医疗保健数据安全目前面临的3大威胁
2017 年遭受了互联网历史上最大的勒索软件攻击。在英国的医院中检测到 WannaCry 勒索软件。然后它在全球范围内爆发,影响了150 个国家的 200,000 多台计算机。这次攻击通过加密数据以运行微软 Windows 操作系统的计算机为目标,并要求以比特币支付赎金。这次网络攻击对全球经济造成了数十亿美元的损失。
此外,根据HIPPAJournal.com的数据,从 2009 年到 2017 年,大约有 2181 起医疗保健违规事件,每起事件至少泄露了 500 条记录。这些违规行为完全暴露了 1.76 亿条医疗记录,约占整个美国人口的一半。
这些数字表明,网络安全是医疗保健领域的一个主要问题,实施安全措施并采取措施保护数据应该是该行业的首要任务。
除了网络威胁和攻击者之外,还有其他问题会导致严重的安全漏洞。
移动设备
医疗保健领域对移动设备的采用正在增加。然而,大多数移动设备和平板电脑未能满足安全标准,这使得它们容易受到恶意软件和黑客的攻击。
Fortinet 的高级安全策略师兼研究员 Anthony Giandomenico在接受 HealthTech 采访时表示:“大多数用户不知道他们的手机与台式机和笔记本电脑一样不安全,这反过来又降低了他们在确定是否,例如,电子邮件是否合法。”
在对医疗保健、金融服务和公共部门等行业的 600 名移动专业人士进行的一项独立调查中发现,“超过三分之一的医疗保健组织 (35%) 实体表示他们因移动设备而遭受数据丢失或停机安全漏洞。”
如何保护移动设备?
- 为防止通过移动设备泄露数据,医疗保健提供者应鼓励用户在使用移动设备时采取基本的网络卫生措施。这些卫生措施包括确保应用程序是最新的、在移动设备上安装恶意软件保护以及仅连接到受信任的 Wifi 网络。
- 使用网络访问控制可以成为保护数据的智能解决方案。它可以扫描设备以查找威胁或过时的间谍软件保护,确保设备安全。
- 医疗保健组织应强制使用安全平台来交换患者信息。例如,2017 年 5 月,Mary Washington Healthcare与 1000 多名临床医生采用了 TigerConnect,用于在医疗保健专业人员和患者之间进行安全消息传递。
员工错误
两份报告清楚地表明,员工是医疗数据安全的最大威胁之一;Verizon 的 2018 年网络安全报告检查了 27 个国家/地区的 1,368 起医疗保健数据安全事件,发现 28% 的数据泄露来自内部。
与此同时,埃森哲进行的医疗数据安全调查结果显示,近五分之一的医疗保健员工愿意以微薄的价格将患者的机密数据出售给第三方。这些人在医疗保健行业找到工作的唯一目的是窃取机密数据。
如果由于员工的粗心或恶意而发生任何数据泄露,则会对医院或组织的形象产生不利影响。与外部威胁相比,这些被认为是成本和危害的两倍。
如何减轻它们?
- 在招聘过程中应进行彻底的背景调查,以避免内部威胁。
- 所有有权访问关键数据的员工都应该接受有关网络安全最佳实践以及与不请自来的活动相关的风险的教育。
- 应举办关于提高员工职业道德的研讨会。
- 实施允许高层管理人员快速识别安全威胁的解决方案。
- 此外,组织应审核员工使用的所有设备,因为审核是查看每个人使用历史的更可靠方法。
供应链
资料来源:帮助网安全
供应链对网络威胁不再陌生。由于医疗保健行业严重依赖基于云的系统、第三方服务提供商和供应链中的供应商。这些组织还意识到供应链攻击的风险。黑客可以破坏第三方商品和服务以窃取私人数据、安装恶意代码或将假冒设备带入组织。ISTR 指出此类攻击增加了200%。
研究人员强调了威胁行为者可以用来利用医院供应链的多个条目。潜在的一个是设备制造商;医院或医疗机构不知道他们使用的设备是否符合质量和安全标准,或者在制造过程中是否被篡改,因为他们缺乏对制造单位、配送中心和运输公司的了解。
由于外包供应商缺乏网络安全实践,供应链威胁也在上升。而且,网络犯罪分子会在受信任方/企业的系统中寻找后门漏洞,这些系统要么与该医疗机构相连,要么向该医疗机构提供软件或设备。
例如,2018 年 1 月,印第安纳州格林菲尔德的一家地区医院 Hancock Health 遭到SamSam 勒索软件的攻击。攻击者使用第三方供应商管理帐户的凭据访问医院的数据中心,然后要求他们获得 4 个比特币以重新获得对 1400 个文件的访问权限。
如何缓解供应链攻击?
- 医疗保健提供者应与符合医疗保健行业法规遵从性的值得信赖的合作伙伴合作。
- 应与供应商签订大量合同,并应强制执行以履行每个条款和条件。
- 员工只能访问执行任务所需的特定数据。
- 如果发生供应链攻击,请确保所有员工都接受过培训并配备了所需的工具,以最大程度地减少数据泄露的影响。
结论
在讨论医疗保健部门的数据安全时存在许多威胁,但这三个属于最脆弱的威胁。领先于这些威胁必须是每个医疗保健提供者的首要任务。值得提醒的是,如果发现这些威胁被忽视,医疗保健组织可能会损失数百万美元。
如果出现这些威胁,组织必须分配资金来应对这些威胁。因此,花费大量资金来建立坚实的基础以防止此类威胁可能比广泛的数据泄露造成的后果要便宜得多。