來源：HC3i中數(shù)新醫(yī)

美國Ponemon研究院的一項調(diào)查顯示：超過一半的醫(yī)院表示，他們在過去兩年中曾發(fā)生過一次或多次由第三方供應(yīng)商造成的數(shù)據(jù)泄露...

美國Ponemon研究院的一項調(diào)查顯示：超過一半的醫(yī)院表示，他們在過去兩年中曾發(fā)生過一次或多次由第三方供應(yīng)商造成的數(shù)據(jù)泄露，平均每起事件的成本為290萬美元。即便如此，仍有太多醫(yī)院未能對由第三方造成的數(shù)據(jù)泄露進行充分的風(fēng)險評估。

■ 第三方供應(yīng)商，給醫(yī)院帶來更多**隱患

沒有一家醫(yī)院是獨立存在的：從臨床軟件到數(shù)據(jù)存儲，有眾多的供應(yīng)商為醫(yī)療IT系統(tǒng)的必要組件提供服務(wù)。連接到互聯(lián)網(wǎng)的每一個設(shè)備或軟件，都意味著醫(yī)院遭受攻擊和破壞的新的可能。

Ponemon的一項新研究表明，衛(wèi)生系統(tǒng)管理第三方供應(yīng)商風(fēng)險的方法在這個網(wǎng)絡(luò)**環(huán)境中遠遠不夠，同時醫(yī)院也看到，HHS和OCR正在加強對**的調(diào)查和處罰力度。

■ **風(fēng)控能力不足，醫(yī)院要為第三方供應(yīng)商“買單”

根據(jù)Ponemon報告，醫(yī)療保健、衛(wèi)生系統(tǒng)平均有3.2名全職**員，每月工作500小時以上，負責供應(yīng)商風(fēng)險評估。

但報告顯示，鑒于普通醫(yī)院與1300多家不同供應(yīng)商有關(guān)系，這樣的人力配置還不足以支撐**調(diào)查的任務(wù)。大多數(shù)醫(yī)院每年并不會審查每個醫(yī)院的**措施。事實上，只有不超過四分之一的受訪者表示，他們?yōu)樗泄?yīng)商合作伙伴進行供應(yīng)商評估。

Ponemon研究人員表示，盡管每年在供應(yīng)商管理、醫(yī)療保健組織等領(lǐng)域投入近240億美元，但“控件和程序往往只是部分部署或根本不部署”，這會削弱他們監(jiān)管第三方帶來的風(fēng)險的能力。

這讓醫(yī)療衛(wèi)生機構(gòu)付出了代價：56%的受訪者表示，他們的組織在過去兩年中經(jīng)歷過一次或多次與供應(yīng)商相關(guān)的數(shù)據(jù)泄露，平均成本為290萬美元。

自動化工具和任務(wù)，例如供應(yīng)商評估問卷和更新風(fēng)險文件，有助于管理新供應(yīng)商的涌入。但報告顯示，盡管78名受訪者認識到能夠持續(xù)管理第三方風(fēng)險變化的重要性，但是大多數(shù)醫(yī)院系統(tǒng)在這一領(lǐng)域也處于滯后狀態(tài)。

研究人員說：“對手工流程的依賴使得企業(yè)很難評估所有供應(yīng)商，也很難了解他們面臨的供應(yīng)商風(fēng)險類型。”

此外，近60%的受訪者表示，醫(yī)療衛(wèi)生機構(gòu)的管理層愿意在風(fēng)險評估過程中走捷徑，“如果有必要，可以為重要的經(jīng)濟伙伴提供**保護”。

■ 更多依賴，更多**隱患

當一家醫(yī)院不能充分管理其供應(yīng)商時，他們的網(wǎng)絡(luò)就會面臨相當大的風(fēng)險。醫(yī)療保健系統(tǒng)需要在產(chǎn)品的有用性與它可能帶來的風(fēng)險之間取得平衡，并且比其他行業(yè)更加謹慎：更大的隱私和**限制意味著與供應(yīng)商共享數(shù)據(jù)，或在云中托管信息，這些都需要更嚴格的審查和監(jiān)督。

好消息是，醫(yī)院有很多方法可以在內(nèi)部管理其**防止外部**威脅入侵，外部供應(yīng)商也是如此認為。

“很明顯，醫(yī)療保健提供者處境艱難，” Ponemon研究所主席兼創(chuàng)始人Dr. Larry Ponemon,說。他們所依賴的供應(yīng)商數(shù)量在不斷增加，同時這些供應(yīng)商所帶來的威脅在頻率和嚴重程度上也在不斷升級，因此很容易看出如何管理這些風(fēng)險已成為一個壓倒性的問題。”

標題：Hospitals are paying for not vetting their vendors

作者：Benjamin Harris