想象一下，您的患者數據被黑客扣為人質(zhì)。 醫療保健中的安全威脅 是一個(gè)真正令人擔憂(yōu)的問(wèn)題。英國的醫療保健行業(yè)最近遭受了有史以來(lái)最大的網(wǎng)絡(luò )攻擊之一。WannaCry 是一種快速發(fā)展的全球勒索軟件攻擊，使 NHS 系統關(guān)閉了幾個(gè)小時(shí)。全國各地的醫療機構都無(wú)法訪(fǎng)問(wèn)患者記錄或安排程序。約會(huì )被推遲，手術(shù)被取消，而專(zhuān)家們正在努力解決這個(gè)問(wèn)題。

盡管這次攻擊也影響了其他公司和行業(yè)，但防御不力的醫療保健系統受到了更大的打擊。這只是表明醫療機構在多大程度上容易受到網(wǎng)絡(luò )威脅的事件之一。了解如何為醫療保健領(lǐng)域的最新網(wǎng)絡(luò )安全威脅做好準備。

防止醫療保健中的網(wǎng)絡(luò )攻擊和安全漏洞的 11 條提示

1. 考慮威脅切入點(diǎn)

入口點(diǎn)是系統中容易被黑客入侵的漏洞的通用術(shù)語(yǔ)。通過(guò)利用此漏洞，黑客可以部署病毒來(lái)降低您的網(wǎng)絡(luò )速度、訪(fǎng)問(wèn)關(guān)鍵的健康信息或移除防御措施以使您的系統在未來(lái)更易于訪(fǎng)問(wèn)。惡意軟件可以從您的網(wǎng)絡(luò )或操作系統中的任何易受攻擊的地方引入。

員工可能會(huì )在不知不覺(jué)中單擊文件、下載未經(jīng)授權的軟件或加載受污染的拇指驅動(dòng)器。此外，當 不使用強安全密碼時(shí) ，會(huì )為黑客創(chuàng )建一個(gè)簡(jiǎn)單的入口點(diǎn)。此外，用于存儲患者數據的醫療軟件和 Web 應用程序被發(fā)現包含許多漏洞。 Kaspersky Security Bulletin 的醫療保健網(wǎng)絡(luò )安全 統計數據發(fā)現，大約有 1500 臺醫療保健專(zhuān)業(yè)人員用于處理患者圖像的設備可供開(kāi)放訪(fǎng)問(wèn)。

2. 了解勒索軟件攻擊

勒索軟件攻擊是一種 特定類(lèi)型的惡意軟件 ，它威脅要鎖定一臺計算機或整個(gè)網(wǎng)絡(luò )，除非支付一定金額。贖金也不一定是不可能的高數字。即使向企業(yè)索要幾百美元，對于黑客來(lái)說(shuō)仍然很容易賺錢(qián)，而對于個(gè)人或公司來(lái)說(shuō)，想辦法找回他們的計算機也更容易管理。

3. 創(chuàng )建勒索軟件策略

一臺損壞的計算機不一定會(huì )帶來(lái)很大的損害。但是，無(wú)法訪(fǎng)問(wèn)電子記錄所在的更大扇區的風(fēng)險可能會(huì )造成破壞，甚至對患者治療造成危險。發(fā)生此類(lèi)事件時(shí)，員工必須立即聯(lián)系其醫療保健 IT 團隊的人員。這應該是他們安全 培訓和整體安全意識的一部分。當他們看到勒索軟件消息時(shí)，他們必須遵循醫療保健組織的程序，而不是試圖自己解決問(wèn)題。

當局警告不要支付勒索軟件的罪魁禍首，因為不能保證會(huì )提供密鑰。犯罪分子還可能重新瞄準過(guò)去曾向他們付款的公司。許多公司通過(guò)報警然后擦除受影響的計算機并將其恢復到以前的狀態(tài)來(lái)解決勒索軟件攻擊。云數據備份可以在發(fā)生攻擊時(shí)輕松恢復系統。災難恢復計劃應在網(wǎng)絡(luò )安全威脅發(fā)生之前完成。

員工在醫療保健安全中的角色

4. 注重員工安全培訓

網(wǎng)絡(luò )安全專(zhuān)業(yè)人員使用強大的防火墻和其他防御措施，但人為因素仍然是一個(gè)薄弱環(huán)節，正如 WannaCry 漏洞利用所顯示的那樣。為了盡量減少人為錯誤，系統管理員需要不斷提醒所有員工注意危險行為。這可能包括從下載未經(jīng)授權的軟件和創(chuàng )建弱密碼到訪(fǎng)問(wèn)惡意網(wǎng)站或使用受感染設備的任何事情。

教育員工如何識別合法和可疑的電子郵件、威脅和網(wǎng)站，從而避免 網(wǎng)絡(luò )釣魚(yú)攻擊。（標志中不尋常的顏色或不同的詞匯都是警告標志）。培訓應定期更新或針對不同的員工群體進(jìn)行定制。

5. 創(chuàng )建或擴展安全性 衡量風(fēng)險級別

應為不同的員工群體提供不同的網(wǎng)絡(luò )訪(fǎng)問(wèn)權限。在醫院，護士可能需要與單位內的其他工作人員共享信息，但其他部門(mén)沒(méi)有理由看到這一點(diǎn)。來(lái)訪(fǎng)的醫生可能只能訪(fǎng)問(wèn)其患者的信息。安全設置應監控各個(gè)級別的未經(jīng)授權的訪(fǎng)問(wèn)或訪(fǎng)問(wèn)嘗試。Digital Guardian 的 Chris Leffel 建議首先進(jìn)行培訓/教育，然后限制特定的應用程序、區域和患者醫療保健數據。他還建議要求多因素身份驗證，這是額外的保護層。

6. 醫療保健行業(yè)網(wǎng)絡(luò )安全應超越員工訪(fǎng)問(wèn)權限

在醫院被黑客入侵后創(chuàng )建更安全、更強大的系統或改進(jìn)網(wǎng)絡(luò )安全框架時(shí)，應牢記患者對醫療保健中敏感數據安全和 IT 的擔憂(yōu)?；颊咄呀?jīng)很緊張，不想擔心數據安全。同樣，系統管理員還應確保威脅情報資金仍然是優(yōu)先事項，這意味著(zhù)繼續投資于安全計劃。宣傳您在患者安全工作中采取了額外措施將推動(dòng)更多有安全意識的患者走上您的道路?；颊哧P(guān)懷。

7. 保護“智能”設備上的健康數據

臺式機、筆記本電腦、手機和所有醫療設備，尤其是那些連接到網(wǎng)絡(luò )的設備，都應該受到監控，并具有防病毒保護、防火墻或相關(guān)防御措施。今天的醫療中心還擁有其他連接的電子設備，例如 IV 泵或胰島素監視器等醫療設備，可將患者信息直接遠程同步到醫生的平板電腦或護士站。這些互連設備中的許多都可能被黑客入侵、中斷或禁用，這可能會(huì )極大地影響患者護理。

8. 為您的數據考慮云遷移

云為醫療保健數據存儲和備份提供了安全靈活的解決方案。它還提供了按需擴展資源的可能性，這可以顯著(zhù)改善醫療保健組織管理數據的方式?；谠频膫浞莺蜑碾y恢復解決方案可確保即使在出現違規或停機的情況下患者記錄仍然可用。結合控制數據訪(fǎng)問(wèn)的選項，這些解決方案可以提供所需的安全級別。借助云，醫療保健組織不必在關(guān)鍵基礎設施上進(jìn)行大量投資以進(jìn)行數據存儲。 符合 HIPAA 標準的云存儲 可顯著(zhù)降低 IT 成本，因為不需要任何硬件投資。隨著(zhù)機構數據存儲需求的變化，它還帶來(lái)了新的靈活性。

9. 確保供應商合規

由美國衛生與公眾服務(wù)部和國土安全部成立的醫療保健行業(yè)網(wǎng)絡(luò )安全工作組警告供應商注意供應鏈中的脆弱領(lǐng)域。他們的要求之一是讓供應商采取適當的措施來(lái)監控和檢測威脅，并限制對其系統的訪(fǎng)問(wèn)。保險公司、基礎設施提供商和任何其他醫療保健業(yè)務(wù)合作伙伴必須擁有一塵不染的安全記錄才能保護醫療信息。這對于從第三方供應商外包 IT 人員的組織來(lái)說(shuō)尤其重要。

10. HIPAA 合規性如何提供幫助

較大的醫療保健組織至少有一個(gè)人致力于確保 HIPAA 合規性。他們的主要職責是創(chuàng )建和執行安全協(xié)議，以及制定遵循 HIPAA 建議的綜合隱私政策。

對員工進(jìn)行 HIPAA 法規教育有助于營(yíng)造安全文化。它還有助于組建特定的 HIPAA 團隊，這些團隊還可以分享有關(guān)如何限制醫療數據或組織中進(jìn)一步網(wǎng)絡(luò )防御的建議。

HIPAA 合規性是處理醫療數據或與醫療機構合作時(shí)必須遵循的基本標準。它對醫療數據安全的整體改善影響顯著(zhù)，這就是為什么醫療保健行業(yè)的每個(gè)人都應該意識到這一點(diǎn)。

11.推動(dòng)自上而下的安全計劃

每個(gè)醫療機構都可能有安全人員和 IT 團隊，但它們很少重疊。在管理層面增加醫療網(wǎng)絡(luò )安全職責，即使是作為行政職位，也可以帶來(lái)多重好處。它可以確保創(chuàng )建、啟動(dòng)和執行正確的計劃，以及為安全計劃提供資金。面對網(wǎng)絡(luò )安全威脅，積極主動(dòng)是確保長(cháng)期安全的關(guān)鍵。定期風(fēng)險評估應成為任何醫療保健提供者的威脅管理計劃的一部分。