缺乏AI治理对数据安全构成威胁，HIMSS最新研究显示

新闻时间：2025年2月25日16:38 - 更新时间：2025-02-26 07:54:46
来源：Healthcare IT News
语言：英语，所在国：美国
分类：科技与健康，关键词:AI与医疗健康

医疗保健组织在增强其安全态势方面取得了进展，但根据最新的医疗保健信息和管理系统协会（HIMSS）分析，仍然需要更多关注治理并进一步投资于医疗保健安全工作队伍。HIMSS25的参与者可以在会前医疗保健网络安全论坛上了解更多详情。

据HIMSS的研究人员称，2024年的医疗保健网络安全调查报告向负责日常网络安全事务的医疗保健网络安全专业人士询问了当前的网络安全实践和行业趋势。

报告突出了不断增长的威胁和挑战安全的问题，审视了预算的使用情况，并提供了有关组织如何改进其安全对话的见解。

HIMSS年度网络安全调查现已进入第16个年头，反映了监督或管理医疗保健网络安全计划的专业人士的见解。关键主题包括勒索软件、安全事件、预算和人工智能。

“今年的调查显示，工具本身并不足够——更强的治理是必不可少的，关键领域包括人工智能、内部威胁管理和第三方风险管理。”HIMSS（《医疗保健IT新闻》的母公司）在一份声明中表示。

“资金支持安全，但没有治理，AI相关的风险仍然无法控制。”HIMSS高级网络安全和隐私主管李·金（Lee Kim）周二告诉《HITN》。

“这些风险不仅适用于医疗保健组织，也适用于处理患者或敏感数据的承包商、分包商和第三方，以及为医疗保健组织提供服务的供应商。”

HIMSS研究人员注意到，越来越少的勒索软件受害者报告支付赎金。

这可能部分归因于医疗保健组织增加了IT安全投资。通过比往年投入更多资源来强化网络安全防御，医疗保健组织正在战略性地调整预算，以应对关键漏洞并进行进一步投资，调查发现。

“7%-10%范围内的分配逐渐从2020年的10%增加到2024年的14%，显示出对更高网络安全预算的投资逐渐增加。”研究人员在报告中说。

超过一半的受访者（52%）表示预计他们组织的整体IT预算将在2025年增加，而10%的人表示减少，28%的人认为不会变化，10%的人不知道。

然而，HIMSS在报告中表示，自2019年以来受访者的预算增加总体上较为温和，还需要额外的预算分配以支持这些提供商的安全风险。

“有效的AI治理需要适当的政策、员工和持续监控，以应对数据泄露、数据泄露、社会工程（包括但不限于深度伪造和AI驱动的网络钓鱼攻击）、内部威胁等风险。”李·金说。

一个令人担忧的问题是，参与调查的医疗保健网络安全专业人士表示，他们的组织对AI使用的监控有限。

“当被问及他们的组织是否有针对AI技术的审批流程时，近一半（47%）的受访者表示他们的组织确实有审批流程，而42%的人表示没有。”研究人员说。

“另有11%的人不确定其组织内是否存在此类流程。”

这种缺乏正式AI治理的情况增加了风险，新报告指出，机器学习驱动的网络潜伏作为新兴威胁。

“一半（50%）的受访者表示，他们的组织仅允许经过批准的AI技术，而30%的组织允许AI不受正式限制，16%的组织完全禁止AI使用。”报告说。

只有1%的受访者表示采取了如“制定AI政策或实施防护措施”之类的行动，而3%的HIMSS调查受访者不确定其组织的态度。

2024年的受访者认为，工具的安全改进是对整体HIT预算增加最有意义的进展。

“大多数（57%）受访者报告称，他们使用的工具有了显著改进，47%的受访者报告称政策有了显著改进，31%的受访者报告称员工有了显著改进。”报告说。

加强员工队伍——员工保留、招聘和技能提升——一直是该行业的持续问题。

以前HIMSS网络安全调查的受访者曾将人员配置列为改善医疗保健网络安全计划的主要障碍之一，研究人员表示，有限的安全预算使得这一挑战的进展缓慢。

去年的报告显示，2023年的HIMSS民意调查显示，留住合格的网络安全员工是当年隐私和安全专业人员面临的挑战。

“我们正在取得进展，但我们必须做更多以应对当今不断演变的威胁，并为未来的威胁做好准备。”HIMSS研究人员在一份声明中说。

“任何安全计划中最薄弱的环节是人，这就是为什么教育、工具和政策仍然是最重要的防线。”

今年的报告涉及273名至少对日常网络安全运营或医疗保健组织的网络安全计划监督负有一定责任的医疗保健网络安全专业人士。

研究人员在2024年11月6日和12月16日询问了受访者过去12个月的观点、知识和经验。

几乎一半的受访者既是执行经理又将网络安全作为其主要职责，并给出了明确的回答。其他受访者的网络安全预算分配能见度较差，这也引起了HIMSS研究人员的担忧。

“虽然执行管理层受访者通常了解网络安全预算分配，但非管理层和非执行管理层受访者表现出有限的意识，强调了关于组织网络安全计划更好的信息共享机会。”他们说。

虽然网络钓鱼是最常见的重大安全事件的网络攻击方法，但研究人员指出，游戏化、桌面演练和互动研讨会可以提高员工参与威胁教育的积极性。

“随着威胁形势的发展，医疗保健组织必须保持警惕，同时确保网络安全能够推动业务和临床护理。”HIMSS在一份声明中说。

“持续的适应和创新将是应对日益数字化世界的关键。”

(全文结束)