6月/ 7月
2019
违约防范诀窍
莫拉·凯勒
郑重声明
第三十一卷第六页
医院如果有一个经过充分演练、协调良好的计划,就最有可能减少损失。
医疗机构将宝贵的患者信息存储在满是灰尘的办公室角落里杂乱无章的软盘上的日子已经一去不复返了。如今,医院正在使用易于访问和管理的数据存储系统,这些系统在网络环境中提供通用连接。
但随着医院数据的大量增加,他们正在重新审视自己的安全流程,心中只有一个目标:简化信息管理的安全性,加强对漏洞的防范。
Edelman高级副总裁杰米•辛格(Jamie Singer)表示,建立一个漏洞响应流程对医院至关重要,因为随着网络威胁形势的不断发展,这不再是是否会发生的问题,而是医院何时可能面临数据安全事件的问题。事实上,根据2018年波耐蒙报告,未来24个月全球平均发生数据泄露的可能性为27.9%。
她说:“对于有PHI(受保护的健康信息)和PII(个人身份信息)的医院来说,他们必须准备好应对这些潜在的问题。”“然而,根据最近的一项Brunswick Insight/Abbott网络安全调查,75%的医生和62%的医院管理人员认为,在减轻可能影响医院的网络风险方面,他们没有得到充分的培训或准备。”
Singer说,在实际问题发生之前,建立一个清晰的漏洞响应流程——包括定义事件响应团队的组成,概述角色和职责,记录内部和外部响应协议,以及规划顶级数据安全和隐私风险领域——对于使医院能够快速有效地响应实时问题至关重要。
风河金融(Wind River Financial)产品高级副总裁、CISSP史蒂夫•斯塔登(Steve Staden)表示,随着医疗保健转向数字化,越来越多的数据被收集,这一发展为针对这些数据存储的恶意活动创造了机会。
“每个人都认为他们有适当的控制措施,但超过一半的事件是由内部用户引起的,他们只是在做他们的日常工作,”斯塔登说。“机器人还没有接管,所以我们仍然需要创造安全的环境,并提供意识,因为安全是不断变化的。”
检测漏洞
Singer表示,在初步发现可能的数据安全事件后,医院应该通知并聘请关键合作伙伴,如网络保险公司、外部网络法律顾问和外部法医,以帮助了解问题的范围和任何潜在的通知要求。
她说:“这些实体通常会帮助医院聘请外部危机沟通公司和供应商,如外部呼叫中心或邮寄公司,帮助管理患者通知。”
对于违规行为,最重要的是确定原因并立即停止或隔离它。斯塔登说:“例如,如果你看到大量数据通过你的网络流出组织,你会想立即封锁这台电脑,并将其从网络中移除,这样它就不会影响到其他电脑。”他补充说,在调查问题的根本原因之前,团队需要确保问题得到解决,这可能需要更深入的取证审查。
斯塔登说:“在确定了根本原因后,医院必须完成风险和影响分析,最终根据数据泄露确定适当的通知级别。”
就外部回应而言,法律/监管和通信战略从一开始就必须步调一致。Singer说:“医院应该在迅速和透明地沟通的愿望与在仍在收集事实和IT系统可能尚未修复的情况下谨慎地公开或广泛沟通之间取得平衡。”
与此同时,医院应准备一份反应性持有声明,以便在媒体调查或社交媒体猜测导致公开泄露的情况下使用。Singer解释说,最佳做法是,这份声明应该着重强调医院正在调查一个潜在的问题,传达医院正在采取的调查和解决问题的步骤,并重申对患者/员工信息安全和隐私的承诺。
在初步发现资料外泄后多久应通知公众?通常,州、联邦和国际法律/监管要求是基于受影响的信息类型、受影响的个人数量以及这些个人所在的市场;这些因素将为公众通知时间的决定提供参考。
辛格说:“通常情况下,当涉及PHI时,HIPAA要求在确定发生违规行为后60天内通知患者。”他指出,这是法律、监管策略和沟通方法保持一致的重要地方。
根据数据泄露的严重程度,医院需要在发现数据泄露后60天内通知媒体。此外,请注意,您需要提供证据,证明您已将通知发送给了正确的方。准备好展示这些信息,”斯塔登说。
为了确保患者的长期信任,及时沟通很重要,但医院必须能够沟通不太可能改变的事实,向受影响的患者提供支持,并确保it系统得到修复。
辛格说:“在数据安全事件中,事实可能是多变的,因此匆忙发表公开声明可能会给医院带来负面后果——比如传播不准确的信息,可能会泄露更多的数据,并因再次破坏信任而进一步损害医院的声誉。”“快速沟通和准确沟通是一种平衡。”
沟通应反映医院如何展示问责制和对行动的偏好——医院正在采取什么措施在短期内解决问题,它将如何防范未来的数据安全问题,以及它如何支持受影响的个人(例如,提供身份盗窃保护和/或信用监控服务)。
Theresa Meadows, MS,注册会计师,首席信息官,FHIMSS,库克儿童医疗保健系统高级副总裁兼首席信息官,领导着200名成员的团队,涵盖基础设施,应用,电信和项目管理等领域。她的团队支持140个项目计划,包括部署商业智能、先进的临床系统和企业资源管理。
梅多斯说,重要的是要注意,大多数医院的应急管理结构占事故发生时所需结构的很大一部分。这包括管理事件的指挥中心结构。
她说:“必须为所有相关人员定义角色,并提供适当的沟通渠道。”“每个角色都将被定义为流程的一部分。”例如,公共关系将负责与媒体和患者就事件进行沟通。首席信息安全官(CISO)可能是事件指挥官,他指导技术团队完成恢复过程,临床操作确保患者护理可以安全地继续进行。
电子医疗网络认证委员会(Electronic Healthcare Network Accreditation Commission)的执行董事兼首席执行官Lee Barrett表示,消费者希望医院在披露其行为和描述违规损害的严重程度时保持透明。
因此,必须尽快实施宣传计划。建议的行动包括创建一个网站或门户网站,患者可以访问该网站以获取最新信息。巴雷特说:“人们可以通过热线了解最新的信息和行动,这是回答问题和担忧的另一种沟通方式。”“始终测试并确保热线和门户可以处理即将发生的'点击'量。当患者无法进入网站或无法及时回答他们的问题时,没有什么比进一步沮丧或愤怒更糟糕的了。”
除了直接与患者沟通并在网站上发布信息外,医院还必须适当地培训员工——领导、经理、患者关系人员、内部呼叫中心和事件前线接待人员——如何引导和回应患者的问题和担忧。
Singer说:“用‘一个声音’进行沟通是医院控制一致信息的关键。”“定期监测传统媒体和社交媒体渠道对于跟踪患者/利益相关者的情绪并相应地调整沟通策略非常重要。”
巴雷特说,做好数据泄露准备的关键是尽可能地主动。许多网络攻击几个月后才被发现,而且只有在进行了外部审计并且漏洞已经发生之后才被发现——这已经太晚了。
“应该根据风险矢量和范围制定各种应对方案,”他说。“每个场景都应该明确定义角色、职责、行动、时间表和可交付成果。作为响应计划一部分的所有场景都需要进行实践和审查,任何注意到的缺陷都需要纠正和重新实践。没有什么是理所当然的。”
面临挑战
医院面临的一个挑战是确保其违规响应流程包含组织内一系列关键职能部门的观点和输入。Singer说:“通常情况下,医院的漏洞响应计划将包含操作或以it为重点的解决指导和步骤,但忽略了重要的通信考虑因素、协议和消息传递,以通知内部和外部对实时事件的响应。”“另一个挑战是,通常情况下,医院可能有一个既定的事件响应流程,但它没有在整个组织中得到适当的社会化。没有定期测试的事件响应计划最终会被束之高阁,落满灰尘。”
斯塔登表示,建立违规响应流程的最大挑战之一是确定工作的优先顺序。“所有行业的安全预算和资源都很紧张,”他说。“然而,在安全事件发生后,可用的预算和资源之多令人惊讶。”
除了获得最高管理层的支持外,还需要与关键利益相关者制定一个协调一致的计划。该计划需要由能够在整个组织内有效工作的人来领导。然后计划需要完成。斯塔登说:“通常情况下,提供的回应是努力‘正在进行中,但尚未完成’。”
对于事件响应团队成员及其后备人员来说,参加定期的危机培训、模拟和桌面演习是非常重要的,这些演习可以测试事件响应计划的使用情况,并帮助确定任何潜在的差距。
确定医院事件响应团队的成员是建立一流的违规响应计划的关键步骤。Singer建议组建一个核心团队,反映在响应过程中至关重要的关键功能领域,但也要足够小和灵活,能够在危机中迅速做出关键决策。
Interbit Data总裁兼创始人阿瑟•杨(Arthur Young)表示,数据泄露事件,尤其是网络攻击,需要整个医院的综合响应,以尽量减少恐慌、混乱和沟通不周。
他说:“每家医院的组织结构都有所不同,但除了IT团队之外,还有一些共同的团队成员来识别、响应和修复漏洞。”“这包括护理部门的领导,以了解管理患者护理所需的信息,入院部门了解如何处理患者,药房管理药物,实验室,成像,门诊和其他依赖于信息连续性的功能。”
核心事件响应团队的关键功能包括IT(例如,CIO/CISO)、隐私、法律/遵从性和通信。beplay最新备用网站
“在这个核心小组中,重要的是要确定一个明确的决策者/事件响应领导。通常,考虑到与数据安全和隐私问题相关的监管要求和法律考虑,组织会将法律人员定位在这一角色上。
在这个核心小组之外,专家建议确定扩展的团队成员和主题专家——比如病人关系和人力资源——根据问题的具体性质和范围,他们可能需要参与。
此外,建立关键的外部合作伙伴,如外部网络法律顾问、取证公司和危机沟通合作伙伴,对于有效的事件响应工作至关重要。最后,除了明确定义团队成员的具体角色和职责外,医院还应该为核心团队成员确定备用方案,以防他们在发生实时问题时无法使用。
哥伦比亚莉莉谷基金会的首席信息安全官苏珊·维拉奎拉尔说,医院需要完成以下不同的任务:
•建立一个技术团队。Villaquiral说,在医疗保健行业,找到专门从事事件响应的网络安全工程师几乎是不可能的。“我的建议吗?建立和发展你自己的工程师的知识,”她说。
•教育终端用户。终端用户是网络安全流程的重要组成部分——不仅要避免事故发生,而且要知道在发生违规行为时该做什么和通知谁。
识别所有受影响的利益相关者。编制与事件有关和/或受事件影响的所有利益相关者的清单是困难的,在时间紧迫的情况下更是如此。
•了解法律的要求。除了遵守众所周知的法律外,医院还必须认识到与第三方签订的合同,在发生事故时必须通知第三方。
持续培训及策略
辛格说,有效的入侵准备是关于建立“肌肉记忆”。组织定期的培训和模拟演习,测试现有的事件响应流程和协议,并确定在实际问题发生之前需要消除的任何差距。
辛格说:“一流的模拟涉及多个升级,反映了医院在真实数据安全危机中可能预期的拐点类型,如媒体询问和新闻报道、社交媒体对话、患者询问、监管机构询问、民选官员参与等。”
Villaquiral建议医院利用模拟来帮助预测技术团队的响应时间,并查明漏洞。
“在我们医院,我们每年两次使用这种类型的测试,不仅包括数据泄露,还包括数据不可用,”维拉奎拉尔说。“这有助于我们看到该地区的应急计划按预期工作,对患者的关注不会受到影响。”
除了核心事件响应小组外,专家建议医院让外部合作伙伴参与这些演习。
辛格说:“至少每年进行一次这样的定期演习,对于加强准备是至关重要的——特别是考虑到医院内部事件反应小组的潜在内部人员流动和过渡。”
后
在泄露之前、期间和之后传递的消息应该是优先考虑的。在数据泄露事件发生后,医院不应该用诸如“我们有一个更安全的系统,这种情况不会再发生”之类的陈词滥调来敷衍这一事件。
维拉奎拉尔说:“相反,如果法律允许,应该对发送给受事件影响的用户的通信保密,并为患者和保险公司建立沟通,详细解释情况,以及你为避免再次发生事件而采取的所有行动。”“与政府机构合作也有助于恢复声誉。然而,只有经过一段时间,利益相关者才会学会再次信任你。”
莫拉·凯勒是明尼阿波利斯的作家和编辑。
