数据泄露背后的人为错误-为记录杂志

2月2018

数据泄露背后的人为错误
朱莉·克努森著
郑重声明
第三十卷第二页

不良习惯和缺乏意识会导致PHI暴露。

Protenus对2016年医疗安全事件(直接报告给卫生与人类服务部的事件以及通过媒体报道或其他来源披露的违规事件)的回顾显示，超过2730万例患者记录受到影响。但医疗保健并不是唯一脆弱的部门;数据暴露几乎在每个行业都是一个祸害。从Equifax到Anthem，从Target到Chipotle，黑客们没有歧视。

每一次入侵都带来了对威胁以及如何消除威胁的新见解。HIT和领导团队可以从整个安全领域吸取经验教训，以降低他们的妥协风险。虽然人们常常把矛头指向技术上的弱点，但人为错误是许多数据泄露的核心原因。

当医疗保健组织努力加强对这些未经授权的信息泄露的防御措施时，他们也应该考虑到基于人的错误可能会损害他们的努力。

最终用户
黑客最常见的切入点之一是终端用户。毕竟，这个目标是丰富的，而且很少是他们的强项。

信息安全风险管理咨询公司Bizwit负责人、CHPS、CISA、CISM的罗伯特·布热津斯基(Robert Brzezinski)说:“我们都知道，网络钓鱼是一种主要的攻击形式。”他指的是看起来合法的电子邮件，实际上包含恶意链接或附件，发件人地址被欺骗，看起来像是来自合作伙伴组织或值得信赖的同事。

网络钓鱼的受害者面临各种各样的后果。布热津斯基说:“这可能只是一个很容易处理的恶意软件感染，也可能是通过网络传播的勒索软件，对整个组织来说是一个巨大的成本和大问题。”他补充说，没有意识到风险的最终用户可以提供一个轻松进入网络其他部分的入口。

同样潜伏在终端用户领域的是非常现实的设备丢失和被盗问题。安全产品提供商Kensington进行的一项调查显示，被盗IT信息的最大比例(25%)来自从汽车和其他交通工具中被盗的笔记本电脑。虽然这令人沮丧，但同样令人担忧的是，办公室的IT盗窃紧随其后，占23%。

电子医疗网络认证委员会的执行董事李·巴雷特说:“人们可能会把笔记本电脑或闪存盘放在某个地方，上面有受保护的健康信息。”“这些设备非常容易携带，而且在很多情况下，人们不会加密他们的笔记本电脑或闪存驱动器。”

巴雷特指出，在工作时忘记锁上笔记本电脑可能会导致数据泄露，而终端用户可能不会考虑到这一点。他指出，即使电脑或智能手机本身是盗窃的目标，其中包含的PHI也可能处于危险之中。

高层的错误
安全和隐私错误也可能发生在组织的最高层。医疗保健技术和隐私提供商Iatric Systems负责产品管理和患者隐私解决方案的副总裁、首席信息官、首席信息安全顾问、首席信息安全顾问罗布•罗德斯表示，安全、培训和意识环境至关重要，但如果管理层缺乏承诺，这些任务可能会被其他问题抛在一边。

他说:“即使在高层人员支持这类活动的组织中，仍然存在领导者没有做他们应该做的事情的情况。”

Rhodes说，为了保持对收入的关注和扩展精益资源，高管们可能无法执行关键的安全政策或减少安全预算，并补充说这两种情况都有可能创造一个糟糕的安全卫生环境。

巴雷特说，随着首席信息安全官(CISO)的角色在大大小小的医疗机构中变得越来越普遍，一些机构可能在确保适当的专业知识到位以应对安全挑战方面落后了。被选中监督战略安全和隐私功能的个人需要有足够的培训、经验和权力来执行他们的职责，这是领导团队并不总是理解或支持的。

“这是真正的风险，也是真正的错误，”巴雷特说。“这不仅会让担任该职位的个人处于非常脆弱的位置，也会让整个组织处于非常脆弱的位置。”

一旦发生数据泄露，首席信息安全官的背景和知识将受到严格审查，这是每个担任关键职位的高管都应该考虑的问题。

即使高管和董事会同意将安全作为首要任务，日常运营错误仍然存在。云安全公司RedLock的首席执行官兼联合创始人瓦伦•巴德瓦尔表示:“房间里的大象是如何分配预算的。“这就是我们固有的问题所在。”

巴德瓦尔认为，太多的公司没有仔细研究安全需求，也没有自下而上地制定预算，而是依赖于传统的预算模式，将安全支出设定为总预算的一定比例。他说:“我们正在经历一场根本性的技术变革。”他指出，新系统正在实施，数据中心正在关闭，服务和存储正在向云端转移。“这是一个未知的领域。”

巴德瓦尔说，随着技术和流程的革新，与维护安全相关的美元数字也需要进行评估和更新。

后端错误
即使在IT组内部，也存在潜在的错误。随着系统和连接点的激增——从患者门户到与健康信息交换和付款人的链接——维护对这些新兴基础设施的监视变得更加麻烦。

巴雷特说:“当一个组织说他们可以自己做所有事情，不需要第三方的帮助时，这是一个真正的风险。”他指出，团队很难发现自己的问题和弱点，而且部门往往高估自己应对威胁的能力。巴雷特说:“有太多不同的政治和其他因素影响了他们进行客观评估的能力。”

良好的安全性依赖于强大的链条。巴雷特说，如果IT部门没有采取必要的措施来采取正确的措施，那么最终用户或执行团队所犯的错误可能会在整个网络中不受限制地传播。

在防御下一代网络威胁方面，对错误技术的依赖也可能导致IT实践和程序的缺失。此外，并不总是进行风险评估以确保正确的保障措施到位。

“我一遍又一遍地看到它。IT团队过度依赖防火墙和防病毒保护。例如，IT可能在中心办公室周围设置了严格的安全措施，但却发现其大部分员工都在外围。其他策略将注意力集中在基础设施风险上，却忽视了移动设备用户的安全需求。

布热津斯基说:“IT部门需要对IT环境中正在发生的事情建立可见性。他说，网络及其端点的健康状况——以及对谁在访问环境以及他们是否使用安全方法进行连接的更好视角——并不总是像应该的那样受到密切监控，从而形成可能被利用的漏洞。

“IT行业的人有很多犯错的机会，”罗兹说。

为什么“人”会犯错
当员工没有充分参与缓解措施时，也可能出现安全漏洞。他们很少能看到风险，也不总是被告知他们能做些什么来帮助预防风险。巴德瓦尔说:“如果终端用户不了解安全问题的重要性和影响，安全是一项艰巨的工作。”

使问题更加复杂的是，卫生保健组织倾向于放弃使用能够识别潜在危险用户行为的健壮的安全协议。巴德瓦尔说:“组织需要遵循一种信任但经过验证的模式。

无论员工的行为是偶然的还是故意的，他们都可能暴露PHI或其他机密数据。Badhwar说，正确的主动措施通常可以防止安全漏洞导致的破坏，但供应商尚未完全接受这些工具。

日常的错误
不幸的是，当内部人员(无论是最终用户、IT组还是执行人员)犯错误时发生的情况在现实世界中比比皆是。布热津斯基说，许多事件可以追溯到文书错误。

例如，曾经发生过包含受保护信息的电子邮件被错误地发送给其他人的情况。布热津斯基说:“这触发了联系这个错误地收到电子邮件及其信息的人的要求，并要求他们删除它。”

该组织需要等待确认错误的消息及其内容已被删除。还需要一份完整的安全事件报告，并向应该收到信息但没有收到信息的人员提供通知。

多年来，罗兹目睹了几次幕后的程序错误。有几次，他看到系统管理员设置设备共享，目的是允许特定用户稍后添加信息。“(然而)，他们通常会创建共享，但默认情况下是与所有人共享。他们不会花时间适当地调整权限，”他说。

大多数系统都有一系列默认设置。罗兹说，如果IT部门不能解决每一个问题，“这可能会让他们的信息很容易因为这个错误而被泄露。”

不能改掉旧习惯也会带来问题。例如，软件补丁的部署时间等问题可以使用刷新。在那个基础设施并不容易修改的时代，当他回顾补丁管理时，罗兹说:“在早期，补丁破坏某些东西并不罕见。”

IT团队经常需要进行初步测试，以确保这些变化不会引发新的问题，但罗兹表示，在这期间，整个过程有了显著改善。

信用机构Equifax的大规模数据泄露事件影响了约1.43亿受害者，其原因是部署系统补丁的政策和程序不完善。罗兹解释说:“他们遇到的问题有一个补丁，这个补丁已经有几个月了，但他们还没有应用它。”

由于未能及时应用补丁而导致Equifax的巨大漏洞，如果想要避免类似问题，这个问题是组织必须优先考虑的问题。安装补丁需要时间——这在许多医疗保健组织中是非常短缺的——但不建议延迟安全升级。罗兹说:“如果管理层更重视这一点，并说，‘嘿，你必须这样做’，我相信这种情况会少得多。”

降低风险
在解决和避免人为错误方面，没有一个单一的答案，但布热津斯基说，许多解决方案都涉及培训和技术的结合。“技术提供了很多好的工具，”他解释道。

强大的合规性和beplay最新备用网站安全性平台以前只适用于大型企业，现在小型组织也可以使用，这在很大程度上要归功于云经济。“但我们必须培训用户使用这些新技术，”布热津斯基警告说。“他们需要知道如何正确使用它们，以及如何从中受益。”

他补充说，如果员工不知道如何利用加密工具或更安全的电子邮件系统，那么推出加密工具或更安全的电子邮件系统将被证明是无效的。

罗兹说，在减少以人为本的安全错误方面，提高意识项目可以提供很多东西。不幸的是，许多组织没有以一种与用户联系的方式来组织他们的工作，或者为他们提供他们需要采用更好习惯的可操作信息。罗兹说:“你必须改变人们的行为和态度。”

例如，从患者健康的角度进行框架安全讨论。罗兹说，当医院将未经授权的PHI泄露与患者和提供者之间信任的侵蚀联系起来时，安全措施就会更有吸引力。他说:“我们不知道在任何时候，或者在任何一个人身上，什么会让人感到尴尬。”“如果病人不信任他们的医生，他们就不太可能分享对他们的护理至关重要的信息。”

巴德瓦尔说，在内部，组织应该更多地利用能够识别潜在可疑活动的工具。例如，可以添加平台来帮助IT监控用户行为。巴德瓦尔说:“这不仅是为了触发培训和其他项目，也是为了建立风险模型和用户档案。”

如果员工偏离了他或她的正常行为，软件就会做出回应，无论是向it部门发送警报，还是锁定用户的账户以限制损害。巴德瓦尔说:“例如，如果软件观察到一个特定的用户通常从多伦多登录并执行一组操作，但现在该用户从克罗地亚登录并执行一组不同的操作，它就会发出警报。”

然后，IT部门可以审查这些活动，以确定，例如，该帐户是否已被泄露，或者是恶意内部人员的工作。

总的来说，在医疗保健领域，一种哲学上的转变可能是有序的。很多时候，企业认为自己对网络入侵免疫，要么是因为他们还没有经历过——他们认为目前的措施已经足够了——要么是因为他们认为自己规模太小，无法成为攻击目标。专家表示，这两种立场都会导致安全被置于次要地位，这是一个巨大的错误。

怎样才能克服这种思维方式呢?巴雷特说:“这需要让人们了解他们面临的风险。”“如果他们的组织受到影响，影响不仅限于收入损失。他们也可能失去信誉。”

拒绝自满从高层开始，不仅要更有效地分配资源，还要任命合适的人担任重要的安全职位，并通过支持正在进行的培训工作。以Equifax和Anthem等公司为例。这些都是大型组织，他们每年在IT基础设施上花费数百万美元，但他们仍然受到攻击，”巴雷特说。

他鼓励卫生保健领导人扭转局势，使他们的组织在对安全的统一承诺下保持一致。

Julie Knudson是西雅图的一名自由撰稿人。