首頁 資訊 如何對制藥供應鏈進行網絡安全審計

如何對制藥供應鏈進行網絡安全審計

來源:泰然健康網 時間:2025年04月13日 19:59

制藥公司、批發(fā)分銷商和藥店在COVID-19疫情期間加強了努力,以維護供應鏈的完整性。他們非常重視質量,因為風險非常高。雖然在如此艱難的時期付出如此多的努力值得稱贊,但他們還不能放松。

隨著世界試圖恢復正常,現(xiàn)場審計再次成為標準。大多數(shù)公司并沒有放松其質量和保密標準。然而,這種誘惑依然存在。由于網絡攻擊日益增多,盡職調查比以往任何時候都更加重要。制藥專業(yè)人士應該如何審計他們的供應鏈?

制藥供應鏈中的常見網絡威脅

制藥行業(yè)容易受到供應鏈網絡攻擊,因為它包含大量數(shù)據(jù)。受保護的健康信息(PHI)每條記錄可賣到185美元,而普通個人身份信息平均售價為164美元。即使是看似有價值的信用卡號碼和聯(lián)系信息,也很少達到兩位數(shù)的價值。

此外,由于供應鏈的高度互聯(lián)性,意外停機的風險更為嚴重,這有利于惡意軟件的傳播。例如,在2020年著名的SolarWinds攻擊中,一個單一的威脅組織通過攻擊一個共享軟件供應商,成功入侵了多達18,000家企業(yè)。

供應鏈有許多活動部件,缺乏全面的可見性。威脅行為者可以輕松地不被發(fā)現(xiàn)地滲透進來。如果他們選擇的戰(zhàn)略目標得當,可以造成廣泛的損害。在冷鏈中的藥品如果不滿足攻擊者的要求,可能會過期或變質。

這種短缺已經是一個問題,因此專業(yè)人士可能幾乎沒有討價還價的余地。據(jù)助理部長辦公室規(guī)劃和評估辦公室報告,2023年秋季,藥物短缺影響了約18%的人口,即3880萬人。近50%受影響的人停止或延遲使用處方藥或非處方藥。

即使藥店為網絡威脅做好了準備,他們的供應商、服務提供商、業(yè)務伙伴和分包商可能沒有。此外,許多仍然使用已知漏洞或不兼容的舊系統(tǒng),使得最新的安全措施無效。

針對制藥行業(yè)的網絡攻擊通常導致意外停機、數(shù)據(jù)丟失和法律后果。不僅企業(yè)受到影響,據(jù)一項調查顯示,57%的醫(yī)療機構經歷了較差的患者結果。更高的再入院率、治療延遲和死亡率增加是常見的問題。

供應鏈網絡安全審計的主要階段

制藥專業(yè)人士應遵循主要的網絡安全審計階段,以確保其供應鏈保持韌性。

1. 確定審計范圍

對制藥供應鏈中的每個員工和托盤進行全面審計是理想的選擇,但在物流上是不切實際的。決策者應通過列出相關的硬件、網絡基礎設施和信息資產來縮小范圍。

2. 分配分類風險級別

網絡犯罪分子會首先攻擊哪些資產?哪個第三方最易受到外部網絡威脅?為了理解和優(yōu)先處理事件響應流程,領導者必須為所有供應商和每個技術組件分配風險級別。

3. 指派信譽良好的審計員

內部威脅往往是管理層最意想不到的人。無論公司是從內部還是從第三方服務提供商那里尋找審計員,都必須核實該人的資質以保持誠信。

4. 評估防御有效性

制藥專業(yè)人士可以通過多種方式確定其供應鏈安全措施的有效性。滲透測試模擬網絡攻擊或漏洞,以識別網絡、硬件和軟件防御中的漏洞。

紫色團隊演習與此類似,但涉及將模擬網絡攻擊者與內部信息技術專業(yè)人員對立起來。這種方法揭示了員工培訓和事件響應程序的有效性。

5. 審查并采取行動

測試的意義何在,如果負責人不給出評分?采取行動與進行審計同樣重要。決策者必須確定如何改變或升級系統(tǒng)和團隊以解決安全漏洞。

進行供應鏈網絡安全審計的建議

領導者不應假設網絡攻擊和漏洞的可能性較低,因為他們信任供應商。即使是被認為低風險的供應商,也容易受到內部威脅和漏洞利用的影響,因為網絡犯罪分子不斷進化。適當延長審計間隔是可以的,但調查和測試不應減少。

現(xiàn)場測試很重要,因為物理防御與網絡和數(shù)據(jù)安全緊密相關。不幸的是,現(xiàn)場審計往往不切實際。白宮報告稱,2021年87%的通用高級制藥原料設施位于海外。盡管自2010年以來離岸外包為醫(yī)療保健行業(yè)節(jié)省了數(shù)萬億美元,但它對可見性產生了不利影響。

如果決策者無法派遣審計員親自訪問關鍵供應鏈點,他們必須適應。他們應該借鑒COVID-19疫情期間的最佳實踐,當時大多數(shù)制藥公司和藥店被迫遠程審計。

這些評估的頻率通常是定期的,但某些事件需要額外審查。例如,合并和收購結合了資源、團隊和供應商,雙方應驗證對方的完整性。地緣政治事件和數(shù)據(jù)泄露也可能需要突然的審計。

制藥專業(yè)人士必須考慮的最后一項是避免供應商鎖定。盡管管理多個第三方可能很復雜,但替代方案更具有挑戰(zhàn)性。不得不繼續(xù)與不符合要求的供應商合作并補償其不足,既耗時又昂貴。

制藥專業(yè)人士必須保持警惕

藥物短缺和醫(yī)療保健網絡攻擊使制藥供應鏈成為威脅行為者的寶貴目標。盡管專業(yè)人士在疫情期間為維護完整性和安全性做出了巨大努力,但他們必須保持警惕,以保護其業(yè)務聲譽和患者安全。


(全文結束)

相關知識

如何優(yōu)化供應鏈中的健康與安全管理
第三方餐飲供應鏈「博菜網絡科技(上海)供應」
武漢食品供應鏈「博菜網絡科技(上海)供應」
erp供應鏈指哪些行業(yè)類別 ERP供應鏈管理涵蓋哪些核心行業(yè)
餐飲供應鏈食品安全教育.docx
醫(yī)療保健中的供應鏈安全:在不可避免的威脅中生存
保健品行業(yè)的供應鏈管理
智能供應鏈如何成為醫(yī)藥健康企業(yè)的“護城河”!
餐飲供應鏈服務「博菜網絡科技(上海)供應」
一文全面搞懂供應鏈管理(SCM)系統(tǒng)

網址: 如何對制藥供應鏈進行網絡安全審計 http://m.u1s5d6.cn/newsview1130925.html

推薦資訊