1、显微镜下的 医疗保健行业针对应用程序和 API 的猛烈攻击互联网现状/安全性第 10 卷，第 6 期 目录2 Untangle Health 嘉宾专栏：从漏洞到监测能力，揭示医疗保健行业的网络安全状况3 简介5 关键见解6 医疗支付方面临 API 滥用的高风险9 针对生命科学企业的 DDoS 攻击的数量日益增加13 医疗保健服务提供商受到围攻16 合规考虑因素18 积极行动：抵御措施建议 20 方法21 致谢名单从漏洞到监测能力，揭示医疗保健行业的网络安全状况医疗保健行业的安全现状可以归结为一个词：“漏洞百出”。为了应对此状况，“监测能力”成为 2024 年医疗保健行业关注的重要主题。日益增加

2、的平台、第三方软件以及大规模的数据交换需求都在促使企业提升监测能力，然而，医疗保健企业的技术现代化速度如此之快，以致于很多企业难以真正地全面监测自己的生态系统。一些合规措施让情况变得更加复杂，它们一方面要求企业共享更多信息，一方面又要求施加更严格的控制。虽然从逻辑上讲，这是为了消除数据护城河及网络垄断而采取的必然之举，但它增加了技术复杂性因素。除了个别顶尖企业外，业内大多数企业当前的安全防护能力可能都不足以应对这些因素。这使得攻击者蠢蠢欲动。随着医疗保健行业的各个领域都在开放系统来交换社会中最敏感的信息，我们正在将新系统和新标准与数十年的传统基础架构混搭在一起。因此，这些传统基础架构不仅本身可

3、能会产生的大量技术债务，还为恶意攻击者提供了一个发动攻击的“温床”。因此，医疗保健企业遭受一轮又一轮的网络安全攻击是意料之中的结果。特别是在美国，多年以来，很多医疗保健企业一直将网络安全视为招标和供应商评估过程中走过场的内容。企业通常只是要求供应商符合 HITRUST 和 HIPAA 标准以及通过 SOC 2 认证，然后借助业务合作伙伴协议将风险转嫁给这些供应商，而不会在内部培养专业人才。虽然这是一个不错的开端，但是我们仍然看到接连不断的头条新闻，大肆宣扬医疗保健行业的重大财务问题、运营故障，甚至更糟糕的内容对患者安全的威胁。我们下面的说法可能会惹恼一些人，但是，当排名前 1,000 的医院和

4、医疗系统中有四分之一到二分之一的机构使用同一份基于电子表格的“安全检查清单”来审批和考核供应商时，这个行业确实出现问题了。值得关注的是，医疗支付方面临的暴露风险比以往任何时候都要高，并且合规措施要求他们脱离以往的本地、批处理系统，以符合现代生态系统基于 API 的数据要求。虽然这种现代化让医疗支付方能够访问多年以来他们一直梦寐以求的临床数据，但开放式交换是一种新的业务开展方式，会带来新型风险。由于掌握着财务数据和临床数据，医疗支付方必须保护自己的基础架构，并在遵守每项新的合规要求时，审慎地提升安全态势。结论：这些市场变革还会持续下去。医疗保健行业无法退回到不需要 API 和云计算的时代。虽然对

5、变革带来的安全问题表示担忧是难免的，不过，对于一个历来受到数据孤岛问题困扰的行业来说，能够重视开放式数据交换就是巨大的进步。Untangle Health 副总裁 Neil Jennings Untangle Health 首席执行官 Chris Notaro Untangle Health 嘉宾专栏22024 年|显微镜下的医疗保健行业：针对应用程序和 API 的猛烈攻击|第 10 卷，第 6 期简介医疗保健行业在网络安全方面存在一些独特的挑战。其中的利害关系可能关乎生死。这个行业所持有的信息在价值上高于其他所有行业。基础架构既包含传统系统，也包含医疗物联网(IoMT)设备。这些系统盘根错节

6、，并且常常相互依存。合规性要求极为苛刻。在本期的互联网现状(SOTI)报告中，我们将分析与医疗保健生态系统所面临风险相关的威胁数据和趋势。对此行业影响最大的两种威胁分别是 Web 应用程序和 API 攻击以及分布式拒绝服务(DDoS)攻击。此外，医疗保健生态系统中的企业（医疗支付方、医疗服务提供商以及制药和生命科学公司）还分别面临不同的挑战，在制定安全策略时需要考虑到这些挑战。保险公司或医疗支付方可以广泛获取临床数据和财务数据来确定是否符合理赔条件、承保范围以及进行付款，同时也是整个行业中数据共享的重要 枢纽。制药和生命科学企业发现，攻击者开始瞄准企业采用的创新技术，包括使用人工智能和机器学习