醫(yī)療行業(yè)Web應用層安全風險

醫(yī)療行業(yè)由很多部門組成：保險公司等付款方、醫(yī)院和醫(yī)生等提供商、制藥以及醫(yī)療設備和器械制造商。并要處理各種各樣的生命質量問題，訪問實時數(shù)據(jù)，尤其是患者記錄等敏感數(shù)據(jù)，因此需要內部、Web、移動或云應用的安全性和可用性。

為了了解首席安全高管們如何在管理過程和人員的同時克服這些技術挑戰(zhàn)，Radware對來自六大洲的600多名首席信息安全官（CISO）及其他安全領袖進行了調查，下文為數(shù)字連接領域的Web安全的主要發(fā)現(xiàn)。

數(shù)字化病人

數(shù)字轉型導致醫(yī)療行業(yè)生成了海量的視頻和圖像。除了數(shù)據(jù)爆炸之外，醫(yī)療行業(yè)還必須遵守一系列由政府和行業(yè)主導的法規(guī)和標準，這些法規(guī)和標準可以控制敏感的個人信息和臨床信息的采集、使用、共享和傳輸。由于醫(yī)療設備的生命周期長，很多設備連接的依然是老舊的未打過補丁的系統(tǒng)，至今某些設備仍然運行在Windows XP上。

通常，由于害怕數(shù)據(jù)丟失，IT管理員一般不會主動為系統(tǒng)打補丁，因此設備制造商就成為了醫(yī)療行業(yè)中的薄弱環(huán)節(jié)。僅僅2017年一年，數(shù)據(jù)泄露、勒索軟件以及易受攻擊的網(wǎng)站、未加密移動應用和網(wǎng)絡釣魚等安全漏洞就曝光了數(shù)千萬的患者和醫(yī)療記錄。這就意味著，醫(yī)療行業(yè)必須進行技術、工具和解決方案投資，用以保護應用環(huán)境。然而，接受醫(yī)療部門調查的近200名安全高管發(fā)現(xiàn)，在緩解風險方面，醫(yī)療行業(yè)明顯落后于零售和金融服務等其他行業(yè)，只有27%的受訪者明確表示可以保護患者的醫(yī)療記錄。

信心和緩解風險

調查顯示，近三分之二的受訪者不確信他們能否在不影響運維的前提下快速采用安全補丁和更新，而70%的受訪者則表示，在過去兩年間，他們只能完全追蹤到不到50%的數(shù)據(jù)丟失事件并進行修復。

在發(fā)生重大行業(yè)數(shù)據(jù)泄露或攻擊后，68%的受訪者都會在安全控制方面進行一定程度或重大投資，21%的受訪者采用了API網(wǎng)關，23%的企業(yè)采用了WAF，只有29%的企業(yè)部署了這兩種。只有25%的受訪者可以完全意識到軟件開發(fā)環(huán)境中的內部應用和API的改變。在數(shù)據(jù)離開公司網(wǎng)絡之后，61%的企業(yè)無法追蹤與第三方共享的數(shù)據(jù)，57%的企業(yè)不會檢查通過API傳輸/返回的數(shù)據(jù)。

除了應對多年以來影響醫(yī)療行業(yè)的現(xiàn)有威脅和漏洞之外，許多受訪者都認為，新興技術的威脅越來越大。與其他行業(yè)一樣，從生成流量的角度來看，計算機機器人程序在醫(yī)療行業(yè)中越來越占據(jù)主導地位，36%的網(wǎng)絡流量都來自于計算機機器人程序。然而，只有20%的受訪者能夠確定這36%的流量來自于良性計算機機器人程序還是不良機器人程序。同時，由于醫(yī)療行業(yè)中存在更多的加密流量，因此針對應用層的加密（SSL/TLS）威脅和攻擊也非常令人擔憂。endprint