根据安全研究公司CORL Technologies美国针对医疗健康领域供应商进行安全评分的Vendor Intelligence Report报告,大部分医疗健康供应商的缺乏基本的安全。 超过58%的提供商在安全文化这一项上仅仅得到了“D”。 此外, 该报告也揭示了医疗机构也没有严格要求供应商达到相应的安全标准。
医院的数据能够被几百上千个供应商访问, 这样也就带来了很多安全的问题。 而如果供应商无法达到最低的安全要求的话, 这些供应商就可能成为这些敏感医疗数据的后门。
根据普华永道的报告, 由于合作伙伴或者供应商带来的安全事故从2010年的20%上升到2012年的28%。 而在今年6月份普华永道的另一份名为“美国网络犯罪调查”的报告中指出, 商业伙伴的安全往往被企业所忽视, 仅有44%的企业在与商业伙伴的合作前有专门地评估流程。 仅有31%的企业会在外部供应商的合同中加入安全方面的条款。
CORL的研究团队研究100个为医疗机构的供应商, 分析了这些企业的人员, 业务流程, 以及技术。 CORL的研究主要发现了4个方面的问题:
-
大部分医疗机构的供应商缺乏最低限度的安全措施来保护数据
58%的供应商这一项的得分是”D”. 甚至还有8%的企业的得分是F”。 这意味着他们缺乏基本的安全文化。 仅有4%的供应商得分为“A”而且,医疗机构对供应商的安全资质提出必要的要求。 仅有32%的供应商具有相应的安全资质。 这样的安全资质包括edRAMP, HITRUST, ISO 27001, SSAE-16。
-
医疗机构并没有意识到供应商都能够访问数据
医疗机构的数据能够被成百上千的供应商访问, 这些供应商包括提供业务支持, 咨询, 保险处理, 电子医疗档案,技术和药品技术培训, 以及网络和安全软件等等。
-
医疗机构需要管理大量小型供应商
对于一家医疗机构来说, 超过50%的供应商是雇员少于1000人的中小型企业。 而根据赛门铁克的报告, 30%左右的钓鱼食攻击是针对中小企业的。 对于医疗机构来说, 中小企业的安全风险更高
-
医疗机构现有的流程存在无法缓解供应商安全风险的缺陷
医疗机构对供应商的审查主要集中在大型供应商上, 而中小型供应商往往是网络攻击的首要目标。 而事实上, 大部分的医疗机构根本没有网络安全风险管理的项目。 高层对安全风险以及相应的解决措施也并不清楚。
