2026-01-22 00:20:44 网络安全文章来源：ZONE.CI 全球网 0 阅读模式

文章总结： 制药业核心风险正转向AI与供应商生态中的数据滥用及合规暴露。勒索团伙利用监管压力武器化攻击，迫使企业应对双重冲击。监管机构要求从审计转向实时安全证明与零信任治理。防御性AI擅长自动化遏制，但仍难对抗个性化钓鱼及数据投毒等攻击。 综合评分： 85 文章分类： AI安全,数据安全,政策法规,供应链安全,解决方案

cover_image

制药业：最被低估的网络【安全风险】并非数据泄露

安小圈

2026年1月21日 08:45 上海

以下文章来源于信息安全D1net ，作者Mirko Zorz

信息安全D1net .

企业网D1Net-国内精准专业的企业IT媒体。涵盖：云计算；智慧城市；数据中心；大数据；物联网；BYOD；企业移动应用；服务器；存储；虚拟化；安全；企业应用软件；UC协作；视频会议；视频监控；呼叫中心；运营商企业业务；IT咨询；渠道等。

安小圈

第840期

内容来源：信息安全D1net

引言>> Model N公司的全球信息安全官兼数据保护官Chirag Shah指出，制药与生命科学行业的网络风险正从传统数据泄露，转向更隐蔽却更危险的数据滥用与AI驱动的合规暴露。随着受监管数据在AI和供应商生态中流动，隐性控制失效、责任不清与长期数据生命周期成为高管层尚未充分认知的核心风险。勒索软件团伙正将合规压力武器化，迫使企业在极短时间内应对监管与声誉双重冲击，与此同时，监管机构与客户正要求从“通过审计”转向实时安全证明，推动零信任与持续治理成为新常态。AI虽能提升防御效率，但仍难以应对数据投毒与高度社交化的攻击。

Model N公司的全球信息安全官兼数据保护官(DPO)Chirag Shah探讨了制药与生命科学领域的网络风险正如何从传统数据泄露，转向数据滥用、AI驱动的风险暴露以及监管压力。他解释了为何企业高管仍低估隐性控制失效的危害，勒索软件团伙如何将合规风险武器化，以及随着网络安全与合规性持续融合，为何安全证明将日益需要实时治理，而非仅依赖审计。

到2026年，您认为制药与生命科学公司仍在结构上低估哪类网络风险？为何该风险尚未在企业高管层面得到重视？

生命科学领域领导者正确聚焦于数据泄露的监测与预防，但增长最快的风险是数据滥用——这类滥用行为往往不会触发警报。随着AI应用的加速和供应商关系的深化，受监管数据正以多数企业尚未完全掌握的方式被访问、转移和重新利用。

我认为，合规计划是为应对不同类型的威胁而构建的。通过审计并不意味着临床数据不会存放在供应商系统中，且相关权限从未得到验证。一旦监管机构更加重视数据治理，生命科学公司及其合作伙伴将需要证明对敏感数据的使用和共享方式具备控制力，而不仅仅是对存储方式的控制。

企业高管知道如何应对服务中断和数据泄露，但未必能应对隐性控制失效。通过AI系统或供应商环境进行的数据滥用，在问题出现前往往看似正常运营，而当企业无法回答相关问题时，问题才会浮出水面。当AI模型从受监管数据中学习时，将引发严重的责任归属问题。如果模型训练所使用的信息本应保留在源头，那么风险由谁承担？生命科学制造商还面临额外风险，因为数据生命周期长，且涉及多方接触。临床试验数据会持续数十年，在整个产品生命周期中流转于各种系统和实体之间。

勒索软件团伙正转向数据勒索和利用监管手段施压，在高度监管的制药环境中，两年后“最糟糕”的勒索场景会是怎样的？

攻击者将试图窃取受监管数据，如临床记录、定价模型、收入管理数据和患者关联信息。他们将利用监管风险作为主要施压手段，向目标公司勒索钱财。强制披露时间限制和执法行动的威胁会制造紧迫感，且没有明确、即时的解决方案。随着更多敏感数据通过供应商和AI系统流动，企业面临数据实际存储位置与压力下所能掌控位置之间的差距。时间紧迫，不容拖延，攻击者会在几天内私下提供数据被盗的证据。

很快，合作伙伴、试验赞助方或支付方就需要得到通知。AI可能会使情况更加复杂，因为攻击者甚至无需公布被盗数据，他们只需证明已利用这些数据训练了模型，这就会引发对数据完整性或其他知识产权的更严重担忧。

您如何看待网络安全事件与合规违规行为的交叉演变？监管机构是否会越来越多地将网络故障默认视为合规失败？

监管机构对纸面上的控制措施的兴趣日益降低，而更加关注这些控制措施是否真正有效。网络事件将不再被孤立看待，或被视为异常情况，它们将被视为治理、监督和责任追究失误的指标。

我们正朝着一种模式发展，即除非企业能够证明控制措施有效，否则监管机构将假定其失效。尽职调查的证据必须在问题出现之前就存在，而不能在事后拼凑。负担正从年度审计期间证明合规性，转变为实时证明网络弹性。

您预计客户是否会要求供应商提供比认证和审计更强的安全保证？2026年，“安全证明”可能是什么样的？

随着客户不再满足于认证和审计，转而要求供应商提供实时安全保证，行业将经历一场变革。随着新兴网络威胁加剧了与供应商系统相关的风险，企业将越来越多地将供应链风险视为一项核心安全职能，而非合规性勾选项。

随着公司摒弃隐式信任模型，零信任已成为安全证明的新行业标准，这一转变将体现在使用短期凭证、严格的身份控制以及对跨租户API流量的强化监督，以确保进行适当的验证。客户将对供应商提出更高的安全要求，因此，我预计软件物料清单的采用率将上升，频繁进行完整性审计，以及对报告安全事件提出更严格的要求。

安全团队正在利用AI进行检测和响应，攻击者亦是如此。到2026年，您预计防御性AI将在哪些方面显著优于对抗性AI，又在哪些方面仍存在不足？

在自动化遏制和实时策略调整执行方面，AI正日益超越威胁。随着速度成为成功的关键因素，这些自主系统对于收紧报告协议和满足董事会级监督的严格要求至关重要，然而，在应对个性化钓鱼攻击和由智能系统驱动的自主侦察方面，防御性AI往往力不从心。这些工具使攻击者能够比传统检测方法更准确、更隐蔽地绘制环境图。

除了这些威胁外，公司仍易受到数据投毒攻击，攻击者通过篡改训练数据来操纵决策，且往往无需涉及数据泄露，最令人担忧的网络攻击是那些将自动化与对人类行为的深入了解相结合的攻击。

end

【以上内容来源自：企业网D1net】

**聊一聊网络安全公司的内部争斗

国家出手！网络安全产业低价中标乱象能否终结？
网络安全行业还会好起来吗?**

*** *《网络安全法》完成修改，自2026年1月1日起施行*

网络安全法修改了哪些内容？（附详细对照表）

全球三大网络安全巨头同时被黑

网安：亏损 TOP 10
中国联通DNS故障敲响警钟：DNS安全刻不容缓
全球超120万个医疗系统公网暴露：患者数据或遭窃取中国亦受影响
个人信息保护负责人信息报送系统填报说明（第一版）全文
高度警惕：不明黑客组织攻击中国国防、能源、航空、医疗、网安等重点行业

攻防演练在即：如何开展网络安全应急响应

【攻防演练】中钓鱼全流程梳理

[一文详解]网络安全【攻防演练】中的防御规划与实施

攻防必备 | 10款国产“两高一弱”专项解决方案

【干货】2024 攻防演练 · 期间 | 需关注的高危漏洞清单

攻防演练在即，10个物理安全问题不容忽视

红队视角！2024 | 国家级攻防演练100+必修高危漏洞合集(可下载)

【攻防演练】中钓鱼全流程梳理

攻防演练在即：如何开展网络安全应急响应

【零信任】落地的理想应用场景：攻防演练

网安同行们，你们焦虑了吗？

# 网安公司最后那点体面，还剩下多少？

突发！数万台 Windows 蓝屏。。。。广联达。。。惹的祸。。。

# 权威解答 | 国家网信办就：【数据出境】安全管理相关问题进行答复

# 全国首位！上海通过数据出境安全评估91个，合同备案443个

# 沈传宁：落实《网络数据安全管理条例》，提升全员数据安全意识

频繁跳槽，只为投毒

【2025】常见的网络安全服务大全（汇总详解）

AI 安全 |《人工智能安全标准体系(V1.0)》(征求意见稿)，附下载

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：安小圈《制药业：最被低估的网络【安全风险】并非数据泄露》