制药行业的网络安全挑战

关键要点

在医疗行业，资源短缺的挑战是众所周知的，常被视为安全进展缓慢的原因。从外部角度来看，制药行业在网络安全预算和整体安全态度上似乎形成鲜明对比，因为2020年该行业的全球收入超过了127万亿美元。然而，SC Media与Capgemini安全领导者在RSA会议上的对话表明，事实并非如此。

Capgemini的网络策略负责人Joe McMann解释道，制药行业的思维模式认为自己“处于前沿”，拥有强大的研究能力和巨大的创新潜力。但他指出，“在核心上，这个行业仍然是制造业。”

制药行业的核心问题

短期内，尽管技术和流程的创新建立在传统基础之上。外界对制药行业的看法往往聚焦于大量研究人员和科学家，但McMann强调，“他们仍在运营工厂和生产设施，就像许多大型组织一样。”

制药行业的大部分公司是财富500强企业，但它并没有标准化。他补充说，该行业的安全领导者不仅要关注面向消费者的制药业务，还要兼顾医疗、安全、IT和隐私等多个方面。每个元素对于推动行业进展都是至关重要的，但这“让他们的管理面临巨大压力。”

Capgemini北美的网络安全实践负责人Dave Cronin表示：“制药行业的商业模型本身就很奇怪。”对于许多企业来说，商业模型围绕研究和开发以及大量流动的部分展开，包括药物开发，目的是“希望能够获得一次重大成功。”

一旦发现了成功药品，公司将努力抢占市场、获取专利、生成收入，然后重复这个过程。Cronin继续分析，这种模型的文化面临挑战，因为公司试图促进创造力和信息共享。作为一个前沿行业，“这些实体不希望对合作设置任何限制。”

McMann认为，制药行业的现状与医院截然不同，后者的预算相对紧缩。相比之下，大多数制药公司都有专门的安全部门，由首席信息安全官领导。

制药行业的复杂环境和系统构成了其安全挑战的核心。McMann指出，该行业的管理相对“薄弱”。

在医疗行业，信息安全官CISO因可能影响到患者安全的网络威胁而彻夜难眠，还需考虑患者数据的潜在风险或合规问题，特别是遵守《健康保险流通与问责法案HIPAA》的规定。

与医疗行业相比，虽然制药公司也面临这些问题，但其信息安全官还必须保护宝贵的知识产权，并确保制造过程的安全，以避免因网络入侵造成的巨大损失。制药公司还面临着来自恶意内部人员的高风险，后者可能会窃取知识产权或硬件并带去竞争对手公司。

然而，Cronin表示，制药行业最糟糕的情况是“有人闯入工厂，混淆化学成分。”

促进制药行业网络安全的应对措施

制药行业面临的挑战并不独特，其他行业也未能遵循公众期望的许多主要安全策略。没有太多简单的解决方案，这使得网络安全在所有行业都显得困难。与其他行业一样，制药行业的公司之间也存在差异：一些公司已将安全作为优先事项，而另一些则没有。

在医疗行业，除了资源受到限制，企业还面临许多技术挑战。特别是，完全锁定每一个终端或使用多因素身份验证几乎是不可能的。

从技术角度来看，制药行业或许具有某种优势，因为其对知识产权的风险要求较高，且对即时数据访问的需求较少。

而最近几年的一个显著制药黑客事件也并非空穴来风：2020年12月，攻击者成功入侵了欧洲药品