醫(yī)療行業(yè)Web應(yīng)用層安全風(fēng)險(xiǎn)

醫(yī)療行業(yè)由很多部門組成：保險(xiǎn)公司等付款方、醫(yī)院和醫(yī)生等提供商、制藥以及醫(yī)療設(shè)備和器械制造商。并要處理各種各樣的生命質(zhì)量問題，訪問實(shí)時(shí)數(shù)據(jù)，尤其是患者記錄等敏感數(shù)據(jù)，因此需要內(nèi)部、Web、移動(dòng)或云應(yīng)用的安全性和可用性。

為了了解首席安全高管們?nèi)绾卧诠芾磉^程和人員的同時(shí)克服這些技術(shù)挑戰(zhàn)，Radware對(duì)來自六大洲的600多名首席信息安全官（CISO）及其他安全領(lǐng)袖進(jìn)行了調(diào)查，下文為數(shù)字連接領(lǐng)域的Web安全的主要發(fā)現(xiàn)。

數(shù)字化病人

數(shù)字轉(zhuǎn)型導(dǎo)致醫(yī)療行業(yè)生成了海量的視頻和圖像。除了數(shù)據(jù)爆炸之外，醫(yī)療行業(yè)還必須遵守一系列由政府和行業(yè)主導(dǎo)的法規(guī)和標(biāo)準(zhǔn)，這些法規(guī)和標(biāo)準(zhǔn)可以控制敏感的個(gè)人信息和臨床信息的采集、使用、共享和傳輸。由于醫(yī)療設(shè)備的生命周期長(zhǎng)，很多設(shè)備連接的依然是老舊的未打過補(bǔ)丁的系統(tǒng)，至今某些設(shè)備仍然運(yùn)行在Windows XP上。

通常，由于害怕數(shù)據(jù)丟失，IT管理員一般不會(huì)主動(dòng)為系統(tǒng)打補(bǔ)丁，因此設(shè)備制造商就成為了醫(yī)療行業(yè)中的薄弱環(huán)節(jié)。僅僅2017年一年，數(shù)據(jù)泄露、勒索軟件以及易受攻擊的網(wǎng)站、未加密移動(dòng)應(yīng)用和網(wǎng)絡(luò)釣魚等安全漏洞就曝光了數(shù)千萬的患者和醫(yī)療記錄。這就意味著，醫(yī)療行業(yè)必須進(jìn)行技術(shù)、工具和解決方案投資，用以保護(hù)應(yīng)用環(huán)境。然而，接受醫(yī)療部門調(diào)查的近200名安全高管發(fā)現(xiàn)，在緩解風(fēng)險(xiǎn)方面，醫(yī)療行業(yè)明顯落后于零售和金融服務(wù)等其他行業(yè)，只有27%的受訪者明確表示可以保護(hù)患者的醫(yī)療記錄。……