在訪談中，谷歌云CISO辦公室主任Taylor Lehmann討論了圍繞醫療保健提供者在數據泄露后必須承擔的道德和法律責任的關鍵主題，他探討了網絡威脅的嚴重影響，這些威脅遠遠超出了經濟損失，可能危及生命，侵蝕公眾對醫療體系的信任。

Lehmann還介紹了網絡攻擊的影響、云技術對醫療數據安全的變革性影響，以及加強對這些不斷變化的威脅的防御所需的措施。

你能討論一下如果發生數據泄露對醫療保健提供者的道德和法律影響嗎?

對敏感、有價值的數據和難以保護的遺留技術的保護歷來薄弱，這使得醫療保健成為攻擊者容易、有吸引力的目標。該行業網絡入侵的影響可能會對個人產生嚴重影響，這在很大程度上是因為他們收集和存儲的敏感個人和健康數據，以及在護理環境中使用的許多系統直接支持醫療程序的安全和維持生命的事實。

與其他行業相比，醫療保健提供商處于獨特的地位-他們有道德和法律義務保護患者數據和保護患者護理免受網絡威脅。醫療保健服務是極少數幾個在安全、彈性和生命安全之間存在直接聯系的行業之一。

在一個例子中，一家醫療系統在網絡攻擊后暫時改變了救護車的路線，并關閉了IT系統以恢復其網絡。在不同的情況下，威脅參與者可能竊取了密碼、醫療記錄、社會安全號碼或其他個人身份信息。

在法律方面，醫療保健提供商受到錯綜復雜的數據保護法律和法規網絡的約束，例如美國的HIPAA或歐盟的GDPR。不遵守這些規定可能會導致對組織的巨額刑事和民事罰款和處罰。違約受害者提起訴訟，要求賠償醫療身份盜竊、經濟損失、潛在生命損失和情感困擾，也可能產生重大的法律、財務和聲譽影響。

網絡攻擊對運營的影響正在影響患者的安全。你能舉一些例子說明這些攻擊是如何影響醫療服務的嗎?

針對醫療保健和生命科學機構的網絡攻擊可能直接影響患者的福祉。除了可能造成的經濟損失外，網絡攻擊還可能擾亂運營、損害聲譽，甚至威脅公眾健康。例如，對一家制藥公司的勒索軟件攻擊可能會推遲新藥的發布，這可能會對需要它的患者產生嚴重影響。

雖然尚未有確切的患者因網絡攻擊而死亡，但CISA發現，2020-2021年對醫院的成功勒索軟件攻擊降低了醫院照顧患者的能力。今年6月，圣瑪格麗特健康醫院永久關閉，這是伊利諾伊州斯普林谷農村社區唯一的一家醫院，部分原因是在2021年勒索軟件攻擊后，恢復醫院服務的成本難以承受。

坦白地講，這種趨勢對我們不利。雖然圣瑪格麗特健康中心是第一家將網絡攻擊作為永久停止運營的理由之一的醫療機構，但有跡象表明，這不太可能是最后一家。2022年，我們看到越來越多的人聲稱死于針對醫院的網絡攻擊。

這一點的影響是無法克服的，一家醫院關門可能會直接影響居民獲得重癥護理的能力。

威脅行為者知道我們的衛生系統是脆弱的，他們不在乎傷害他們治療的弱勢人群。為了結束醫療保健面臨的日益增長的生死存亡的威脅，它需要創造力、創新、伙伴關系和意愿來改變醫療保健領域IT安全和風險管理的現狀。

向云計算的過渡如何改變了醫療機構的網絡安全格局?

公有云可以在幫助醫療保健和生命科學組織變得更安全方面發揮重要作用。Forrester最近發現，隨著云提供商提高安全性，組織越來越多地投資于云技術。云中固有的更好的安全性，再加上監管動機和廣泛的社區努力，可以讓醫療保健提供商擴展其IT基礎設施，以快速滿足不斷增長的需求。

這就是說，云中一個管理不善的證書可能會對醫療保健組織的一天的生活產生重大影響。在可預見的未來，通過執行適當的云部署和維護來管理這一不斷增長的外圍應用領域將繼續是醫療保健組織面臨的挑戰，但這一挑戰至關重要，如果處理得當，長期而言將獲得強勁的投資回報。在上個季度，谷歌云的數據顯示，超過一半的云初始訪問攻擊來自所有行業的密碼較弱或沒有密碼的用戶。一旦攻擊者進入，他們就會部署勒索軟件，并越來越多地勒索數據以銷毀、出售或用作迫使回應或某種付款的籌碼。

醫療保健實體正在實施哪些措施來保護他們的云存儲數據?你認為哪些方面還有改進的空間?

醫療保健組織應繼續改進其身份和訪問管理(IAM)系統，以確保定義、設置和監控用戶憑據。這將為安全團隊提供可疑活動的早期預警，從而有助于降低憑證被盜的可能性。組織應使用多因素身份驗證(MFA)來確保被盜且未被其IAM協議檢測到的憑據不會導致入侵。

此外，通過要求用戶擁有手機等物理設備，而不僅僅是登錄憑據才能進入系統，密鑰越來越成為幫助降低憑據被盜可能性的強大工具。持續評估并將用戶和服務的訪問減少到最低限度，并提供對高度敏感資源的及時訪問，將有助于保持組織的安全運行。

醫療機構必須專注于安全衛生，包括云安全，并對其全體員工進行網絡威脅方面的教育。否則，這些組織可能會成為這些相對常見且可以預防的網絡攻擊的受害者。

鑒于相當大比例的醫療保健組織計劃很快采用云技術，他們應該考慮的首要網絡安全考慮因素是什么?

• 在你的環境和人員培訓中設置護欄，確保每個人都能養成良好的云衛生習慣，應該進行監測和執行。
• 應在整個組織范圍內使用有效和強大的認證工具，具體而言，應為關鍵資源建立MFA，以確保被盜的憑證不會導致適當和充分的認證。工作空間管理員還應為關鍵的云服務實施適當的會話到期，以幫助緩解“實時”數據訪問等威脅。
• 維護數據備份并測試業務連續性能力，以從勒索軟件、數據刪除和相關攻擊中成功恢復生產環境。使備份數據保持隔離。對于關鍵數據，請保留離線備份以實現額外的冗余。通過執行“白板”或實時業務連續性測試來定期測試系統的彈性，以確保基礎設施破壞或類似攻擊不會影響生產服務。
• 定期對云實例進行漏洞掃描，對關鍵的云托管Web應用進行滲透測試。及時修補本地服務、第三方軟件和Web應用程序中發現的任何漏洞。
• 將檢測和響應平臺擴展到更多正在提供關鍵服務的系統，然后攻擊者才能在成功入侵后采取行動。
• 利用機器學習和人工智能，更快、更自信地為自己的組織辯護。

當前的醫療網絡安全政策和法規是否足以應對網絡安全挑戰，或者是否需要新的框架?

我們看到了一個轉變，因為許多人已經意識到保護敏感信息的機密性不足以保護組織及其客戶的安全。雖然用意是好的，但醫療安全法律法規沒有跟上組織消費新技術和攻擊者發現影響它們的方法的速度。許多新的法律法規正在被提出，以解決醫療安全社區表達的一些擔憂，包括尋求增加共享的安全威脅情報的數量，推動采用零信任等新的安全模式，提高軟件和數據供應鏈的安全性等。

令人鼓舞的是，我們也看到監管關注的轉變，將安全列為這些努力的關鍵結果。例如，2023年的綜合撥款法案包括兩項與聯網醫療設備安全相關的重要條款，其中包括聯邦藥品管理局的一項新要求，即聯網醫療設備必須是網絡安全的，并在進入市場后保持這種狀態。如果做不到這一點，將允許FDA實施執法，并阻止這些設備進入市場。歐盟也有類似的規定。

此外，FDA在去年的計算機軟件保障模型草案中表示，一種基于風險的方法來管理醫療器械的質量、安全和安全即將到來。指導意見明確指出，在設計和實施這些系統時，除了安全和質量外，還必須考慮到安全性。

這些法規是在美國以及其他國家在國際上采取類似措施之際創建一個更安全、更有保障、更具彈性的醫療體系的一個強有力的起點——但這些監管努力必須與行業合作和信息共享相結合，以推動有效、持久的變革。