2019年,美国医疗数据泄露耗资达到40亿美元
根据最新的研究,有96%的IT专业人员同意黑客及数据攻击者的速度超过医疗企业的防御措施,使供应商在应对漏洞方面处于劣势。
lack Book Market Research LLC对来自733个供应商组织的2876名安全专业人员进行了调查,以找出差距,漏洞和缺陷,这些缺陷持续使医院和医生陷入数据泄露和网络攻击的困境。
在2018年第四季度至2019年第三季度的投票期内,由415家提供数据安全服务,核心产品和解决方案,软件,咨询和外包的供应商组成的零散组合收到了包括大型IT公司,中小型安全供应商和初创企业在内的用户反馈。
在2019年迄今为止,传统的医疗保健供应商仍然是针对行业网络安全漏洞的最有针对性的组织,近五分之四的违规行为,而对健康保险公司和计划的成功攻击保持了更复杂的信息安全解决方案,且每年变化不大。根据受访者的说法,所有供应商违规的一半以上(53%)是由外部黑客造成的。
自2016年第三季度以来,超过93%的医疗保健组织经历了数据泄露,而57%的医疗保健组织在同一时间段内经历了超过五次数据泄露。不仅攻击次数增加了,自2015年以来,已有超过3亿条记录被盗,影响到10%的医疗保健消费者。
根据接受调查的医院代表的90%表示,IT安全预算自2016年以来一直保持增加水平。作为IT卫生系统和医院组织预算的百分比,网络安全已增加到2020 CY年度IT总支出的6%,但是,医生各组织和团体报告称,实际分配的网络安全支出有所减少,不到2020年专用于网络安全的IT预算的1%。
1/3的医院高管在2016年至2018年之间购买了网络安全解决方案,他们表示他们盲目地这样做了,没有太多的眼光及前瞻性。自2016年以来,有92%的数据安全产品或服务决策是直接决策做出来的,未能将任何用户或受影响的部门经理纳入网络安全购买决策中。只有4%的组织有一个指导委员会来评估网络安全投资的影响。
去年的《黑皮书》网络安全调查显示,有84%的医院在没有专职安全主管的情况下运营。作为未能成功招聘合格的医疗保健首席信息安全官的解决方案,有21%的组织选择将安全外包给合作伙伴和顾问或选择安全即服务选项作为权宜之计。
其他发现包括:
1.在接受调查的医院中,有21%的报告称有专门的安全主管,尽管只有6%的人将该人确定为首席信息安全官或CISO。在实践中只有1.5%的具有十名以上临床医生的医师小组报告有专门的CISO。
2.受访医院组织在2019年实际发生数据泄露的估计成本平均为每条记录423美元。
3.在2019年第三季度的另一项调查中,过去18个月中有组织违规的58位卫生系统营销负责人报告称,未预算的营销费用支出在5.1万美元至10万美元之间,以应对因数据泄露和盗窃给医院品牌带来的负面印象。尽管如此,没有接受调查的营销主管报告称分配了2020预算资金来应对患者隐私或记录泄露的后果。
4.医疗网络安全专业人员的短缺比去年增加了40%。
5.医疗保健组织中非CISO高管的能力也没有改善:70%的IT管理受访者表示他们的运营不了解现有的各种网络安全解决方案集,特别是移动安全环境,入侵检测,攻击预防,取证和测试。去年,有57%的受访者表示对网络安全产品和服务前景了解不足。
6.58%的医院没有在网络安全事件发生之前选择其当前的安全供应商。自上次违规以来,有94%的企业没有增强其网络安全保护:35%的医疗机构未在攻击前进行漏洞扫描。
7.20%的医疗保健组织表示,当供应商发现漏洞或安全漏洞时,他们会感到害怕供应商保留服务。
8.41%的医疗保健企业尚未在战略和战术计划中正式确定具体的安全目标和要求,而2018年为60%
9.尽管医疗保健行业中数据泄露的案例激增,但仍有87%的医疗保健组织没有通过事件响应流程进行网络安全演习,截至2019年第三季度,有84%的医院和65%的薪酬体系没有考虑全职的网络安全员工。
10.27%的医院(高于2018年的12%)认为,2020年第三季度对其网络安全的评估将有所改善。 29%的医院领导者认为他们的网络安全状况将会恶化,并且79%的医生组预见到网络攻击的增加,而其他行业中这一比例为4%。
11.接受调查的提供商中有40%仍未对其网络安全状态进行可衡量的评估。在这样做的公司中,有19%使用客观的第三方服务来衡量其网络安全状态,有7%的使用客观的软件解决方案来衡量其网络安全状态,而73%的使用自己的标准进行了自我评估。
12.目前,有26%的医院受访者和93%的医师组织表示他们没有足够的解决方案来立即检测和响应组织攻击。
13.60%的受访CIO在承诺签署其当前的网络安全解决方案或服务合同之前未评估总拥有成本(TCO)。 91%的受访者表示他们购买了符合法规要求的网络安全解决方案,但不一定会降低IT决策时的风险。
如上的一切,区块链可以做什么?
让我们看看美国的区块链科技公司Duality Blockchain Solutions(DBS),Duality可以解决如上的这些问题。
隐私、所有权、数据交换和数据质量的改进是当今组织面临的主要问题。这些问题促使组织始终如一地监视他们的数据是如何存储、共享和管理的,了解区块链网络的自然匹配性和安全数据管理,Duality 团队通过在 Dynamic(DYN) 的区块链技术和我们创新的新协议区块链目录访问协议 (BDAP) 上构建应用程序,为这些长期存在的挑战提供了独特的解决方案。
于侧重于医疗、教育、法律和业务服务等领域,Duality 通过为企业带来安全和隐私,在其他数据管理系统中脱颖而出。尽管底层的区块链技术可能很复杂,但是用户体验仍然很熟悉。
DBS软件解决方案使用Dynamic的公共区块链来运行,它提供了一个去中心化的底层基础设施,可以在其上运行类似云的服务,包括安全存储、共享和处理。用户和第三方可以自由地使用开放API 构建进一步分散的应用程序,还可以选择在自己的私有安全区运行称为侧链的服务 ,这就限制了只能访问选定的客户、合作伙伴或员工。软件套件已准备好解决下列关键数据和身份管理问题。
NoID:
Duality 的旗舰产品 NoID,实时连接和验证生物特征数据,确保成本效益和准确的识别手段。医疗组织内部的研究已经证明,典型的全球患者标识符 (GPI) 是脆弱的,如果受到攻击,可以授予对受保护的健康信息 (PHI) 的访问权。
2016年,NoID赢得了美国概念闪电战 (Concept Blitz) 的冠军,并在 2017 年获得了美国患者识别挑战赛 (CHIME National Patient ID Challenge) 的创新奖.
pShare:
Duality提供了一个基于非云的解决方案,具有无与伦比的安全性、高速度和低成本,使pShare成为个人和组织寻找真正私有的点对点文件和文件夹共享应用程序的首选。使用 pShare,与朋友、家人和业务伙伴私下安全地共享数据很容易。pShare已经发布1.0S版本。
pConsult:
pConsult将被开发用于促进对等的专业服务,包括私人实时视频和音频、安全消息传递以及参与者之间的文档交换。为了保护最终用户的隐私,pConsul使用人口统计学和生物统计学技术来登记参与者并对用户会话进行身份验证。下面定义的VGP 用于提供实时加密通信通道。
pSign:
pSign将是一个优秀的数字文档签名和工作流管理应用程序。它将与模板、库绑定在一起,并支持完全自动化。与现有工作流程相关的成本将呈指数级下降或完全消除。
Duality还部署了一个独特的基础设施,允许开发敏捷和灵活的应用程序,包括:区块链目录访问协议
(BDAP): 我们创建 BDAP 是为了以最少的资源和成本提供安全的可编程访问控制。BDAP
使用分布式数据库、帐户链接和使用互联网标准的资源命名,添加了一层类似于轻量级目录访问协议 (LDAP) 的资源层次结构。使用
BDAP,可以跨行业创建应用程序,从而消除了对服务器、管理员和第三方的需求。
Duality即将推出的应用程序接口 (API) 和软件开发工具包 (SDK) 将允许开发人员访问 BDAP 对象、分布式哈希表 (DHT) 存储、隔离应用程序,并通过使用侧链来托管去中心化的应用程序来提高性能。
Dynamic的区块链有一个由激励节点组成的二级网络,称为 Dynodes。Dynodes 通过将计算能力贡献给 BDAP 和 DHT,在Dynamic 的实用代币 DYN 中获得奖励。
VGP: Very Good Privacy (VGP)
是一个由 Duality 创建的端到端组密码系统库,它提供了一个超出当前 Pretty Good Privacy (PGP) 加密的加密层。VGP 采用公钥密码学、对称加密、Diffie-Hellman 密钥交换和哈希值等方法进行公钥指纹识别。
Fluid Protocol: Fluid Protocol
是 Duality 的一种机制,可以修改网络的运行参数,而不需要用户升级软件。