來源：HC3i中數新醫(yī)

美國Ponemon研究院的一項調查顯示：超過一半的醫(yī)院表示，他們在過去兩年中曾發(fā)生過一次或多次由第三方供應商造成的數據泄露...

美國Ponemon研究院的一項調查顯示：超過一半的醫(yī)院表示，他們在過去兩年中曾發(fā)生過一次或多次由第三方供應商造成的數據泄露，平均每起事件的成本為290萬美元。即便如此，仍有太多醫(yī)院未能對由第三方造成的數據泄露進行充分的風險評估。

■ 第三方供應商，給醫(yī)院帶來更多**隱患

沒有一家醫(yī)院是獨立存在的：從臨床軟件到數據存儲，有眾多的供應商為醫(yī)療IT系統的必要組件提供服務。連接到互聯網的每一個設備或軟件，都意味著醫(yī)院遭受攻擊和破壞的新的可能。

Ponemon的一項新研究表明，衛(wèi)生系統管理第三方供應商風險的方法在這個網絡**環(huán)境中遠遠不夠，同時醫(yī)院也看到，HHS和OCR正在加強對**的調查和處罰力度。

■ **風控能力不足，醫(yī)院要為第三方供應商“買單”

根據Ponemon報告，醫(yī)療保健、衛(wèi)生系統平均有3.2名全職**員，每月工作500小時以上，負責供應商風險評估。

但報告顯示，鑒于普通醫(yī)院與1300多家不同供應商有關系，這樣的人力配置還不足以支撐**調查的任務。大多數醫(yī)院每年并不會審查每個醫(yī)院的**措施。事實上，只有不超過四分之一的受訪者表示，他們?yōu)樗泄毯献骰锇檫M行供應商評估。

Ponemon研究人員表示，盡管每年在供應商管理、醫(yī)療保健組織等領域投入近240億美元，但“控件和程序往往只是部分部署或根本不部署”，這會削弱他們監(jiān)管第三方帶來的風險的能力。

這讓醫(yī)療衛(wèi)生機構付出了代價：56%的受訪者表示，他們的組織在過去兩年中經歷過一次或多次與供應商相關的數據泄露，平均成本為290萬美元。

自動化工具和任務，例如供應商評估問卷和更新風險文件，有助于管理新供應商的涌入。但報告顯示，盡管78名受訪者認識到能夠持續(xù)管理第三方風險變化的重要性，但是大多數醫(yī)院系統在這一領域也處于滯后狀態(tài)。

研究人員說：“對手工流程的依賴使得企業(yè)很難評估所有供應商，也很難了解他們面臨的供應商風險類型。”

此外，近60%的受訪者表示，醫(yī)療衛(wèi)生機構的管理層愿意在風險評估過程中走捷徑，“如果有必要，可以為重要的經濟伙伴提供**保護”。

■ 更多依賴，更多**隱患

當一家醫(yī)院不能充分管理其供應商時，他們的網絡就會面臨相當大的風險。醫(yī)療保健系統需要在產品的有用性與它可能帶來的風險之間取得平衡，并且比其他行業(yè)更加謹慎：更大的隱私和**限制意味著與供應商共享數據，或在云中托管信息，這些都需要更嚴格的審查和監(jiān)督。

好消息是，醫(yī)院有很多方法可以在內部管理其**防止外部**威脅入侵，外部供應商也是如此認為。

“很明顯，醫(yī)療保健提供者處境艱難，” Ponemon研究所主席兼創(chuàng)始人Dr. Larry Ponemon,說。他們所依賴的供應商數量在不斷增加，同時這些供應商所帶來的威脅在頻率和嚴重程度上也在不斷升級，因此很容易看出如何管理這些風險已成為一個壓倒性的問題?！?/p>

標題：Hospitals are paying for not vetting their vendors

作者：Benjamin Harris