在现代化进程中，医疗技术的进步极大地改善了患者护理、数据管理和运营效率，但也带来了更多的风险。对于 MemorialCare 的 IT 副总裁兼首席信息安全官 Kevin Torres 来说，确保生物医学设备的安全以及用户的网络安全意识是持续的优先事项，以确保不中断服务。

根据统计门户网站 Statista 的数据显示，到 2030 年，全球医疗保健网络安全市场预计将达到 584 亿美元，因为医疗行业正面临越来越多的攻击。而根据 KnowBe4 发布的 2024 年国际医疗报告，2023 年前三个季度，全球医疗行业每周经历了 1613 次网络攻击，几乎是全球平均水平的四倍。

对 Kevin Torres 来说，努力在现代化患者护理的同时平衡 MemorialCare 所面临的重大网络安全风险是一项巨大挑战。MemorialCare 是一家位于南加州的综合非营利性医疗系统，拥有超过 14,000 名医生和员工使用联网设备，其网络中运行着超过 52,000 台联网设备和仪器。他指出，“我们工作在一个高风险环境中。如果我们遭遇网络攻击或勒索软件事件，这可能意味着我们无法接收新患者，因为我们无法保证我们能够为他们提供护理。”因此，他的主要担忧之一是确保企业在遭受攻击时的恢复能力，以及保持无缝的患者护理服务。

Torres 和他的团队特别关注的是保护其生物医学设备环境，包括保温箱、心脏起搏器、人工耳蜗植入物和除颤器。他提到：“当我们审查这些技术时，我们很快意识到我们无法清晰地了解所有联网设备的情况。我们不知道哪些设备是联网的，也不知道是否所有设备都已正确打上补丁。我们在这些生物医学设备上的严格性和勤奋度远不及我们对连接到网络的计算机的要求。因此，我们的防御中存在着非常真实的漏洞。”

一、环境的整体视图

为弥补这一漏洞，Torres 引入了风险管理平台 Asimily，该平台能够提供更高的物联网设备可见性，使得识别医疗设备和仪器上可被利用的漏洞变得更加容易。

Asimily 提供了对 MemorialCare 生态系统中所有联网设备的可见性——无论是温控系统、生物医学设备、电梯，还是电力系统——并根据硬件是否拥有最新的防护措施来分层风险。他提到：“我们立即发现，许多连接的设备并不符合标准。”对于不合规的设备，他和他的团队投入了时间来确保它们的安全达到标准。他们还对一些较旧的解决方案进行了改造，以确保这些设备不会给企业带来更大的风险。最后，他建立了一个团队，制定了新技术的补丁流程，确保定期进行安全更新。

根据 Torres 的说法，该策略取得了成功。MemorialCare 现在对其整个物联网生态系统拥有整体的可见性，能够记录他们的覆盖率为 98%，相比同行的平均水平 56% 要高得多。该企业的 NIST 合规率为 98%，也远高于行业平均水平。但他承认，如果他们不优先考虑人员层面的安全，所有的防御措施都是徒劳的。“今天，网络安全需要从两个角度来看，”他补充道，“技术上的预防和检测，以及文化和人员层面。”

二、人的因素

这一现代化项目的最大风险之一是用户。“我们的护士、临床医生和医生会查看电子邮件、点击链接，最终被攻击，”Torres 说。他指出，社会工程和网络钓鱼活动对组织构成了特别大的威胁。黑客甚至每周多次打电话到业务的服务台，试图欺骗工作人员重置用户密码，以便入侵系统。由于他们知道外部用户重置密码需要遵循的所有流程，Torres 及其团队意识到，光依靠人来阻止黑客并不可靠，因为人总是有被欺骗的风险。

为进一步保护企业免受此类威胁，MemorialCare 实施了零信任网络访问（ZTNA），并在双因素认证的基础上增加了一层额外的保护，以确保能够安全地远程访问其所有应用程序、数据和服务。此外，该非营利组织还优先考虑了通过定期培训和教育活动来提高网络安全意识。Torres 表示，他们对为何如此重要进行了透明的说明，并描述了如果系统受到攻击，可能产生的影响。他补充道：“我们与人力资源部门合作，组织了意识提升活动，甚至向用户发送虚假钓鱼邮件。如果有人上当，我们会进一步进行教育和说明。”

然而，Torres 强调，网络安全并不是一个技术问题可以单独解决的。“这不是 IT 部门的责任，也不是技术人员必须单独负责的事情，”他说。“网络安全是全球每个组织都面临的企业风险。”这意味着每个人都有责任认真对待网络安全。

“我们可以制定协议，部署工具来防止数据泄露，但这还不够，”他补充道。“关键在于培养一种安全意识文化，让您的员工理解风险，并意识到威胁行为者会使用哪些策略来欺骗他们犯错。这很重要，因为如果我们不保护我们的系统，我们就无法保护我们的患者免受由于攻击带来的服务中断。”