醫(yī)療健康和網(wǎng)絡(luò)安全
報(bào)告的醫(yī)療健康違規(guī)事件數(shù)量很大,即使只是一次泄露一個(gè)人的機(jī)密醫(yī)療記錄也可以合理地被認(rèn)為是令人擔(dān)憂的。2019 年,有 4120 萬(wàn)條醫(yī)療健康記錄被暴露,涉及跨行業(yè)和地區(qū)的 505 起數(shù)據(jù)泄露事件。根據(jù) IBM 的一份報(bào)告,每次泄露的成本接近 650 萬(wàn)美元,是平均非醫(yī)療健康數(shù)據(jù)泄露的兩倍多。當(dāng)具體到美國(guó)時(shí),這個(gè)統(tǒng)計(jì)數(shù)據(jù)翻了一番。
更重要的是,根據(jù)美國(guó)衛(wèi)生與公眾服務(wù)部民權(quán)辦公室的數(shù)據(jù),2019年總體違規(guī)行為增加了36%,從2018年的371起增加到505起。
這是一個(gè)不會(huì)消失的問(wèn)題,并且越來(lái)越受到希望保護(hù)其基礎(chǔ)設(shè)施和保護(hù)患者數(shù)據(jù)的醫(yī)療健康組織的更多關(guān)注。當(dāng)然,還要讓所有相關(guān)人員高枕無(wú)憂。
HIPAA和網(wǎng)絡(luò)安全
HIPAA 是美國(guó)國(guó)會(huì)于 1996 年通過(guò)的《健康保險(xiǎn)流通與責(zé)任法案》。它被簽署成為法律,作為一項(xiàng)措施,旨在為員工在工作之間“提高健康保險(xiǎn)范圍的可移植性和問(wèn)責(zé)制”。但在網(wǎng)絡(luò)安全領(lǐng)域,它因其安全政策和衡量安全性的標(biāo)準(zhǔn)而得到廣泛認(rèn)可。遵守 HIPAA 及其醫(yī)療健康網(wǎng)絡(luò)安全法規(guī)是許多組織的首要任務(wù)。
除其他行動(dòng)外,該法律 - 自首次通過(guò)以來(lái)已多次修訂 - 減少了醫(yī)療健康欺詐,并使醫(yī)療健康提供者和保險(xiǎn)公司有責(zé)任保護(hù)患者的健康信息,在行業(yè)中稱為PHI,或受保護(hù)的健康信息。
在推出后,無(wú)論是通過(guò)明確規(guī)定的政策還是激勵(lì)措施,該法律都標(biāo)志著向電子賬單和其他數(shù)字流程的過(guò)渡。它進(jìn)一步發(fā)展了更大的政策,即所開(kāi)展的企業(yè)只能將必要的健康信息用于商業(yè)目的,而那些處理PHI的人,無(wú)論是物理的還是電子的,都必須證明有能力控制對(duì)它的訪問(wèn)并為其提供保護(hù)。
當(dāng)然,這對(duì)網(wǎng)絡(luò)安全和醫(yī)療健康有著巨大的影響,因?yàn)楸Wo(hù)患者信息免受現(xiàn)代黑客攻擊和詐騙變得至關(guān)重要。在某些情況下,負(fù)責(zé)管理這些信息的人可能會(huì)面臨衛(wèi)生和公共服務(wù)部民權(quán)辦公室的刑事指控。
醫(yī)療健康網(wǎng)絡(luò)安全問(wèn)題
醫(yī)療健康領(lǐng)域的網(wǎng)絡(luò)安全存在許多問(wèn)題。其中最主要的 - 特別是當(dāng)它與網(wǎng)絡(luò)安全 - HIPAA動(dòng)態(tài)有關(guān)時(shí) - 如下:
• 勒索軟件。犯罪分子可能會(huì)使用勒索軟件或惡意軟件來(lái)關(guān)閉設(shè)備、服務(wù)器和網(wǎng)絡(luò)。勒索軟件是一種旨在阻止對(duì)文件的訪問(wèn)的軟件,直到支付一筆款項(xiàng);它通常通過(guò)網(wǎng)絡(luò)釣魚(yú)電子郵件或訪問(wèn)帶有搭車下載的網(wǎng)站進(jìn)行傳播。這更廣泛地稱為惡意軟件或“間諜軟件”。最終任務(wù)是提取數(shù)據(jù)以獲得對(duì)組織(如醫(yī)院、保險(xiǎn)公司或其任何業(yè)務(wù)伙伴)的杠桿作用。
• 數(shù)據(jù)泄露。根據(jù)Ponemon Institute和Verizon數(shù)據(jù)泄露調(diào)查報(bào)告,醫(yī)療健康行業(yè)收到的數(shù)據(jù)泄露事件比其他任何行業(yè)都多。很簡(jiǎn)單,因?yàn)?PHI 以高價(jià)出售。這些違規(guī)行為可能針對(duì)筆記本電腦或?qū)iT查找憑據(jù)。但值得注意的是,這并不總是通過(guò)惡意軟件或網(wǎng)絡(luò)釣魚(yú)——它也可能是泄露信息的員工。根據(jù) HIPAA 法律,必須報(bào)告超過(guò) 500 條記錄的違規(guī)行為。
• 加密效率低下。盲點(diǎn)和人為錯(cuò)誤有時(shí)會(huì)導(dǎo)致加密 - 盡管強(qiáng)烈推薦 - 仍然會(huì)導(dǎo)致違規(guī)。這可能是因?yàn)楹诳椭皇菍⒆銐虻馁Y源投入到泄露文件的項(xiàng)目上,或者因?yàn)閿?shù)據(jù)在解密或正在制作加密密鑰時(shí)被盜。存儲(chǔ)在云中的文件中也可能存在漏洞,這些文件可能具有不同程度的加密。
• 醫(yī)療設(shè)備黑客。一個(gè)越來(lái)越令人擔(dān)憂的領(lǐng)域是支持軟件的醫(yī)療設(shè)備(如心臟起搏器)可能容易受到黑客攻擊。這些黑客很難被發(fā)現(xiàn)。雖然沒(méi)有已知的醫(yī)療設(shè)備黑客攻擊,但美國(guó)食品和藥物管理局(FDA)已經(jīng)在常用操作系統(tǒng)中發(fā)現(xiàn)了11個(gè)網(wǎng)絡(luò)安全漏洞。
醫(yī)療健康網(wǎng)絡(luò)安全趨勢(shì)表明,數(shù)據(jù)泄露的方法一直在變化,但消除惡意軟件肯定仍然是優(yōu)先事項(xiàng)。畢竟,只需單擊鏈接到誤導(dǎo)性網(wǎng)址的電子郵件(例如,將“.com”換成“.gov”以使地址看起來(lái)更可信),大量數(shù)據(jù)就會(huì)受到損害。
醫(yī)療健康網(wǎng)絡(luò)安全解決方案
幸運(yùn)的是,醫(yī)療健康網(wǎng)絡(luò)安全問(wèn)題并非沒(méi)有解決方案。雖然技術(shù)可用于泄露記錄,但它也可用于通過(guò)關(guān)注一些簡(jiǎn)單但有效的做法來(lái)保護(hù)敏感信息。
• 面向員工的醫(yī)療健康網(wǎng)絡(luò)安全最佳實(shí)踐。為組織開(kāi)發(fā)安全系統(tǒng)的一部分只是培養(yǎng)最佳實(shí)踐的員工文化。應(yīng)培訓(xùn)員工識(shí)別可疑電子郵件并根據(jù)需要更新軟件。一般來(lái)說(shuō),他們應(yīng)該了解他們共同承擔(dān)的責(zé)任以及與錯(cuò)誤處理患者數(shù)據(jù)相關(guān)的風(fēng)險(xiǎn)。醫(yī)療健康網(wǎng)絡(luò)安全最佳實(shí)踐始于強(qiáng)大、團(tuán)結(jié)的員工隊(duì)伍。
• 雇用網(wǎng)絡(luò)安全專業(yè)人員。最簡(jiǎn)單的步驟是雇用負(fù)責(zé)保護(hù)健康信息的人員。而且,更重要的是,將雇用他們作為優(yōu)先事項(xiàng)。授權(quán)他們監(jiān)督安全系統(tǒng)的體系結(jié)構(gòu),并在必要時(shí)管理其使用。這些是經(jīng)驗(yàn)豐富的專業(yè)人員,他們負(fù)責(zé)加密過(guò)程并確保員工以安全的方式充分履行職責(zé)。
• 密碼。眾所周知,弱密碼是網(wǎng)絡(luò)犯罪分子訪問(wèn)敏感信息的一種非常簡(jiǎn)單的方法。密碼應(yīng)該很強(qiáng),定期更改,理想情況下,需要兩步身份驗(yàn)證。
• 安裝限制。未經(jīng)組織同意,員工不應(yīng)訪問(wèn)軟件下載。
• 物理訪問(wèn)。HIPAA 要求物理存儲(chǔ)的數(shù)據(jù)也受到保護(hù)。簡(jiǎn)而言之,任何具有私人信息的設(shè)備或文件夾都應(yīng)小心地存儲(chǔ)在鎖定區(qū)域中。