利用先進的計算技術(shù)——例如,“人工智能(AI)�����、更快更小的計算硬件�����、計算驅(qū)動的機器人��、增強/虛擬現(xiàn)實和物聯(lián)網(wǎng)(IoT)”——給醫(yī)療技術(shù)公司帶來了幾乎無限的利潤機會����。
這種機會伴隨著網(wǎng)絡(luò)攻擊帶來了“幾乎無限的責(zé)任”。雖然醫(yī)療科技公司多年來一直聽到類似的網(wǎng)絡(luò)攻擊警告��,但許多公司仍然沒有做好充分準(zhǔn)備��,特別是因為他們嚴(yán)重低估了網(wǎng)絡(luò)攻擊的財務(wù)風(fēng)險����。這很大程度上是因為認(rèn)知偏差“積極幻覺”,即“對未來不切實際的樂觀”的系統(tǒng)性決策/判斷錯誤����。
醫(yī)療技術(shù)復(fù)雜�����、威脅商業(yè)的風(fēng)險有哪些呢�����?
可以將網(wǎng)絡(luò)風(fēng)險分為五類有害事件——1)操作干擾����、
2)設(shè)備問題�����、
3)數(shù)據(jù)泄露��、
4)財務(wù)和IP盜竊�����,以及
5)合規(guī)和銷售問題��。
一個或多個有害事件可以產(chǎn)生一種或多種類型的財務(wù)損害:失去銷售�����、客戶����、投資者和合作伙伴;監(jiān)管成本����;勒索付款;金融盜竊��;以及調(diào)查和補救費用�����。
你不需要知道在上圖頂部的灰色方框中關(guān)于網(wǎng)絡(luò)攻擊的工作知識�����,但是你應(yīng)該知道以下幾點:
1�����、網(wǎng)絡(luò)攻擊會導(dǎo)致一個或多個有害事件�����。
2、有害事件會造成一種或多種經(jīng)濟損失����。
3、網(wǎng)絡(luò)犯罪分子正在快速�����、持續(xù)地尋找新的漏洞(如下圖所示)����,開發(fā)新的網(wǎng)絡(luò)攻擊,并精心設(shè)計利用網(wǎng)絡(luò)攻擊賺錢的新方法�����。
4�����、為了經(jīng)濟高效地緩解這些風(fēng)險����,您需要一個多工具�����、多學(xué)科的網(wǎng)絡(luò)風(fēng)險緩解系統(tǒng)。
有害事件類別示例
1.運營中斷:
一個例子是2020年6月1日��,加州大學(xué)舊金山分校遭到勒索軟件攻擊����,該校醫(yī)學(xué)院的數(shù)據(jù)被加密,該機構(gòu)為此支付了114萬美元的贖金�����。該校還承擔(dān)了巨額調(diào)查費用�����,并因名譽受損而遭受了難以言表的傷害��。著名的網(wǎng)絡(luò)安全公司Sophos報告稱����,“2021年,針對醫(yī)療保健的勒索軟件攻擊幾乎翻了一番(2021年為66%��,2020年為34%)”,并且“平均補救成本從2020年的127萬美元上升到2021年的185萬美元��。”2022年可能會更糟����,因為從1月到6月,該機構(gòu)的調(diào)查和執(zhí)法部門HHS民權(quán)辦公室報告了“256起黑客攻擊和信息泄露事件����,高于一年前同期的149起。”對醫(yī)療科技/制藥公司最昂貴的攻擊是2017年默克公司的NotPetya崩潰����,該公司公開報告稱,這次攻擊造成了約13億美元的損失�����。
2.設(shè)備問題:
在我們使用這個術(shù)語時��,設(shè)備問題既來自利用網(wǎng)絡(luò)漏洞的網(wǎng)絡(luò)事件����,也來自這些漏洞的存在。僅僅是漏洞的存在就可以阻止上市前設(shè)備的批準(zhǔn),干擾上市后的銷售����,和/或造成重大的上市后設(shè)備漏洞補救成本,通知公眾漏洞的聲譽損害�����,以及威脅業(yè)務(wù)的召回��。所有這些都會帶來巨大的成本����。
當(dāng)網(wǎng)絡(luò)事件利用設(shè)備漏洞導(dǎo)致患者受傷時�����,醫(yī)療技術(shù)公司面臨更大的財務(wù)風(fēng)險����。在這些情況下����,責(zé)任實際上是無限的。根據(jù)電子書health care Security disease Balloon in a Covid-Era World,2020年�����,美國CISA發(fā)布了六次以上的輸液泵警告�����,F(xiàn)DA發(fā)布了一系列警告��,建議醫(yī)療設(shè)備制造商保護他們的設(shè)備免受各種漏洞的影響�����,包括Log4Shell����、SweynTooth、URGENT/11�����、Ripple20和SigRed��。Ripple20漏洞是一種常見��、可怕且具有潛在破壞性的醫(yī)療設(shè)備漏洞。新技術(shù)和新設(shè)備帶來了利用漏洞的新方法����。
3.數(shù)據(jù)泄露:
例子包括2019年Zynga被盜的2.18億個賬戶��,2020年新浪微博(中國的Twitter)被盜的5.38億個賬戶��,2018年Dubsmash被盜的1.62億個用戶賬戶。即使是終極科技公司之一�����,擁有幾乎無限安全資源的微軟也在2019年遭遇了2.5億條客戶記錄的數(shù)據(jù)泄露。醫(yī)療技術(shù)和醫(yī)療保健提供商正以驚人的速度遭受數(shù)據(jù)泄露�����。閱讀HHS民權(quán)辦公室的許多違規(guī)調(diào)查��,其中顯示2020年有650起數(shù)據(jù)違規(guī)影響500多個人�����,2022年有714起����。數(shù)據(jù)泄露給公司造成了數(shù)百萬美元的損失����。Ponemon Institute備受推崇的報告稱,2020年美國數(shù)據(jù)泄露的平均成本為864萬美元�����。此外����,像2019年華盛頓州立大學(xué)被盜的112萬份記錄這樣的較小漏洞會造成致命的商業(yè)損失。華盛頓州不得不支付470萬美元來解決數(shù)據(jù)泄露受害者提起的集體訴訟�����,2015年�����,加州大學(xué)洛杉磯分校醫(yī)學(xué)院的初級教學(xué)醫(yī)院以750萬美元解決了數(shù)據(jù)泄露訴訟����。
4.IP和金融盜竊:
數(shù)字醫(yī)療技術(shù)公司是IP盜竊的主要目標(biāo)�����。
5.銷售�����、合作伙伴和合規(guī)性問題:
醫(yī)療設(shè)備公司面臨的兩大網(wǎng)絡(luò)風(fēng)險是與上市前網(wǎng)絡(luò)安全要求相關(guān)的設(shè)備審批問題和延遲,以及無法向客戶和合作伙伴證明您的設(shè)備的網(wǎng)絡(luò)安全——他們通常采用比監(jiān)管機構(gòu)更嚴(yán)格的網(wǎng)絡(luò)安全要求�����。
數(shù)字醫(yī)療技術(shù)公司需要了解市場對其安全性的需求��,包括他們將如何回答醫(yī)療設(shè)備安全性制造商披露聲明(MDS2)中的問題��,許多大型醫(yī)療保健提供商在購買您的設(shè)備前會要求這些問題��。
此外����,在制定網(wǎng)絡(luò)風(fēng)險緩解策略時��,醫(yī)療技術(shù)公司需要考慮其網(wǎng)絡(luò)風(fēng)險的真實潛在成本,包括所有上市前和上市后成本����。另一種形式的合作伙伴網(wǎng)絡(luò)風(fēng)險通過您的供應(yīng)鏈出現(xiàn): 例如,您的設(shè)備中集成的軟件或硬件存在計算漏洞�����,需要昂貴的補救措施和/或?qū)е略O(shè)備故障����,從而傷害患者。
財務(wù)傷害類型
1.銷售�����、客戶����、投資者和合作伙伴損失:這些包括有害事件導(dǎo)致銷售、客戶����、投資者和合作伙伴損失的成本。在許多情況下�����,醫(yī)療技術(shù)公司將被要求通知人民和/或監(jiān)管機構(gòu)有關(guān)有害事件:
• HIPAA涵蓋的數(shù)據(jù)泄露: HIPAA涵蓋了許多醫(yī)療技術(shù)公司,HIPAA泄露通知規(guī)則(45 CFR 164.400-414)要求在不安全的受保護健康信息泄露后通知HHS和公眾�����。
• 上市公司的數(shù)據(jù)泄露: SEC要求上市公司提供任何符合實質(zhì)性標(biāo)準(zhǔn)的網(wǎng)絡(luò)事件通知�����,包括數(shù)據(jù)泄露����。2022年3月,SEC提出了更加嚴(yán)格的數(shù)據(jù)違規(guī)報告要求�����。
• FDA要求報告:《醫(yī)療器械報告(MDR)條例》( 21 CFR Part 803)要求器械制造商在得知他們的任何器械可能導(dǎo)致死亡或嚴(yán)重傷害時向FDA報告�����。FDA醫(yī)療器械上市后網(wǎng)絡(luò)安全管理指南要求器械制造商報告與網(wǎng)絡(luò)事件和/或網(wǎng)絡(luò)漏洞相關(guān)的不可控剩余風(fēng)險��。
• 非醫(yī)療保健隱私法: GDRP和每個州都有隱私法��,可能需要通知����。
因此,在你公司經(jīng)歷的幾乎每一次重大網(wǎng)絡(luò)事件之后�����,你的潛在客戶����、客戶、投資者和合作伙伴都會發(fā)現(xiàn)發(fā)生了什么�����。在許多情況下�����,了解你的網(wǎng)絡(luò)事件會降低別人對你的信心��,讓你失去銷售��、客戶��、投資者和合作伙伴。更糟糕的是傷害患者的設(shè)備問題����,因為這些有害事件會損害您的聲譽,并通過集體訴訟或個人訴訟產(chǎn)生令人震驚的責(zé)任�����。
2.調(diào)查和補救成本:
這包括您調(diào)查導(dǎo)致有害事件的網(wǎng)絡(luò)攻擊的成本����,以及將您的運營和/或產(chǎn)品至少恢復(fù)到原始狀態(tài)的成本。這些成本可能相當(dāng)高�����。如上所述����,Sophos發(fā)現(xiàn),“(遭受勒索軟件攻擊的醫(yī)療保健公司)的平均補救成本從2020年的127萬美元上升到2021年的185萬美元����。”另一個主要的財務(wù)風(fēng)險是�����,一些計算漏洞——即使從未被網(wǎng)絡(luò)事件實際利用——將會非常嚴(yán)重,以至于FDA需要昂貴的補救措施和/或召回����。
3.法律和合同成本:
這些成本包括違反現(xiàn)有合同(如SLA)的有害事件和/或?qū)е聦δ崞鹪V訟的成本。許多醫(yī)療技術(shù)公司在制定網(wǎng)絡(luò)風(fēng)險策略時沒有考慮這些成本��。為了避免這種情況����,醫(yī)療技術(shù)公司需要部署多學(xué)科方法來減輕網(wǎng)絡(luò)風(fēng)險。
4.監(jiān)管成本:
這些成本包括任何相關(guān)監(jiān)管機構(gòu)調(diào)查您的網(wǎng)絡(luò)事件�����、對您采取負(fù)面行動(例如罰款或執(zhí)法行動)和/或要求您的公司補救網(wǎng)絡(luò)事件造成的損害的成本��。調(diào)查和補救成本略有重疊����,盡管發(fā)生網(wǎng)絡(luò)事件的公司幾乎總是有調(diào)查和補救成本,但不一定有監(jiān)管成本�����。
5.勒索付款:
這些是向網(wǎng)絡(luò)攻擊者支付贖金的費用,以恢復(fù)您的運營和/或防止從您那里竊取的信息的傳播����。
6.金融盜竊:
這些是攻擊者從您那里竊取資金時的直接金錢損失。
加劇網(wǎng)絡(luò)風(fēng)險的4個因素
不幸的是�����,正如下面這張信息圖所介紹的��,有四個因素大大加劇了醫(yī)療技術(shù)公司的網(wǎng)絡(luò)風(fēng)險:
日益嚴(yán)格的法規(guī):
美國�����、歐盟和世界各地的監(jiān)管機構(gòu)不斷提高醫(yī)療設(shè)備網(wǎng)絡(luò)安全要求的嚴(yán)格程度�����。
主要的例子是歐盟關(guān)于醫(yī)療器械的法規(guī)745/2017 (MDR)和關(guān)于體外診斷醫(yī)療器械的法規(guī)746/2017 (IVDR)�����,這兩個法規(guī)都于2017年5月25日通過并生效��。MDR于2021年5月26日全面生效,IVDR于2022年5月26日全面生效����。在MDCG 2019-16醫(yī)療設(shè)備網(wǎng)絡(luò)安全指南中可以找到對這些更嚴(yán)格的醫(yī)療設(shè)備要求的很好解釋�����。
2022年4月�����,F(xiàn)DA發(fā)布了一份“上市前網(wǎng)絡(luò)安全”指南草案��,取代了其2018年的上市前網(wǎng)絡(luò)安全指南草案����。該指南涵蓋所有包含軟件、固件��、可編程邏輯和醫(yī)療設(shè)備軟件(SaMD)的設(shè)備��。這一更加嚴(yán)格的監(jiān)管計劃的重點包括:
• 更加重視網(wǎng)絡(luò)安全如何與FDA的質(zhì)量體系法規(guī)相關(guān)聯(lián)(QSR)����,包括建議使用安全產(chǎn)品開發(fā)框架(SPDF)來實現(xiàn)這一目標(biāo)�����。SPDF包含設(shè)備整個產(chǎn)品生命周期的所有方面��,包括開發(fā)��、發(fā)布����、支持和退市����。
• 建議設(shè)計過程包括在設(shè)計過程中進行威脅建模: 例如,網(wǎng)絡(luò)攻擊者如何攻擊設(shè)備��,以及制造商如何防止此類攻擊�����。
• 推薦軟件材料清單(SBOM)而不是網(wǎng)絡(luò)安全材料清單(CBOM)�����。FDA聲明SBOM應(yīng)包括軟件組件描述符(名稱����、版本��、制造商)��、提供的支持級別�����、支持終止日期以及任何已知的漏洞。
• 雖然它取消了對制造商將其產(chǎn)品分類到風(fēng)險等級的要求��,但它要求制造商在上市前提交的報告中提供更多細(xì)節(jié)�����,包括提供醫(yī)療保健提供商可以用來有效修補設(shè)備漏洞的技術(shù)手冊�����。
雖然新的指南草案是自愿的��,但FDA聲明��,“不遵循指南將會產(chǎn)生更大的����、可能的復(fù)雜性或潛在的困難�����,以解決審查過程中出現(xiàn)的問題��。這意味著潛在的延遲����。”這使得它在本質(zhì)上和實際上都是“非自愿的”��。
不斷增長的大規(guī)模攻擊面和計算技術(shù)依賴性:
就其本質(zhì)而言��,醫(yī)療技術(shù)公司通過不斷增加更多計算技術(shù)來努力創(chuàng)新和降低成本��,尤其是在以下領(lǐng)域:
• 增強的計算能力/互聯(lián)網(wǎng)接入和新的軟件應(yīng)用程序和硬件����,以提供他們的創(chuàng)新產(chǎn)品。
• 通過云存儲�����、移動設(shè)備和患者家中的醫(yī)療技術(shù)系統(tǒng)來消除傳統(tǒng)的安全邊界��。
• 需要復(fù)雜的數(shù)據(jù)分析技術(shù)(例如,機器學(xué)習(xí)和人工智能)來擾亂市場和戰(zhàn)勝現(xiàn)有企業(yè)����。
計算技術(shù)的每一次增強都增加了公司的網(wǎng)絡(luò)攻擊風(fēng)險,增加了其網(wǎng)絡(luò)攻擊面(即��,可被用來對您進行網(wǎng)絡(luò)攻擊的物理和數(shù)字漏洞的總和)及其對計算技術(shù)的依賴�����。不幸的是����,今天的數(shù)字醫(yī)療設(shè)備公司的攻擊面和對計算技術(shù)的依賴是巨大的����,并且在一個危險的時刻增長:也就是說,即將出現(xiàn)的主要網(wǎng)絡(luò)犯罪方式如下所述����。這一嚴(yán)峻的現(xiàn)實,加上其他因素�����,強烈支持將多學(xué)科網(wǎng)絡(luò)風(fēng)險緩解策略融入到您的產(chǎn)品開發(fā)過程和任何計算技術(shù)的使用中。
網(wǎng)絡(luò)安全專業(yè)人員流動性大:
根據(jù)Nominet CISO壓力報告����,所有行業(yè)的首席信息安全官(CISO)的平均任期為26個月。這種流失是一個嚴(yán)重的問題����,既造成了高昂的人才搜索費用,也使公司與可靠�����、長期的網(wǎng)絡(luò)安全領(lǐng)導(dǎo)相比缺乏保護�����?�?梢钥聪逻@些“網(wǎng)絡(luò)安全勞動力需求”的事實和2021年網(wǎng)絡(luò)安全勞動力研究�����。
重大的��、迫在眉睫的網(wǎng)絡(luò)犯罪浪潮:
網(wǎng)絡(luò)犯罪分子的經(jīng)濟動機是歷史上最高的,正在增長����,并將產(chǎn)生前所未有的基于勒索的網(wǎng)絡(luò)犯罪浪潮,通常被稱為勒索軟件�����。大多數(shù)數(shù)字醫(yī)療設(shè)備領(lǐng)導(dǎo)者都了解勒索軟件的基本知識��,即在感染后�����,它使用加密使計算機癱瘓��,然后要求支付恢復(fù)操作的手段��,甚至采取破壞性行動使設(shè)備變得不可用(如NotPetya)��。但很少有領(lǐng)導(dǎo)人知道�����,最近支付贖金的趨勢創(chuàng)造了一個充滿活力的勒索軟件生態(tài)系統(tǒng)����,甚至包括出售帶有免費試用和技術(shù)支持的勒索軟件的軟件服務(wù)平臺。結(jié)合全球計算技術(shù)使用的快速增長�����,這一充滿活力的生態(tài)系統(tǒng)將產(chǎn)生前所未有的勒索型網(wǎng)絡(luò)犯罪浪潮�����,而此時學(xué)術(shù)機構(gòu)缺乏安全/預(yù)防資金����,網(wǎng)絡(luò)安全人員的流失速度也達到了歷史最高水平。
此外�����,網(wǎng)絡(luò)攻擊變得越來越復(fù)雜�����,比如最近的太陽風(fēng)崩潰和微軟Exchange服務(wù)器黑客攻擊�����。2020年初,攻擊者入侵了太陽風(fēng)公司的軟件開發(fā)環(huán)境����,并在太陽風(fēng)公司廣泛使用的IT監(jiān)控軟件的更新中安裝了一個復(fù)雜的網(wǎng)絡(luò)攻擊工具(稱為后門)。通過更新他們的Solarwinds軟件�����,客戶安裝了一個后門��,允許攻擊者安裝額外的惡意軟件并發(fā)起更多的攻擊����。因為太陽風(fēng)的整體攻擊非常復(fù)雜,幾個月都沒有被發(fā)現(xiàn)��;危及至少18�����,000名Solarwinds客戶的計算系統(tǒng)�����,包括財富500強公司、許多美國政府機構(gòu)和一些大學(xué)和學(xué)院,沒有人知道損害的程度�����。
一個現(xiàn)實的網(wǎng)絡(luò)攻擊場景
對于這個網(wǎng)絡(luò)攻擊場景����,我們創(chuàng)建了一個虛構(gòu)但真實的醫(yī)療技術(shù)公司、設(shè)備和網(wǎng)絡(luò)攻擊����。該場景代表公司、設(shè)備和攻擊的混合體����,與真實公司、設(shè)備或攻擊的任何相似之處都是無意的��。
該公司及其設(shè)備: ACME公司開發(fā)了一種設(shè)備“Less Depressed”��,并在FDA的批準(zhǔn)下�����,將其商業(yè)化�����,它被植入大腦,以監(jiān)控與抑郁有關(guān)的神經(jīng)遞質(zhì)(去甲腎上腺素����、血清素和多巴胺),識別與抑郁情緒/情緒有關(guān)的模式����,創(chuàng)建定制系統(tǒng)以緩解患者的抑郁,并通過在正確的時間觸發(fā)正確劑量的適當(dāng)神經(jīng)化學(xué)物質(zhì)的釋放來實施定制系統(tǒng)��。該設(shè)備包括(1)具有CPU�����、固件�����、存儲器和藍牙連接的復(fù)雜植入物����;(2)由強大的機器學(xué)習(xí)軟件組成的廣泛的后端,以及(3)帶有儀表板的移動應(yīng)用程序�����,允許患者和他們的護理人員實時查看正在發(fā)生的事情�����。在襲擊發(fā)生時��,美國有10����,000名患者患有輕度抑郁癥。
網(wǎng)絡(luò)攻擊
網(wǎng)絡(luò)攻擊有三個部分:
• 滲透開發(fā)環(huán)境:
攻擊者向該公司的軟件開發(fā)人員發(fā)送電子郵件�����,其中附有吸引人的附件��,其中包含惡意偵察木馬����,一旦打開,攻擊者就可以進入開發(fā)環(huán)境�����。只需打開一次惡意電子郵件附件����,攻擊者就可以訪問并秘密研究軟件開發(fā)環(huán)境。
• 數(shù)據(jù)竊取和惡意應(yīng)用程序更新:
攻擊者利用他們對開發(fā)環(huán)境的訪問權(quán)限進行了以下操作:
--從正在更新的數(shù)據(jù)庫中識別并復(fù)制未加密的受保護健康信息(PHI );和
--創(chuàng)建一個后門����,允許他們上傳一個虛假/惡意的應(yīng)用程序,當(dāng)安裝后�����,他們可以與應(yīng)用程序/設(shè)備通信并控制它們�����,并終止公司與應(yīng)用程序/設(shè)備通信和控制它們的能力����。
惡意應(yīng)用程序使攻擊者能夠(除其他外)通過惡意藍牙更新使設(shè)備永遠(yuǎn)不可操作(稱為“磚塊”)��;關(guān)閉設(shè)備�����;甚至導(dǎo)致設(shè)備出現(xiàn)故障����,傷害病人����。
• 他們的勒索需求:
在核實幾乎所有設(shè)備應(yīng)用都安裝了惡意更新后��,攻擊者要求公司在48小時內(nèi)支付他們1500萬美元的比特幣�����;否則�����,他們將同時在網(wǎng)上發(fā)布PHI����,并通過藍牙攻擊“攔截”所有設(shè)備����。因為攻擊者終止了該公司與應(yīng)用程序/設(shè)備通信和控制應(yīng)用程序/設(shè)備的能力�����,并且只給了該公司48小時的付款時間����,所以該公司的防御選項受到了嚴(yán)重限制��。最好的防御措施是分別指導(dǎo)10�����,000名患者卸載該應(yīng)用程序��,這在48小時內(nèi)是不可行的��。這給該公司帶來了支付1500萬美元的巨大壓力����。
是否支付贖金是一個復(fù)雜、困難的決定�����。在這個現(xiàn)實場景中,該公司決定不付款��,而是加速關(guān)閉所有設(shè)備并承擔(dān)后果�����。其專家說服該公司�����,支付贖金并不能保證停止威脅�����。
發(fā)生了什么:
不幸的是��,在48小時內(nèi)�����,該公司無法重新控制其設(shè)備��,因為該公司無法重新建立與它們的通信��。這意味著他們必須指導(dǎo)患者刪除設(shè)備應(yīng)用程序����,而不是重新安裝它。他們在48小時內(nèi)與患者溝通的努力導(dǎo)致只有5000名患者刪除了惡意應(yīng)用程序����。因此,由于他們沒有支付贖金����,攻擊者使用惡意的藍牙更新來“磚化”其他5000臺設(shè)備,使它們永久無法操作����,并要求5000名受影響的患者中的每一位進行手術(shù)來移除它們。我們估計每次手術(shù)和后續(xù)護理的費用約為50��,000美元�����,沒有任何預(yù)先協(xié)商的折扣�����。我們還假設(shè)�����,突然關(guān)閉設(shè)備可能會產(chǎn)生不可預(yù)見的危險后果��,但在這種情況下不會發(fā)生�����。
網(wǎng)絡(luò)攻擊造成的經(jīng)濟損失:
下面總結(jié)了經(jīng)濟損失��。
• 調(diào)查和補救成本:
該公司放棄了一切�����,立即調(diào)查發(fā)生了什么�����,并嘗試補救他們的計算環(huán)境����,以阻止對設(shè)備和患者的進一步攻擊和傷害��。這種類型的網(wǎng)絡(luò)取證調(diào)查和補救需要廣泛的專業(yè)知識��,非常昂貴,可能非常耗時�����,并且遠(yuǎn)遠(yuǎn)超出了大多數(shù)醫(yī)療技術(shù)公司的內(nèi)部資源����。即使有成功的機會,該公司也需要立即聯(lián)系一支訓(xùn)練有素的網(wǎng)絡(luò)法醫(yī)專家團隊——很少有醫(yī)療科技公司會提前安排這種事情����。因此,假設(shè)他們有這樣的權(quán)限��,該公司將需要雇用一個大型專家調(diào)查團隊����,并為立即采取行動支付額外費用:例如,五個人在兩天內(nèi)每天花費2000美元����,僅前48小時就總計20000美元。幾乎可以肯定的是�����,該公司需要在最初的48小時之外繼續(xù)調(diào)查和補救。我們估計����,此次網(wǎng)絡(luò)攻擊的調(diào)查和補救總成本將超過30萬美元,并高達100萬美元����。
• 法律、監(jiān)管和合同成本:
該公司將被要求通知HHS關(guān)于PHI數(shù)據(jù)泄露的情況��,以及FDA關(guān)于對設(shè)備的攻擊和相關(guān)漏洞的情況�����。該公司還將被要求通知患者和公眾��。因此��,這次攻擊可能會引發(fā)FDA和HHS的調(diào)查��。這意味著該公司可能需要雇用兩個不同的昂貴的外部律師: 一個專門從事FDA調(diào)查��,另一個專門從事OCR(公民權(quán)利辦公室)調(diào)查����。每次調(diào)查都可能導(dǎo)致昂貴的罰款,而FDA的調(diào)查可能導(dǎo)致更昂貴的召回��。我們估計了以下成本:
-至少15萬美元的法律費用
-至少10萬美元的監(jiān)管罰款
-召回成本至少為(包括手術(shù)成本)加上其他5000臺設(shè)備的費用��。
此外��,該公司可能會承擔(dān)重大責(zé)任�����,因為它必須賠償參與為患者提供設(shè)備的其他實體����,如醫(yī)院系統(tǒng)和其他醫(yī)療保健提供商,這些實體因攻擊而產(chǎn)生了成本��,包括2.5億美元的天文數(shù)字的手術(shù)費用(每次手術(shù)5�����,000 x 5萬美元)��。也可能有合同條款允許客戶撤銷他們的購買協(xié)議��。
更大的潛在經(jīng)濟損失來自不可避免的訴訟�����,尤其是集體訴訟或跨地區(qū)訴訟。這些訴訟可以由患者和/或受影響的醫(yī)療服務(wù)提供者提起����,原告律師協(xié)會已經(jīng)做好了充分的準(zhǔn)備并有足夠的資金提起這些訴訟。僅僅為這些訴訟辯護就可能花費1500萬到2000萬美元�����,解決這些訴訟可能包括每次手術(shù)的費用(5萬美元)和每個原告10萬美元的損害賠償��?���?傤~可能高達7.7億美元:2000萬美元的辯護費用加上7.5億美元的損害賠償金(5000名原告15萬美元)。
• 失去銷售����、客戶、投資者和合作伙伴:因為這種攻擊將是公開的����,包括許多細(xì)節(jié)�����,如設(shè)備易受攻擊和被堵塞、手術(shù)和可能的成本��,幾乎所有的客戶����、潛在客戶、合作伙伴和投資者都會知道�����。這種知識可能會導(dǎo)致以下幾點:
- 嚴(yán)重影響未來的銷售�����。
- 使現(xiàn)有客戶和合作伙伴能夠取消所有采購和/或分銷協(xié)議��。
- 阻止投資者進一步支持公司�����。
僅這一項財務(wù)損失就可能導(dǎo)致公司破產(chǎn)��,即使該公司擁有涵蓋許多其他財務(wù)損失的出色保險(見下一節(jié))�����,但基于醫(yī)療技術(shù)公司通常購買的保險范圍,這不太可能��。
• 關(guān)于保險的特殊部分:
為了簡要介紹一些保險問題��,請考慮以下內(nèi)容:
健康保險公司支付的任何費用都可能引發(fā)針對該公司的賠償訴訟����。
典型的網(wǎng)絡(luò)責(zé)任政策將涵蓋贖金支付、調(diào)查����、僅限于數(shù)據(jù)泄露和監(jiān)管行動的法律成本、監(jiān)管罰款和第三方隱私責(zé)任索賠��。有些可能涵蓋收入損失�����,但這種覆蓋通常有嚴(yán)格的限制和例外����。
但是,該公司需要強大的專業(yè)保險(例如,技術(shù)專業(yè)人員和醫(yī)療專業(yè)人員責(zé)任保險)����,以涵蓋與訴訟和健康保險公司賠償索賠相關(guān)的任何成本�����。
底線總估計:
這一現(xiàn)實場景的總潛在財務(wù)損失令人難以置信:
• 調(diào)查和補救: 30萬美元
• 法律�����、監(jiān)管和合同成本(不包括訴訟): 125萬美元��。
• 訴訟費用: 7.7億美元����。
• 失去銷售、客戶�����、投資者和合作伙伴:破產(chǎn)
很少有醫(yī)療科技公司能夠幸免于此�����。
對網(wǎng)絡(luò)攻擊的財務(wù)影響不切實際的樂觀往往導(dǎo)致醫(yī)療科技公司對此類攻擊準(zhǔn)備不足。有時����,一個有效的解藥是一個“激勵”練習(xí),在這個練習(xí)中�����,你量化每種有害事件的最壞情況下的經(jīng)濟損失����。一個捷徑是根據(jù)您的業(yè)務(wù)模式調(diào)整我們現(xiàn)實的網(wǎng)絡(luò)攻擊場景,并讓一個多學(xué)科團隊(財務(wù)�����、運營��、銷售/營銷�����、IT��、法律和風(fēng)險管理)合作評估有害事件最壞情況下的財務(wù)損失��。
【結(jié)論】
總體而言,網(wǎng)絡(luò)風(fēng)險是數(shù)字醫(yī)療設(shè)備公司面臨的最大財務(wù)威脅之一�����。不幸的是����,太多的數(shù)字醫(yī)療設(shè)備公司正在使用傳統(tǒng)的��、以技術(shù)為中心的方法來降低網(wǎng)絡(luò)風(fēng)險�����,這種方法比以利潤為中心的����、多工具、多學(xué)科的網(wǎng)絡(luò)風(fēng)險降低方法更昂貴�����、效率更低�����。
京公網(wǎng)安備11010802046783號