5大醫(yī)療保健數(shù)據(jù)安全挑戰(zhàn)和數(shù)據(jù)保護技巧
負責保障醫(yī)療數(shù)據(jù)安全的人不能想當然地認為這些數(shù)據(jù)永遠不會被泄露。最好的假設是信息始終處于危險之中。
積極主動對于減少醫(yī)療保健數(shù)據(jù)被泄露的可能性至關重要,特別是考慮到這些信息對黑客的價值。
更不用說它有多豐富了。許多醫(yī)院數(shù)據(jù)庫保存著數(shù)萬甚至數(shù)百萬患者的記錄??捎玫挠袃r值信息的數(shù)量使黑客想要將目標鎖定在醫(yī)院、門診中心和類似站點。
網(wǎng)絡罪犯分子可以非法獲取包含患者私人信息的記錄,包括其疾病、付款詳情等,并以高額贖金勒索所有這些信息。
考慮到這種危險,本文將探討醫(yī)療保健行業(yè)中一些最大的數(shù)據(jù)保護挑戰(zhàn),以及醫(yī)院和其他組織如何最大程度地減少其不利影響。
5大醫(yī)療保健數(shù)據(jù)安全挑戰(zhàn)
1、勒索軟件
當黑客鎖定數(shù)據(jù)或系統(tǒng)并要求受影響方支付贖金以恢復信息時,就會發(fā)生勒索軟件攻擊。這越來越普遍且致命,預計到2023年損失將超過300億美元。
更糟糕的是,付出代價并不總能得到受害者想要的結果。
卡巴斯基2021年的一項研究表明,超過56%的受訪者支付了贖金。然而,17%的人在這樣做之后并沒有贖回其數(shù)據(jù)。此外,許多人在完全恢復其合法訪問權方面遇到了困難。例如,盡管32%的人盡了最大的努力,還是丟失了一些數(shù)據(jù)。
只有29%的遭受勒索軟件攻擊的人表示可以再次訪問其所有數(shù)據(jù)。
2、數(shù)據(jù)處理不當
醫(yī)療機構是繁忙的地方,許多工人在處理許多任務時承受著巨大的壓力。這些綜合挑戰(zhàn)意味著其并不總是能正確處理數(shù)據(jù),這可以說是為黑客敞開了大門。
COVID-19大流行使醫(yī)護人員承受額外壓力,最終可能危及安全。
Verizon在2022年發(fā)布的一份關于醫(yī)療保健違規(guī)的報告發(fā)現(xiàn),員工犯下?lián)p害數(shù)據(jù)的錯誤的可能性是惡意濫用其訪問權限的2.5倍以上。排名前兩位的錯誤是丟失數(shù)據(jù)或?qū)?shù)據(jù)錯誤發(fā)送。
3、用于某些健康研究的數(shù)據(jù)的不確定性
醫(yī)療保健數(shù)據(jù)一直是醫(yī)學研究進展中不可或缺的一部分。研究人員從患者那里獲得的信息有助于了解潛在的新療法、了解特定癥狀如何成為疾病的征兆等等。
然而,謹慎和合乎道德地處理信息是至關重要的。問題在于,當前的數(shù)據(jù)處理實踐通常沒有考慮到人工智能(AI)。換句話說,數(shù)據(jù)可能不在人類網(wǎng)絡瀏覽器的視野范圍內(nèi),但對人工智能爬蟲完全開放,然后人工智能爬蟲可以將其傳遞出去。
與此相關的是,存在一個所謂的黑盒問題,通常無法回溯并查看人工智能算法如何得出某些結論。
4、第三方醫(yī)療企業(yè)問題
醫(yī)療保健組織圍繞數(shù)據(jù)制定了不同的政策和策略,其中一些可能會帶來麻煩。想想聯(lián)邦貿(mào)易委員會如何對處方藥比較服務GoodRX處以150萬美元的民事罰款,因為其在未經(jīng)披露或用戶許可的情況下向Google、Facebook和其他企業(yè)提供了消費者健康數(shù)據(jù)。
在另一個例子中,心理健康遠程醫(yī)療Cerebral承認了一項數(shù)據(jù)泄露事件,即向第三方泄露了受保護的健康信息。據(jù)報道,該問題影響了超過300萬患者。
5、互聯(lián)網(wǎng)衛(wèi)生和數(shù)據(jù)安全措施不佳
許多處理醫(yī)療保健數(shù)據(jù)的人沒有遵循確保數(shù)據(jù)安全的最佳做法。這個問題尤其涉及眾多行業(yè)。一項研究表明,63%的人重復使用工作設備和賬戶的密碼。這些重復使用的密碼使黑客可以訪問更多站點。
一位醫(yī)療保健系統(tǒng)高管的工作筆記本電腦被盜,內(nèi)含40,000多份醫(yī)療記錄,且設備的信息未加密。受影響的醫(yī)療保健系統(tǒng)的各方花費了20多萬美元來處理事件的善后工作,并改善政策,以減少類似事件發(fā)生的可能性。
如何保護醫(yī)療保健數(shù)據(jù)
沒有一種方法能保證數(shù)據(jù)的安全。但這里有一些值得考慮的最佳實踐,包括備份數(shù)據(jù)、制定明確的指導方針,以及為員工提供培訓和鼓勵以負責任的方式處理私人數(shù)據(jù)。
1、保持數(shù)據(jù)備份
2022年一項針對全球醫(yī)療保健組織的研究表明,57%的受訪者在過去三年中遭受過勒索軟件攻擊。
四分之一的受訪者承認這些問題導致運營中斷,而60%的受訪者表示影響了一些業(yè)務流程。此外,56%的受訪者表示需要數(shù)天時間才能恢復運營,而24%的受訪者表示需要數(shù)周時間。
擁有最新的數(shù)據(jù)備份可以最大限度地縮短勒索軟件恢復的時間,因為其降低了與網(wǎng)絡犯罪分子接觸以恢復數(shù)據(jù)的緊迫性。
但這并不能解決所有問題。IT團隊仍必須確定黑客是如何造成破壞并解決問題,防止任何敏感數(shù)據(jù)被濫用或泄露給公眾,并與執(zhí)法部門合作抓捕應對攻擊負責的罪犯。
2、考慮獨立認證
許多醫(yī)療保健機構都經(jīng)過獨立的認證程序,以了解其是否符合行業(yè)標準。這可以改善運營并提高聲譽。
證據(jù)還表明,當保險公司考慮提供什么樣的套餐和費率時,認證可以提高信心。
數(shù)據(jù)處理措施和整體網(wǎng)絡安全只是與認證相關的一些方面。其將幫助組織整體上更順暢、更高效地運行,從而減少漏掉重要問題的可能性。
3、為研究中使用的健康數(shù)據(jù)制定明確的準則
幾十年來,健康數(shù)據(jù)一直是研究的重要組成部分。然而,人們現(xiàn)在使用其方式有所不同,包括在大數(shù)據(jù)平臺和人工智能項目中工作。
對于醫(yī)療保健管理人員、IT團隊和研究人員來說,現(xiàn)在是解決研究中處理數(shù)據(jù)的具體問題的絕佳時機,特別是因為這項工作通常涉及多個組織之間的協(xié)作。
4、評估第三方醫(yī)療企業(yè)的隱私政策
IT團隊應該創(chuàng)建和分發(fā)文檔,強調(diào)患者數(shù)據(jù)不一定要留在醫(yī)療保健組織內(nèi)部。
例如,醫(yī)院可能會使用第三方服務進行預約設置或計費。高層們應該徹底審查其所有的外部供應商,并小心其將重要的組織數(shù)據(jù)委托出去。
同時,所有患者在使用任何第三方醫(yī)療服務前都應仔細閱讀其隱私政策。還應該設置強而獨特的密碼,并且永遠不要通過公共Wi-Fi訪問健康數(shù)據(jù)。
5、為員工提供持續(xù)的網(wǎng)絡安全培訓
當數(shù)據(jù)安全成為文化的一部分時,人們將更應該了解其行為如何影響組織中的其他人。所有以任何身份處理數(shù)據(jù)的工作人員都應接受定期、持續(xù)的網(wǎng)絡安全培訓。
員工還必須學會報告網(wǎng)絡安全漏洞或在網(wǎng)絡上注意到的異?;顒?,無論是否自己造成的。
所有醫(yī)療保健組織都應使用的4種安全工具
強大的技術堆棧為組織提供了必要的工具來防止攻擊。以下是一些最常推薦的類型。
1、防火墻
防火墻允許組織的IT團隊設置特定參數(shù)來過濾網(wǎng)絡的持續(xù)和傳入流量。防火墻是醫(yī)療機構專用網(wǎng)絡和公共互聯(lián)網(wǎng)之間的主要屏障。
2、入侵防御系統(tǒng)
入侵防御系統(tǒng)(IPS)是專門的硬件或軟件工具,可以持續(xù)監(jiān)控網(wǎng)絡流量是否存在異?;顒?,并在遇到異?;顒訒r采取措施。其可能會阻止流量或提醒相關方。
3、網(wǎng)絡訪問控制
網(wǎng)絡訪問控制(NAC)基于某些組合憑證和特征允許或拒絕人們使用網(wǎng)絡。例如,IT管理員可以指定,如果有人試圖從不尋常的位置登錄,則不能訪問系統(tǒng)——即使有適當?shù)膽{據(jù)。
4、端點安全
端點安全包括阻止黑客將面向用戶的設備變成接入點的工具和措施。這可能意味著運行防病毒軟件并確保員工使用更新的操作系統(tǒng)。
醫(yī)療保健數(shù)據(jù)安全標準
在醫(yī)療保健領域工作和處理數(shù)據(jù)的人員必須遵循多項與安全相關的標準,包括HIPAA、GDPR、HITRUST CSF和ISO/IEC 27001。
重要的是,不僅這些標準要到位,且員工要精通其應用。任何被發(fā)現(xiàn)是由組織疏忽造成的違規(guī)行為都可能導致罰款和訴訟等進一步損害。
1、HIPAA
1996年的《健康保險流通與責任法案》(HIPAA)是一部聯(lián)邦法律,與保護患者醫(yī)療記錄免遭未經(jīng)授權披露的標準有關。HIPAA隱私規(guī)則適用于所有被視為涵蓋實體的組織和個人,包括醫(yī)療保健提供者、醫(yī)療保險公司及其任何業(yè)務伙伴。
2、GDPR
通用數(shù)據(jù)保護條例(GDPR)是適用于歐盟居民數(shù)據(jù)處理實踐的隱私法。雖然從技術上講,其只適用于專門針對這些人的組織,但最好的做法是在任何可能在歐盟開展業(yè)務的組織中實施,以確保法律的安全。
GDPR規(guī)范了數(shù)據(jù)的收集、處理和使用。健康信息由于其敏感性而受到特別嚴格的GDPR保護。
3、HITRUST CSF
健康信息信任聯(lián)盟(HITRUST)通用安全框架(CSF)提供可認證的參數(shù),以幫助醫(yī)療保健提供者展示其安全性和合規(guī)性實踐。
HITRUST為HIPAA涵蓋的實體、云提供商和其他人提供了一個基準測試系統(tǒng),以驗證是否符合監(jiān)管標準。
CSF有19個與網(wǎng)絡安全相關的領域的細節(jié)。組織可以進行自我評估或獲得CSF驗證或認證。
4、ISO/IEC 27001和ISO 27799:2016
這些來自國際標準化組織(ISO)和國際電工委員會(IEC)的標準為處理某些類型的敏感信息提供了詳細的控制。
ISO/IEC 27001涉及信息安全管理系統(tǒng)。遵守該標準的組織已經(jīng)開發(fā)了風險管理系統(tǒng)來保護相關數(shù)據(jù)并專注于持續(xù)改進。
ISO 27799:2016是專門針對健康信息學的標準。其適用于數(shù)字文檔、手寫筆記、醫(yī)學圖像和錄音。其還涉及人們?nèi)绾蝹鬏敽徒邮沾诵畔ⅰ?/p>
5、美國國家標準技術研究院(NIST)框架
NIST框架最初僅適用于聯(lián)邦實體和承包商,因此不適用于私人醫(yī)療機構。現(xiàn)在,非政府組織(包括醫(yī)療保健領域的組織)的關注點和自愿性范圍更廣。
作為安全政策的可選補充,其旨在幫助企業(yè)更好地了解、管理和降低其網(wǎng)絡安全風險并保護其網(wǎng)絡和數(shù)據(jù)。
6、支付卡行業(yè)數(shù)據(jù)安全標準(PCI DSS)
所有接受商品或服務付款的醫(yī)療保健組織都必須遵守PCI DSS。其涵蓋處理、存儲和傳輸支付卡數(shù)據(jù)。如果不遵守這一國際公認的標準,組織將面臨罰款的風險。
底線:為醫(yī)療機構保護數(shù)據(jù)
在醫(yī)療保健行業(yè)中,適當?shù)臄?shù)據(jù)安全措施至關重要。不遵守這些規(guī)定的組織可能面臨違規(guī)或信息濫用的風險。此類問題可能會影響患者護理,并損害機構的聲譽。在處理如此大量極其敏感數(shù)據(jù)的行業(yè)中,幾乎沒有出錯的余地。
好在,了解風險并采取措施減輕風險,可以在很大程度上保證患者數(shù)據(jù)和組織的安全。
免責聲明:本網(wǎng)站內(nèi)容主要來自原創(chuàng)、合作伙伴供稿和第三方自媒體作者投稿,凡在本網(wǎng)站出現(xiàn)的信息,均僅供參考。本網(wǎng)站將盡力確保所提供信息的準確性及可靠性,但不保證有關資料的準確性及可靠性,讀者在使用前請進一步核實,并對任何自主決定的行為負責。本網(wǎng)站對有關資料所引致的錯誤、不確或遺漏,概不負任何法律責任。任何單位或個人認為本網(wǎng)站中的網(wǎng)頁或鏈接內(nèi)容可能涉嫌侵犯其知識產(chǎn)權或存在不實內(nèi)容時,應及時向本網(wǎng)站提出書面權利通知或不實情況說明,并提供身份證明、權屬證明及詳細侵權或不實情況證明。本網(wǎng)站在收到上述法律文件后,將會依法盡快聯(lián)系相關文章源頭核實,溝通刪除相關內(nèi)容或斷開相關鏈接。