5 月份，Ascension 的一次重大网络攻击导致其临床运营瘫痪近一个月。Ascension 是一家医疗保健提供商，旗下拥有全美 140 家医院。调查人员追踪到该问题是由于恶意勒索软件感染了一名员工的计算机。

医疗保健系统为网络犯罪提供了诱人的目标，因为它们掌握着宝贵的个人、财务和健康数据。2023 年针对健康信息技术和 IT 安全专业人员的一项调查显示，88% 的组织在上一年平均经历了 40 次攻击。

德克萨斯州麦库姆斯大学信息、风险和运营管理副教授 Hüseyin Tanriverdi 表示，一个关键的漏洞是 IT 系统日益复杂。这是几十年来形成越来越大的多医院系统的合并和收购的结果。

“合并后，他们不一定会标准化他们的技术和护理流程，”Tanriverdi 说。“卫生系统最终变得非常复杂，拥有不同的 IT 系统、截然不同的护理流程和不同的治理结构。”

但他在新研究中发现，复杂性也可以为此类问题提供解决方案。他与香港城市大学的 Juhee Kwon 和路易斯维尔大学的 Ghiyoung Im 共同作者表示，“良好的复杂性”可以改善不同系统、护理流程和治理结构之间的沟通，更好地保护它们免受网络攻击事件。

工作是发表在日记中管理信息系统季刊。

复杂与复杂

该团队使用 2009 年至 2017 年 445 个多医院集团的数据，研究了经常重复的概念，即复杂性是安全的敌人。

他们区分了两个听起来相似的 IT 概念，而这两个概念是问题的关键。

• 复杂性是指系统中存在大量以结构化方式互连和共享信息的元素。
• 当大量元素以非结构化方式互连并共享信息时，就会出现复杂性——就像合并和收购后集成系统时一样。

坦里韦尔迪说，由于复杂的系统具有结构，因此预测和控制它们将做什么虽然困难但可行。这对于具有非结构化连接的复杂系统来说是不可行的。

坦里韦尔迪发现，随着医疗保健系统变得更加复杂，它们变得更加脆弱。最复杂系统从一家医院转诊到另一家医院的医疗服务种类最多，违规的可能性比平均水平高 29%。

他说，问题在于此类系统为黑客提供了更多可供攻击的数据传输点，也为人类用户提供了更多犯安全错误的机会。

他发现了具有其他复杂形式的类似漏洞，包括：

• 许多不同类型的医疗服务处理健康数据。
• 将战略决策下放给成员医院，而不是由公司中心制定。

设定数据标准

研究人员还提出了一个解决方案：构建企业范围的数据治理平台，例如集中式数据仓库，来管理不同系统之间的数据共享。此类平台会将不同的数据类型转换为通用数据类型、构建数据流并标准化安全配置。

“他们会将一个复杂的系统转变为一个复杂的系统，”他说。通过简化系统，他们将进一步降低其复杂程度。

他测试了创建此类平台的网络安全效果。他发现，结果是在最复杂的系统中，他们可以将违规行为减少高达 47%。

坦里韦尔迪说，集中数据治理减少了黑客的入侵途径。“通过更少的访问点以及简化和强化的网络安全控制，未经授权的各方不太可能未经授权地访问患者数据。”

他建议还用更强大的人力来补充技术控制：培训用户进行网络安全实践，并更好地监管谁有权访问系统的各个部分。

坦里韦尔迪承认他的方法存在悖论。投资新的技术层可能首先会带来更多的 IT 复杂性。但从长远来看，这是一种很好的复杂性，可以驯服现有的以及更危险的复杂性。

“从业者应该接受 IT 复杂性，只要它能够为以前临时的信息流提供结构，”他说。“如果组织和管理得当，技术就能降低网络安全风险。”

更多信息：Hüseyin Tanriverdi 等人，克服多医院系统网络安全的复杂性：企业范围数据分析平台的作用，管理信息系统季刊（2024）。DOI：10.25300/MISQ/2024/17752