首页|订阅|资源|再版|作家的指导方针

6月2017

HIT事件:如何采用安全文化
作者:兰斯·海登博士
郑重声明
第二十九卷第六页

如果你正在读这篇文章,说明你很脆弱。每个人的数字生活都存在安全漏洞,这同样适用于所有行业的组织。对于卫生系统和医院来说,计算机拥有大量的个人数据,提供者和临床医生可以从中提取数据,以新的、令人兴奋的方式改善护理。不幸的是,对于医疗保健来说,受保护的健康信息(PHI)在黑市上是很有价值的,这意味着网络威胁对医院、卫生系统和供应商都是一个持续不断的事件。

卫生系统和其他卫生保健组织是网络罪犯的主要目标,这意味着安全必须是一个至关重要的优先事项。通过采用一种从适当、彻底的安全风险评估开始的安全文化,医疗系统可以推动组织转型,通过关闭网络犯罪分子在不懈努力中利用的许多漏洞来打破防御并找到进入计算机系统的方法,从而优先保护患者数据。

第一步
值得重复的是:每个组织都有安全漏洞。这可能是一个发人深省的想法,但事实是没有任何安全程序可以消除所有漏洞,特别是考虑到每天都会出现新的漏洞。安全程序从管理漏洞开始,包括正确评估每个漏洞的风险。这是一个数字游戏,完美的防御是不可能的,这意味着风险评估必须根据它们构成的威胁来优先考虑不完美的地方。在这种情况下,在进行安全风险评估时,第一个问题应该是:“如果有人利用这一点,后果是什么?”

这个等式的主观性使得安全风险评估既是一门科学,也是一门艺术,这就是为什么理解您的组织需要保护的最重要的东西是很重要的。对于医疗保健,这意味着将患者数据存储在电子病历系统中。丢失这些数据不仅会带来HIPAA罚款和卫生与公众服务部的公开羞辱,而且还会暴露患者的生命,从而可能被犯罪分子利用来窃取他们的身份并在经济上利用他们。

因此,风险评估应着眼于可能导致PHI被破坏、被盗或被劫持并勒索赎金的漏洞。根据漏洞被利用的可能性以及网络罪犯访问电子病历数据后可能获得的利益,对这些漏洞进行优先排序。此外,医疗保健组织必须确保他们正在修复具有可用补救措施的漏洞。

弱点:不是你无法控制的
漏洞是威胁参与者可以利用的所有弱点。他们无处不在;现在软件中可能有大量的漏洞等着被发现。好消息是,在任何情况下,组织都比威胁更能控制漏洞。

网络安全通常被认为是对人员、流程和技术的挑战。漏洞可能存在于这三个方面,分散在安全专家所说的组织的“攻击面”上,或者攻击者可能试图窃取受保护数据的所有方式。不幸的是,安全性历来优先考虑技术漏洞,而不是通过人员和流程创建的漏洞。然而,随着威胁行为者利用后两者造成的问题,这种情况正在发生变化。

《2015年威瑞森数据泄露调查报告》发现,70%的攻击者成功地利用了已知的漏洞,而供应商已经提供了解决方案或补丁。在某些情况下,有问题的漏洞已经存在了十多年,补丁已经准备好,等待安装以修复潜在的漏洞。

众所周知,医疗保健在技术采用方面落后于潮流。在不久以前,许多医院还在使用纸质程序。目前,在Windows XP上运行的环境仍然很常见,技术团队担心升级软件可能会造成维护中断。对于补丁和修复程序来说,情况也是如此——由于担心破坏维护过程,它们通常不会被安装。

正是在这一点上,技术、流程和人员中的漏洞之间的界限开始变得模糊。在上述场景中,技术是脆弱的,但问题没有得到解决的原因是人员和流程。

解决人的问题
当医院系统被勒索软件攻击或被恶意软件破坏时,业务中断可能会超过与修补和升级软件相关的担忧和成本。

没有一种技术比功能良好的“人类防火墙”更有效,人们可以借此做出正确、明智的安全决策,然后根据这些决策采取行动。世界上所有技术的有效性取决于使用它的人。如果一个组织存在于一个由于担心业务中断而忽略了升级和补丁的空间,那么就需要进行文化变革,以努力说服员工接受安全计划。

不幸的是,在许多医疗保健组织中,安全培训和意识项目资金不足,导致员工不了解潜在威胁,无法以满足两者的方式平衡安全与业务运营。为了解决这个问题,医院和医疗机构必须专注于建立一种安全文化,就像他们鼓励患者安全和高质量的护理一样。

像任何其他文化变革一样,这并不像教育课程或员工培训那么简单(实际上可能并不那么简单)。培训员工遵循流程是改变行为的一种尝试。然而,由于指令与日常操作相冲突,这个问题只能暂时得到解决。员工可以学习如何给系统打补丁,还可以演示安全程序所需的流程。这很有帮助,但除非员工明白为什么这样做很重要,否则任何改变都不会持久。

“文化建设”侧重于行为,而不是改变人们的信仰和对安全的看法,这不会产生实际影响。当员工认识到保护信息资产的重要性时,真正有效的安全文化就诞生了。与此同时,行政部门必须认识到,安全不能感到官僚主义和负担。

应该定期召开会议,不仅要教育员工安全的重要性,还要确保安全不会中断工作流程。只有从最重要的地方着手处理安全问题,并考虑到有工作要做的工作人员的需要和愿望,才能开始出现真正的变化。在这一点上,安全性可以成为组织的另一个统一目标,而不仅仅是一项额外的琐事或拥有的东西。

减少脆弱性从理解开始
要求最佳做法并不能改善护理质量;相反,它最好通过有机采用来实现,通过这种方式,工作人员改变他们的行为,因为结果会改善患者的生活。
安全问题也不例外。

在风险评估之后,只有当员工了解PHI被盗的真正风险以及一旦发生违规行为将发生的破坏程度时,才能实现改变安全行为以支持漏洞。有了这些知识,安全文化将开始形成,组织将发现自己不那么容易受到攻击。

Lance Hayden,博士,ePatientFinder首席隐私和安全官,负责信息治理和数据安全。

beplay电竞
斯库尔基尔路3801号
宾州春城,1975年
版权所有©2023
的出版商郑重声明
版权所有。
联系
 关于我们
作家的指导方针
隐私政策
条款与条件