加拿大的医院、诊所和其他医疗机构经常成为网络攻击的目标,导致医疗程序延迟、隐私泄露、财务损失和患者安全受损
在我们的2025年全球数字信任洞察调查中,超过一半(54%)的医疗保健受访者将网络列为其组织面临的最大风险。这表明,许多受访者认识到他们的组织在技术上很脆弱。但是,保护您的组织需要超越缓解措施。它还需要企业层面的网络弹性。对于资源紧张的医疗机构来说,这些投资可能具有挑战性。
对于个别医院或诊所来说,将资金分配给网络安全而不是雇佣额外的护士或投资于其他一线护理领域可能是一个艰难的决定。相反,为医疗保健部门制定区域或省级网络安全战略可以有效地集中资源,提高运营弹性。我们目前看到全国各地的势头朝着不同的方向发展。在某些情况下,各省正在采取共享服务的方法。这包括安大略省的区域安全运营中心试点项目,以及向地方交付小组的过渡,该小组促进资源共享和网络安全的集体方法。
4但全国各地的全省领导层仍有机会。通过合作,医疗机构可以加强防御,安全地将患者护理数字化,让医疗团队有效地协同工作,提高患者的治疗效果。这种方法还可以帮助医疗保健组织有效地投资资源,建立弹性,并保持领先于监管发展。我们经常看到医疗机构在技术、安全和隐私方面的支出出现大幅赤字。我们的调查发现,医疗保健组织的网络预算增长速度比其他行业慢:
71%的医疗保健组织告诉我们,他们的网络预算将在2025年增长,而所有行业的受访者中这一比例为77%。此外,17%的医疗机构表示,到2025年,他们的网络预算将保持不变,而全球平均水平为11%。医疗机构在哪里投资?近一半的组织领导者(48%)表示,他们优先考虑数据保护和数据信任。这表明这些组织明白,保护敏感信息对于维护公民信任和声誉完整性至关重要。
它还可以降低服务中断的风险,促进适当的数据共享,从而改善患者的预后。例如,患者可以同意其精神科医生访问其最近癌症诊断信息,但应确信未参与其治疗的医护人员无法访问其记录。与其他行业的受访者一样,医疗保健受访者告诉我们,他们也在增加对用于网络防御的生成人工智能(GenAI)的投资,特别是在威胁情报、检测和响应方面。GenAI可以帮助过滤大量数据,以确定关键威胁,并通过先进的威胁搜索活动加强网络防御。
这包括监控组织高级领导人的在线状态,以检测伪造的个人资料或泄露的凭据。通过整合对这些和其他网络优先事项的投资,组织可以实现成本效益,并比单独运营更成熟。组织对互联产品、云和第三方的日益依赖增加了他们的攻击面。访问控制、围栏和类似措施可以减轻这些威胁。但真正的网络准备需要组织缩小弹性差距,并制定从攻击中快速恢复的计划,以尽量减少中断。
做好适当准备的医疗机构可以更快地恢复正常运作,减少取消手术、延迟诊断和转移患者等中断。这些准备工作包括评估难以保护的遗留技术在多大程度上阻碍了组织的防御。好消息?超过四成(43%)的组织在其网络预算中优先考虑技术现代化,包括网络基础设施。这是一个通过退役传统技术来提高网络弹性的强大机会,这些技术通常存在已知的漏洞。但仍有机会走得更远。
通过联合起来,医疗保健组织可以更有效地缩小其弹性差距,并保持运营的连续性。我们的调查审查了涉及人员、流程和技术的12项韧性行动,发现46%或更少的医疗机构已经完全实施了其中任何一项行动。以下是医疗保健组织可以合作提高集体韧性的几个重要领域(数据显示了未在整个组织内实施韧性行动的医疗保健受访者的百分比):
为IT损失场景制定网络恢复剧本(68%)
实施网络恢复技术解决方案(64%)
通过正式流程与行业同行共享信息,以防止系统性风险(65%)
建立一个由业务连续性、网络、危机管理和风险管理等职能部门的成员组成的弹性团队(63%)
影响加拿大医疗机构的新网络和隐私规则即将出台。
安大略省的第194号法案以及联邦单位的C-26和C-27号法案将要求医疗保健组织加强其网络安全措施,更严格地保护患者数据,并确保遵守有关个人信息、患者健康数据和技术使用的新规定。目前,安大略省、新不伦瑞克省、纽芬兰省和拉布拉多省以及新斯科舍省的卫生法在卫生信息方面与联邦《个人信息保护和电子文件法》(PIPEDA)基本相似。
如果C-27法案因选举或其他原因未获通过,我们预计那些在等待新的联邦规则期间推迟更新的省份将引入隐私立法改革。医疗机构明白,法规可以成为保护敏感信息的有力工具。许多人还认为,监管可以带来积极的变化:76%的人表示,监管有助于挑战、改善或提高他们的网络安全状况。对网络控制的有效投资有助于促进健康研究和新诊断和治疗技术的实施。如果没有这些控制,一些组织可能会放弃这些举措,因为他们无法充分保护信息。
国家和省级战略可以通过促进对个人信息的一致和安全处理以及适当的披露、访问和同意,帮助个人卫生组织在数据共享和数据安全之间取得适当的平衡。