12月2013

采取措施确保移动设备安全
作者:Gary Glover, CISSP, CISA, QSA, PA-QSA
郑重声明
第二十五卷第16期，第8页

面对新的HIPAA法规，管理安全性确实是一项挑战。但是在移动设备上管理患者数据呢?这更令人生畏。

考虑这样一个场景:一个小诊所的医生将电子保护的健康信息(ePHI)下载到他的个人平板电脑上。他没有手机安全政策，但他尽最大努力不丢失设备或下载可疑材料。尽管他的初衷是好的，但几个月后，当他得知他下载的看似无害的手电筒应用程序导致了病人记录的泄露时，他感到很惊讶。

许多医疗保健组织不知道他们需要遵守的法规，因此不能确定他们是否遵守了法规。beplay最新备用网站事实上，根据波耐蒙研究所的调查，只有15%的人认为HIPAA规定了对移动设备上受监管数据的保护。

一些组织错误地认为PHI会自动受到保护，因为移动设备在技术上是先进的，并且在市场上是安全的。由于某些加密被认为是HIPAA安全规则下的安全港，其他组织完全依赖于设备加密而不完全了解其实现。

使用移动设备的风险
除了丢失和盗窃，移动设备对PHI有几种危害。其他风险包括缺乏身份验证、移动恶意软件、不安全的Wi-Fi网络、过时的操作系统，以及通过与朋友、家人或同事共享移动设备而意外泄露数据。

无论何种技术，医疗保健提供者都有义务保护PHI。如果使用智能手机或平板电脑访问、传输、接收或存储信息，则必须设置一定的安全预防措施。

你需要知道的密码
根据曼哈顿研究公司(Manhattan Research) 2012年的一项研究，62%的医生将平板电脑用于专业用途。使用移动设备作为便携式计算机随时访问记录可能很方便，但专业人员不能让方便超过安全。

虽然启用四位数密码确实可以防止在检查室等待的患者进入未被监视的办公平板电脑，但它可能无法阻止黑客访问PHI。从技术上讲，一个四位数的密码只需要10000次尝试就能破解。选择一个较长的密码，并启用在密码尝试失败10次后清除设备数据的设置，将有助于避免这个问题。

在最佳实践场景中，移动设备密码应该至少有8个字符，包含字母数字和特殊字符，并且不包含字典中的单词(例如nurse1或ilovebaseball)。Android和iOS设备都允许用户绕过典型的四位数PIN，通过简单的设备设置更改来实现这些复杂的字母数字密码。

手机加密的真相
加密是在HIPAA安全规则的技术保障下的可寻址实现规范。如果有人侵入了设备，加密会将文件伪装成一串无法破译的字符，从而使文件变得无用。
许多人都听说过加密安全港规则，该规则通常规定，如果加密设备丢失，组织不需要通知卫生与人类服务部(HHS)安全漏洞。HIPAA规则可能并不总是陈述有关法规的具体内容，但它们通常会引用“行业最佳实践”作为确定合规性的标准。beplay最新备用网站

尽管HIPAA法规没有指定属于安全港状态的加密，但行业最佳实践是使用AES-128或Triple DES(或更好的)加密。手机加密是被鼓励的，但重要的是要记住它不是一个故障保险。毕竟，大多数移动设备都没有配备符合安全港标准的加密。

例如，苹果的数据保护API仅在iphone和ipad上对内置邮件应用程序进行加密，而且只有在用户启用密码后才会加密。加密不适用于日历、联系人、文本或与iCloud同步的任何内容。一些使用苹果数据保护API的第三方应用程序也是加密的，但这种情况很少见。

请记住，加密的安全性取决于设备的密码。如果有人窃取了移动设备，只有在窃贼不知道解密密钥的情况下，受数据保护API保护的信息才会保持加密。安卓的加密程序的工作原理与此类似，每次解锁手机时都需要输入密码才能解密。此外，如果在硬盘驱动器上备份移动设备，请确保备份是加密的。

尽管移动设备上的加密不一定符合HIPAA最佳实践建议，但还有其他选项可以进一步保护移动设备。

确保员工遵守安全政策
您的组织是否有移动设备使用政策?如果是这样，你在遵循它吗?如果您的组织允许员工携带自己的设备，他们是否需要注册?

在每个行业中，员工都会无意或有意地将受监管的数据置于风险之中。据波耐蒙研究所(Ponemon Institute)称，超过75%的员工可能会绕过或禁用包含受监管数据的移动设备的安全功能。对于组织来说，开发和实现适当的移动安全策略非常重要。

以下是HIPAA移动安全策略中需要解决的问题:

•手机密码长度要求;

•在所有设备上启用可用移动加密的程序;

•ePHI存储和访问策略;

•设备被盗/丢失程序;

•自带设备规定;和

•不合规责beplay最新备用网站任。

不要成为一个创建策略后很快就忘记或忽略它们的组织。定期的政策培训，可以帮助员工记住组织的指导方针，是任何有价值的移动安全计划的重要组成部分。

更新操作系统和应用程序
较旧的操作系统和应用版本往往存在错误和过时的加密实现。它们也不太可能被卫生与公众服务部视为最佳做法。就像电脑一样，移动设备必须经常更新，以消除首次发布后发现的任何软件或硬件漏洞。

需要注意的是，设备上安装的每个应用程序都必须进行更新。如果只有一个不重要的应用程序，甚至不访问ePHI是脆弱的，网络犯罪分子可能会利用它的弱点，检索设备的所有数据。

幸运的是，对于医疗从业人员来说，更新移动设备操作系统和软件通常很简单，而且不需要花费很多时间。

你最好的，最安全的选择
将移动设备配置为仅供医疗保健办公室使用，是保护智能手机或平板电脑安全的好选择。在这种策略下，安装应用程序、连接互联网、访问设备设置以及拨打或接听电话的功能被禁用。当设备打开时，它专用于一个用于访问患者数据的应用程序。

另一个符合hipaa的解决方案是，通过只访问存储在其他安全系统上的数据，消除在手机或平板电脑上存储敏感的患者数据。敏感数据可以存储在私人后端服务器上，移动设备可以用来访问或显示ePHI。如果服务器连接到安全的内部网络，而不暴露于公共Internet，则此解决方案的风险相当低。
如果工作人员需要在组织网络之外的移动设备上访问数据，他们应该使用加密的虚拟专用网络(VPN)来创建返回内部网络的安全隧道。除非攻击者有正确的凭据连接到VPN，否则数据仍然受到保护。

下载一个移动漏洞应用程序也是一个很好的做法。虽然不是万无一失，但这个扫描工具是一种简单的方法，可以搜索移动设备上发现的常见漏洞，以进行快速修复，并发现设备是否已扎根。

在使用移动设备时保护和保护健康信息是医疗保健提供者的责任。它应该是风险管理计划的一部分，每年进行审查和更新。

- Gary Glover, CISSP, CISA, QSA, PA-QSA，是SecurityMetrics的安全评估主管。