埃森哲：18%医疗保健员工愿意出售机密数据给未授权方 获利不到1000美元

根据埃森哲的一项新调查，将近五分之一的医疗保健员工(18%)表示他们愿意将机密数据出售给未授权方。

这项针对美国和加拿大供应商和支付机构912名员工的调查发现，有18%的受访者愿意将机密数据出售给未经授权方，而获利只有500美元至1,000美元。 此外，供应商组织的受访者比支付机构的受访者更可能会出售机密数据(21%比12%)。 这包括销售登录凭证，安装跟踪软件和将数据下载到便携式驱动器等操作。

调查还发现，健康员工出售机密数据的意愿不仅仅是假设性的：大约四分之一(24%)的受访者表示他们知道其组织中的某个人出售其机密数据，或接触未经授权的外部人员。 这些行动助长了网络犯罪带来的巨大影响，2017年，卫生机构平均在每个用户身上花费了1250万美元。

“卫生组织正处于一场网络战争的阵痛中，他们自己的工作人员正在受到影响。”在北美的埃森哲健康与公共服务安全实践部门负责人John Schoew说，“对于数以百万计的卫生工作者来说，敏感数据是工作的一部分，组织必须培养一种网络文化，解决这些根深蒂固的问题，让员工成为斗争的一部分，而不是薄弱环节。”

虽然几乎所有(99%)的受访者表示他们对数据的安全性负有责任，但他们的行为表明，组织不能仅仅依靠员工来保护数据，21%的人表示他们将输入用户名和密码的记录就放在电脑旁边。具有讽刺意味的是，几乎所有(97%)的受访者都表示，他们理解组织对数据安全和隐私的解释。

此外，虽然近10名受访者中有9名(88%)表示他们的组织会提供安全培训，这类培训主要是强制性的，但调查结果显示，培训并未起绝对的作用。在接受安全培训的人中，17%表示他们仍然写下用户名和密码，19%表示愿意出售机密数据。令人惊讶的是，那些经常接受培训的人数量增加：接受季度培训的员工中，24%表示他们写下用户名和密码，28%表示愿意出售机密数据。这表明重要的是培训的质量，而不是频率或数量。

Schoew说：“员工在医疗行业与网络犯罪分子的战斗中扮演着关键角色。” “随着支付机构和供应商投资数字化改变生产力，削减成本和提高质量，他们需要多管齐下的数据安全方法，包括一致和相关的培训，多种安全技术以保护数据和持续监控异常行为。”

方法

为了更好地了解医疗组织员工对网络安全实践的态度和行为，埃森哲调查了来自美国和加拿大的912名健康服务提供者(601)和支付者机构(311)的合格员工。 所有受访者都可以访问数字健康数据，包括个人身份信息，支付卡信息和受保护的健康数据。 在线调查于2017年11月进行。