美国医疗机构网络安全现状

关键要点

• 大多数美国医疗组织在网络安全方面反应性强于主动防护。
• 根据NIST网络安全框架与健康行业网络安全实践的指导，尽管响应区域的覆盖率较高，但整体风险管理能力较低。
• 超过40%的受访者未与第三方供应商进行响应与恢复规划。
• 在医疗设备安全方面，仅有50%的医疗机构符合HICP指导方针。

美国各地的医疗机构在网络安全方面仍表现出反应性优于主动性的趋势。据报道，许多组织遵循国家标准与技术协会（NIST）的网络安全框架及健康行业网络安全实践指导。这导致他们在供应链风险管理、整体风险管理和资产管理方面的覆盖率较低。

根据KLAS、Censinet与美国医疗协会发布的《医疗网络安全基准研究》，超过40%的受访医疗机构并未与第三方供应商开展响应与恢复规划。这显然反映出在面对潜在威胁时的脆弱性。然而，研究显示，医疗提供者在"响应"领域的平均覆盖率是最高的，这说明他们在面对已知威胁时能采取行动。

此外，HICP指导方针下的医疗设备安全覆盖率仅稍高于50%。报告指出：“几乎所有受访组织在停用医疗设备时都会确保清除所有数据。但是，当这种配置得到制造商支持时，只有不到三分之二的组织能够配置医疗设备，确保仅允许已知的进程和可执行文件在设备上运行，而这些组织通常仅对部分设备进行此类配置。”

通过加强对网络安全的主动防护与风险管理能力，医疗机构可更有效地应对网络威胁，保护患者与机构的信息安全。