在医疗行业,数据泄露很常见,而且代价高昂。根据 IBM 的《2023 年数据泄露成本报告》,属于医疗范畴的两个垂直行业——医疗保健和制药——位居数据泄露平均成本最高的列表之首。
医疗行业位居损失最惨重的数据泄露的首位可能并不令人意外。凭借其敏感且有价值的数据资产,它是最受攻击的行业之一。制药行业位居第三可能更令人惊讶。
数据安全风险高
针对制药行业的攻击不像医疗保健、金融或零售行业那样广为人知。然而,制药与医疗保健有很多相似之处。除了患者信息外,制药公司的网络基础设施还托管公司专有数据,例如药物专利的知识产权、临床试验结果、制造物联网和 OT 设备以及有关研究主题的信息。针对该行业的攻击可能会扰乱重要的研究或清除门诊处方记录。
尽管数据泄露没有什么好处,但有迹象表明制药行业在网络安全方面正在采取正确的措施。制药违规造成的损失从 2022 财年的 501 万美元下降到 2023 财年的 482 万美元。检测(189 天)和遏制(66 天)所需的时间比全球平均 204 天要快。识别并遏制 73 天。
制药数据泄露最常见的根本原因是恶意攻击 (45%)、人为错误 (28%) 和 IT 故障 (27%)。威胁行为者正在使用网络钓鱼、泄露的凭据和云错误配置作为选择的攻击媒介。数据存储位置也很重要。本地存储和私有云被破坏的频率低于公共云,但那些使用多云环境的组织是最不安全的,而且这种环境的破坏成本最高。
合规性和法规
任何数据泄露的成本都受到行业必须遵守的合规法规数量的影响。根据《数据泄露成本》报告,如果一个行业受到严格监管,则其 58% 的数据泄露成本在第一年后会继续累积。
制药行业被认为是一个受到高度监管的行业。健康保险流通和责任法案 (HIPAA) 可能是最引人注目的,但医疗保健信息和管理系统协会发现网络安全专业人员缺乏 HIPAA 合规性培训。这种疏忽进一步增加了安全风险。
FDA还制定了新的指南来确保医疗设备的网络安全。设备和药品的制造流程应遵循良好制造规范的规定,供应链必须采用良好的分销规范。由于生物制造属于制药业,因此公司还必须遵守《国防授权法》。由于许多制药公司在各州和全球各地设有工厂、研究设施和办事处,因此他们有责任遵守所有当地的法令和法规。
这只是行业必须遵守的法规的一个示例。网络安全在许多不同的监管领域中占据着更高的优先地位。未能满足合规性可能会导致许可证暂停或重罪指控,以及巨额罚款。同样,这些处罚可以在多个州或国家征收,具体取决于违反规则的地点和方式。
药品安全解决方案
人工智能是当下的流行语,每个人都想加入人工智能的行列。然而,制药行业已经在其安全工具和自动化中利用人工智能,40% 的公司表示他们广泛使用该技术。人工智能是制药公司 OT 和物联网环境中特别有用的安全工具。
虽然其他安全实践(例如应用 IBM Security Guardium等系统来保护混合云和多云环境,或采用 DevSecOps 方法将安全性构建到软件和硬件开发中)是任何网络安全计划的必要组成部分,但预计制药行业将使用自动化和人工智能的领导者,特别是构建生成式人工智能,以更好地分析异常数据并发现网络中的入侵者。
