医疗供应链风险与安全

关键要点

• 医疗行业面临着来自第三方供应商的安全风险，这些风险不仅影响数据安全，还直接威胁患者安全。
• 2020年发生的网络攻击如Colonial Pipeline和SolarWinds事件，严重影响了众多医疗机构的正常运作。
• 在供应链供应商中寻找潜在的安全隐患是确保持久安全的关键。
• 改善采购流程，并确保信息安全在采购决策中的重要性，能够降低供应链中潜在的风险。

医疗供应链的风险在各个行业中都有广泛的认识，部分原因是2020年Colonial Pipeline、SolarWinds和Accellion事件造成了巨大的
disruptions 。然而，在医疗行业，这些网络攻击造成的影响不仅仅是大规模的数据泄露和服务中断，第三方事件更是大大增加了患者安全风险。

根据统计，去年大多数医疗数据泄露事件都是由第三方供应商造成的，使近2500万患者的数据受到威胁。这些惊人的数字在考虑到受保护健康信息的敏感性时显得尤为重要。

在12月举行的HIMSS网络安全论坛上，Intermountain Healthcare的首席信息安全官ErikDecker强调，真正的问题在于网络攻击后第三方供应商对关键功能可能造成的影响。

例如，IntermountainHealthcare是一个集成交付网络，这就意味着需要同时考虑支付方和提供方，以及众多连接的第三方支持业务流程，比如影像实验室和药房。这些部门在提供服务的过程中扮演着至关重要的角色。

“如果这些第三方出现故障，它们可能会以急性或慢性方式影响医疗服务的提供，比如急救创伤或长期疾病管理，”Decker表示。

当提供者考虑其时，如果技术失效，像云中的电子病历这样的服务就会受到明显影响。然而，某些医疗设备或模式如果需要依赖“云中的计算”也将面临同样的问题。

如果云服务失效，该设备将无法正常工作，比如“与放射肿瘤治疗系统相连的线性加速器可能会失效，”Decker继续说道。与临床结果相关的含义是这些关键功能至关重要。

这个情景并非假设：造成了癌症患者的类似 disruption
。这家第三方供应商为癌症治疗提供放疗、放射手术和临床管理服务，而在那年的四月，攻击发生后，癌症治疗被至少 40 个卫生系统中断。

由于网络故障而取消放疗预约对患者的安全构成了严重风险。但没有网络接入这些关键功能，提供者别无选择。

同样的风险也存在于提供医院其他核心服务的供应商身上，包括洗衣服务、注射器和医疗设备。Decker感慨：“如果这些服务中断，你该做什么？这将如何影响医院？”

供应商是医疗服务交付的重要部分，绝大多数大型医疗系统都依赖于大量的供应链合作伙伴，以便无缝提供医疗服务。而这些供应商关系的风险，经过上述2020年的事件后，已得到广泛关注。

在医疗行业中，随着数字技术的发展，将医疗服务延伸到医院之外，带来了更多的接入端点，从而加剧了这些长期存在的问题。

因此，访问挑战显著增加，Decker所称的“交叉效应”或主要供应链供应商的聚合也随之产生。

一个供应商可能需要对网络进行后端访问，或者附属诊所可以直接访问您的环境。每个接入端点都是一个潜在的弱点，或是黑客获取访问权限的另一种方式。正如去年出现的[Kronos](https://www.scworld.com/feature/ransomware/fallout-
from-kronos-payroll-disruptions-spurred-by