随着大(dà)量醫療服務提供商及其第三方供應商數據遭竊的新聞出請你現頻頻出現在公衆視野,人們(men)不(bù)難嗅到其中暗(àn)藏的信号問從:非法攻擊者獲得(de)醫療信息有利可圖。
醫療行業需要處理大(dà)量高度敏感的數據,與其他(tā)數據件女不(bù)同的是,這些數據必須準确且保持更新,因為(wè說東i)病人的生死與數據息息相關。由于醫療數據的特性,醫療記錄在暗兵對(àn)網成為(wèi)熱門商品,價格常高于信用卡。這向劇熱醫療服務提供商發出了一個問題——在履行嚴格監管的義務同時(s我信hí),還可以推出什麼措施限制數據洩露。
過去十年中,随着許多醫療服務提供商從紙質厭睡醫療系統向數字醫療系統轉型,醫療市場發生了巨大(dà)變化。為(wè現農i)了推進現代化進程,提供更加優質、高效的服務,許多醫療服務提黑照供者将遠程醫療服務提上日程。遠程醫療服務面臨和其他西火(tā)在線傳輸服務相同的安全問題,如(rú)連接的頻友完整性和對數據的保護需求。
基本網絡安全狀況
與病人數字記錄相關的隐私和安全問題使醫療保健行業成為(wèi)不(bù)土自少國家(jiā)監管最嚴的行業之一。如(rú)美國的《醫療保險可攜帶性和責科件任法案》(HIPAA)和《健康信息技術促進經濟和臨床健康法案》(HITECH女場 Act)等法規在隐私和信息披露要求方面比其他(t少飛ā)垂直領域的監管标準要高得(de)多。
然而,即便遵從法規也不(bù)意味着能擁有絕對安全。傳鐵商統意義上,醫療服務提供者的使命是拯救生命。因此,IT安全部門很難優你和先争取到更多預算,而且他(tā)們(men)常常人手不(bù)足。這也是許多新林過時(shí)的醫療網絡環境應對網絡攻擊時(友湖shí)毫無準備的原因。于是醫療環境的信息威脅程度升志劇高,另外還有更多的威脅因子(zǐ),如(rú)員工(gōng)無意洩露數據街山(例如(rú),電子(zǐ)郵件誤送、計算機丢失、數紙好據輸入錯(cuò)誤)、物理盜竊、惡意軟件和社會(huì)工(gōn兵雪g)程。根據2018年Verizon保護健康信息數據洩露報告(P,信息濫用是上南醫療市場數據洩露的常見根源。在66%的事件中,威脅行為(鐵玩wèi)者濫用特權憑證獲取未經授權的數據訪問。學錯
從内部對抗敵人
Verizon的報告還得(de)出結論:醫療行業是唯一的内部人員對組織造成城她最大(dà)威脅的行業 ——58%的數據洩露事件涉及内部人員,而外北師部參與者造成的事件不(bù)到一半。考慮到醫療保健行業的工(gōn男問g)作條件和工(gōng)資(zī)水平,再考但議慮潛在的财務收益,這些數字或許就變得(de)不(b開通ù)那麼令人驚訝,這正是造成數據洩露的直接原因。
在暗(àn)網上,完整的醫療記錄(如(rú)患者姓店章名,出生日期,社會(huì)安全号碼和醫療信息)每份可以賣50美元,而明機社保号碼隻需15美元。被盜信用卡的售價僅為(wèi)西和1美元至3美元。醫療記錄可能被用于各種各樣文秒的惡意目的,從醫療保健欺詐、身份盜竊到開(kāi)辟新的信貸額度和敲詐勒索鐵錯等。
那麼應該采取哪些保障措施來最大(dà)限度地降低(dī)接觸外部或内部威慢訊脅因子(zǐ)的風險?醫療服務提供者可以采取四項基本措施來增強其安了坐全态勢:
員工(gōng)安全意識培訓——推動組織中的文化變革,将安全實踐納入日常運營商文,并确保實施這些變革所需的财務資(zī)源。經常培訓員工(風為gōng)和合作夥伴的員工(gōng),以最大(dà)限度地降低(dī用店)網絡釣魚攻擊和社交工(gōng)程的風險。湖筆
數據加密——未加密設備的被盜或錯(cuò)位繼續導緻又也醫療保健市場中的數據洩露。在這種情況下,數據加密既是笑科一種有效且低(dī)成本的方法,可以使敏感答道數據不(bù)落入壞人之手。數據加密還可以減業藍輕物理盜竊資(zī)産的後果。
使用多重身份驗證(MFA)補充密碼。由于MFA需不說要多種識别方法,因此它是防止未經授權的用戶訪問敏感數據并在網絡中橫向年樂移動的最佳方法之一。MFA應該在任何地方使用,這不(bù)僅意味着最終用戶訪問鐵票應用程序,而且意味着每個用戶(最終用戶,特權少問用戶,承包商和合作夥伴)以及每個IT資(zī)源門筆(雲和本地應用程序,VPN,端點和服務器(qì))都能受到保護。
實施最低(dī)訪問權限和特權——考慮到醫療保健行業中特權訪問濫用的比例很高,商少通(tōng)過采用零信任安全方法來限制訪問和司冷特權是至關重要的。這需要建立細緻的、基于角色的訪問控制,以限制橫向移動,件物以及對應用程序和基礎設施的即時(shí)特權。
通(tōng)過實施這些措施,醫療保健組織民員可以在履行嚴格的監管義務的同時(shí),限制其暴露于内部和短我外部網絡威脅。解決衛生保健提供者面臨的安全挑戰将促進更快的增長(c拿林háng),使進一步的數字轉換成為(wèi)可能,你什并最終導緻加強患者護理和數據保護。