平均水平高出 29%。
他说，问题在于，这样的系统为黑客提供了更多的数据传输点，也为人类用户犯安全错误提供了更多机会。
他发现其他形式的复杂性也存在类似的漏洞，其中包括：
许多不同类型的医疗服务处理健康数据。
将战略决策分散给成员医院，而不是由公司中心制定。
制定数据标准
研究人员还提出了一个解决方案：构建企业范围的数据治理平台，例如集中式数据仓库，以管理不同系统之间的数据共享。此类平台将把不同类型的数据类型转换为通用数据类型，结构化数据流并标准化安全配置。
他说：“他们会把一个复杂的系统变成一个复杂的系统。”通过简化系统，他们会进一步降低其复杂程度。
他测试了创建此类平台对网络安全的影响。结果发现，在最复杂的系统中，这些平台可将违规行为减少高达 47%。
Tanriverdi 表示，集中数据管理可以减少黑客入侵的渠道。“接入点减少，网络安全控制简化且强化，未经授权的各方不太可能未经授权访问患者数据。”
他还建议用更强有力的人为控制来补充技术控制：对用户进行网络安全实践培训，并更好地规范谁有权访问系统的各个部分。
Tanriverdi 承认他的方法存在一个悖论。投资新的技术层面可能一开始会引入更多的 IT 复杂性。但从长远来看，这是一种好的复杂性，可以驯服现有的、更危险的复杂性。
“从业者应该接受 IT 的复杂性，只要它能为以前临时的信息流提供结构，”他说。“如果技术得到良好的组织和管理，它就能降低网络安全风险。”

账号		自动登录	找回密码
密码			立即注册

“良好的复杂性”可以使医院网络更加安全

浏览过的版块