5 月份，Ascension 的一次重大網路攻擊導致其臨床營運癱瘓近一個月。電腦.

醫療保健系統為網路犯罪提供了誘人的目標，因為它們掌握著寶貴的個人、財務和健康數據。2023 年針對健康資訊科技和 IT 安全專業人員的一項調查顯示，88% 的組織在上一年平均經歷了 40 次攻擊。

德州麥庫姆斯大學資訊、風險與營運管理副教授 Hüseyin Tanriverdi 表示，一個關鍵的漏洞是 IT 系統日益複雜。這是幾十年來形成越來越大的多醫院系統的合併和收購的結果。

「合併後，他們不一定會標準化他們的技術和護理流程，」Tanriverdi 說。「衛生系統最終變得非常複雜，擁有不同的 IT 系統、截然不同的護理流程和不同的治理結構。”

但他在新研究中發現，複雜性也可以為此類問題提供解決方案。他與香港城市大學的 Juhee Kwon 和路易斯維爾大學的 Ghiyoung Im 共同作者表示，「良好的複雜性」可以改善不同系統、護理流程和治理結構之間的溝通，更好地保護它們免受網路攻擊事件。

工作是發表在日記中管理資訊系統季刊。

複雜與複雜

該團隊使用 2009 年至 2017 年 445 個多醫院集團的數據，研究了經常重複的概念，即複雜性是安全的敵人。

他們區分了兩個聽起來相似的 IT 概念，而這兩個概念是問題的關鍵。

• 複雜性是指系統中存在大量以結構化方式互連和共享資訊的元素。
• 當大量元素以非結構化方式互連並共享資訊時，就會出現複雜性——就像合併和收購後整合系統一樣。

坦裡韋爾迪說，由於複雜的系統具有結構，因此預測和控制它們將做什麼雖然困難但可行。這對於具有非結構化連接的複雜系統來說是不可行的。

坦裡韋爾迪發現，隨著醫療保健系統變得更加複雜，它們變得更加脆弱。最複雜系統從一家醫院轉診到另一家醫院的醫療服務種類最多，違規的可能性比平均值高 29%。

他說，問題在於此類系統為駭客提供了更多可供攻擊的資料傳輸點，也為人類用戶提供了更多犯下安全錯誤的機會。

他發現了具有其他複雜形式的類似漏洞，包括：

• 許多不同類型的醫療服務處理健康數據。
• 將策略決策下放給成員醫院，而不是由公司中心製定。

設定數據標準

研究人員也提出了一個解決方案：建構企業範圍的資料治理平台，例如集中式資料倉儲，來管理不同系統之間的資料共享。此類平台會將不同的資料類型轉換為通用資料類型、建置資料流並標準化安全性配置。

「他們會將一個複雜的系統轉變為一個複雜的系統，」他說。透過簡化系統，他們將進一步降低其複雜性。

他測試了創建此類平台的網路安全效果。他發現，結果是在最複雜的系統中，他們可以將違規行為減少高達 47%。

坦裡韋爾迪說，集中資料治理減少了駭客的入侵途徑。“透過更少的存取點以及簡化和強化的網路安全控制，未經授權的各方不太可能未經授權地存取患者資料。”

他建議也用更強大的人力來補充技術控制：培訓使用者進行網路安全實踐，並更好地監管誰有權存取系統的各個部分。

坦裡韋爾迪承認他的方法存在悖論。投資新的技術層可能會先帶來更多的 IT 複雜性。但從長遠來看，這是一種很好的複雜性，可以馴服現有的以及更危險的複雜性。

「從業者應該接受 IT 複雜性，只要它能夠為以前臨時的資訊流提供結構，」他說。“如果組織和管理得當，技術就能降低網路安全風險。”

更多資訊：Hüseyin Tanriverdi 等人，克服多醫院系統網路安全的複雜性：企業範圍資料分析平台的作用，管理資訊系統季刊（2024）。DOI：10.25300/MISQ/2024/17752