网络独家

医疗机构的数据泄露是不可避免的吗?
文/克里斯·鲍恩

如果说2014年是大规模零售数据泄露的一年,那么2015年将是医疗保健数据泄露的一年。罪犯名单的范围和规模令人震惊,民权办公室臭名昭著的“耻辱之墙”这个清单似乎每天都在增长。事实上,快速浏览一下这份清单就会发现一个显而易见的问题:如果网络犯罪分子能够侵入Beacon、CareFirst和Anthem等医疗巨头的网络,谁又能阻止他们呢?

鉴于此类违规行为的频率越来越高,这是一个合乎逻辑的问题。但令人惊讶的现实是,许多医疗数据泄露都遵循着一种熟悉的模式——这意味着它们是可以预防的。以2014年影响450万人的社区卫生系统漏洞为例。在此事件中,攻击者设法绕过安全措施,并实施恶意软件在公司外部复制和传输数据。这些手段并不特别复杂,甚至也不新颖;黑客通过“心脏出血”病毒侵入了一台受损的瞻博网络设备,针对该病毒的补丁和其他安全措施已经有一段时间了。

虽然我们不能明确地说明为什么社区卫生系统没有应用它们,但我们当然可以看看今天的HIT环境,以获得更广泛的答案,为什么即使是最大的组织也会忽视基本的安全措施。

毫无准备的行业
作为大量有价值的病人记录的管理者,卫生保健组织知道他们是特别有吸引力的目标。然而,尽管如此,HIT的安全支出并没有跟上黑客入侵医疗保健网络的步伐。直到最近,大多数关注的焦点都放在了实现电子病历上,而安全性和威胁预防则被放在了次要位置。在HITECH法案之前,许多供应商和实践甚至没有加密医疗保健数据。此外,许多公司都在使用老化和碎片化的遗留IT基础设施——这可能会导致数月或更长时间无法被发现的漏洞。例如,根据有关Beacon漏洞的初步报告,黑客从2013年开始通过网络钓鱼电子邮件进行攻击。

员工过度劳累,安全措施被忽视
整个医疗保健企业都非常需要it专业人员,但没有足够的it专业人员来升级EHR、准备ICD-10、管理网络和不断增长的工作站和移动设备、为多个部门报告收集数据或处理大量其他正在进行的任务,同时还要持续关注大量系统警报和日志文件,以防入侵企图。

因此,黑客袭击了毫无准备的人。

例如,一旦攻击者获得核心基础设施的访问权限,社区卫生系统的主动监控程序就可以帮助减轻损失。如果配置正确,系统信息和事件监控解决方案可以在检测到异常时触发警报。就此而言,一旦发现“心脏出血”漏洞,就应该在Juniper发布补丁后立即进行修补。

但是,如果工作人员捉襟见肘,本应实现的目标很可能几乎不可能实现。对于今天的许多医疗保健组织来说,没有足够的员工时间来进行持续的安全工作,以阻止不断寻求进入其网络的黑客。

最佳实践和云选项
考虑到当前HIT面临的这些挑战和其他挑战,咨询委员会等行业组织建议采用多管齐下的方法,包括审计、升级和使用专门从事健壮性(更重要的是,持续安全性)的组织提供的云服务。提前为漏洞做好准备也很重要。危机处理团队应该由多学科小组组成,包括行政领导、法律/合规/隐私、IT、通信和客户关系。beplay最新备用网站最初的步骤应该是结束危害或纠正风险控制缺陷,恢复受影响的系统,确定事件的原因以及要使用的适当缓解和保护措施。

为了获得更高的安全性选项,考虑长期云存储解决方案可能是明智的,该解决方案不仅符合HIPAA,而且还与医疗保健专用供应商合作。借助云技术,企业可以将数据存储在安全补丁、更新和其他措施可以使用强大的部署工具应用的位置,同时在所有应用程序和数据中维护健全的变更管理流程。这一切都发生在具有许多额外安全层的环境中,从数据加密和漏洞扫描到一系列托管威胁保护服务。

明智地选择云供应商
随着越来越多的医疗保健组织希望将其受保护的健康信息从内部数据中心转移到云计算环境中,需要寻找专注于医疗保健的云合作伙伴。供应商必须能够将持久的安全性和遵从性与规模、良好的操作和快速的创新结合起来,并愿意在此过程中分担风险。beplay最新备用网站这可以确保你与一个认真对待让你的组织远离“耻辱之墙”的供应商合作。

-克里斯·鲍恩是facebook的创始人兼首席隐私和安全官ClearDATA,提供HITRUST csf认证的符合hipaa的云计算。他是认证信息隐私专家、认证信息系统安全专家和认证信息隐私技术专家。