医疗行业面临网络安全与保险双重挑战

关键要点

• 医疗行业在应对不断增加的网络攻击和网络保险费用上涨的双重压力下，面临严峻挑战。
• 保险公司提高了保费并增加了覆盖限制，导致小型医疗提供者难以满足安全需求。
• 随着新的安全要求的实施，医疗提供者必须努力确保遵守，以维持保险覆盖。
• 大型医疗系统相对容易满足要求，但小型提供者面临资金和资源的短缺，造成合规困难。

医疗行业正面临着抵御网络攻击的压力，同时网络保险的保费也在不断上升。过去两年中，医疗等受到强烈网络攻击的行业发现，网络保险公司正在限制保险范围、增加保费，并要求更严格的安全措施以获得保险。

2021年和2022年，政府问责办公室确认了这些日益严重的挑战，指出受压迫的行业正选择以高昂的价格投保网络保险。Healthcare 利益相关者日前向 SCMedia 确认，这些障碍在可预见的未来将继续存在。

行业领导者表示，网络保险公司正在告知潜在客户，必须增加特定的安全要素，否则将无法提供保险，或者保费将显著提高，CynergisTek 安全服务副总裁
Dave Bailey解释道。许多医疗机构正通过转变来实现这些安全目标，以便在发生数据泄露或安全事件时能够证明其尽职调查的有效性。然而，资源不足使这些目标变得困难重重。

简单而言，医疗提供者明白新要求的重要性，但发现满足所有要求尤其对于较小的提供者来说极为困难。理想情况下，这些提供者希望能够找到合作伙伴，以帮助提高其风险管理水平，但在所需资源的投资上面临挑战。绝大多数小型提供者现状堪忧，缺乏资本和支持满足网络保险所要求的条件的人员。

“供应商也会告诉你同样的事情，”Bailey 说。最终，“无论你是多大，工作都必须完成。”

威胁演变，保险要求随之变化

在当前的威胁格局下，勒索软件几乎是不可避免的，Fortified Health Security CEO Dan Dodson解释说，保险公司通常不会像在汽车事故中那样收回损失。

风险的转移及这些不断演变的威胁为网络保险带来了新的挑战，而像医疗行业这样的资源相对匮乏的行业在获取和保持保险覆盖方面面临困难。几年前，购买网络保险的过程较为简单，机构可以“买入、设定、遗忘”。但是，随着勒索攻击和敲诈行为的不断袭来，那种情况已成为过去。Dodson认为，网络保险的要求正在经历演变的初期阶段，保险公司正在努力确定如何管理这些风险。

对于医疗体系来说，这意味着在申请过程中受到额外审查。从简单问卷起步，现如今已经“演变为对环境中部署的技术和安全技术的非常具体的要求，”他解释道。

以多因素身份验证为例。去年，MFA 是确定保险覆盖的关键讨论点。但在今年的续保周期中，Dodson观察到多个保险公司开始要求高级终端保护，“这是一个昂贵的交易”。

因此，医疗系统现在不得不努力平衡网络保险保单的额外成本与实施额外先进监控技术所需的投资。

保险过程通常是年度购买。然而，在申请过程中进行的承保审查变得更加严格。保险公司设定了每个事件和数据泄漏的财务赔偿上限。现如今，实体必须购买保单，遵守其安全工具和政策的相关承诺，并确保其始终遵循能够验证其是否确实履行承诺的管理流程，否则保单将变得“毫无价值”。

这一过程已变得更加详细，并在此过程中削减了保险覆盖的范围，进而引发了自保的讨论。对于大型医疗系统而言，这可能是较为轻松的选择，他们更容易满足这些修订要求和政策，因为他们拥有相应的团队、时间和资金。

一些网络保险公司现在还会与投保人进行季度检查。目前尚不清楚这些增加的检查是否导致了保险覆盖的终止。

人们担心这些变化可能会导致“从网络角度来看最脆弱的组织，获得的