深潜

2017年每位医院高级管理人员应熟悉的4种网络安全威胁

在医疗数据威胁不断变化的雷区中,管理员应准备好参与有关如何向前迈进的对话。

想了解更多 网络安全? 查看 我们的综合指南 分析2017年及以后影响医疗保健的网络安全趋势和主题。

随着医疗保健数据泄露事件的发生率超过 2016年每天, 对于医院管理员来说,了解他们最大的漏洞至关重要。这是今年医院关注的主要领域的鸟瞰图。

不良的网络安全做法

在许多组织中,仍然缺乏足够的安全文化,医院或员工没有遵循最佳实践,这可能是由于缺乏教育,或者是出于努力和/或成本负担太重的态度。

由于医疗保健网络安全的许多方面仍然不受监管,因此行业内的兴趣和投资水平差异很大。从IT角度来看,一个基本问题仍然是缺乏数据加密。在临床医生中,常见的问题仍然是密码选择和保护不佳,一些人通过在组之间共享密码或将其发布在监视器上来直接解决这些问题。 

联邦法规 目前离开医疗保健开发商和组织非常多 自己打电话,尽管一些利益相关者认为这比实行更多监管更可取。尽管议员们一直在考虑进一步监管,但尚不清楚在新的特朗普政府领导下将会发生什么。   

无论情况如何,组织都不应依靠法规来告诉他们该怎么做或确保他们达到审慎的安全级别。横幅健康原为 遭到重大集体诉讼 去年 指称卫生系统在网络安全方面的疏忽大意,导致370万人的数据通过其自身系统以及 其食品供应商。根据TrapX Security的数据,按患者记录数量而言,这是2016年最大的医疗保健网络攻击。本月初,达拉斯儿童医学中心被罚款 罚款320万美元 由HHS的OCR追溯到2009年和2013年。该机构表示,Children's直到2013年仍未采取措施阻止此类侵犯行为,尽管他们意识到了风险。

“如果您不遵循良好做法,那么监管环境将无法挽救您,” 众议员威尔·赫德(R-TX), 众议院监督网络安全小组委员会负责人 在2016年说, 补充说,“医疗保健必须自救。”

内部威胁

根据a的说法,2016年将近一半(43%)的医疗保健数据泄露是由于内部威胁(既无意又有恶意)造成的。 Protenus的报告.

内部问题继续包括家用/个人笔记本电脑,USB和其他移动设备的丢失或被盗,尽管随着云计算的兴起,将敏感数据存储在此类设备上的需求越来越少,而特定漏洞可能会更多容易避免。就在去年 美国牙科协会受到批评 在不经意间将感染了恶意软件的USB驱动器邮寄给成员之后,而不是使用安全的云技术。

另一个持续存在的基本问题是医院或连接的供应商通过IT热潮意外暴露患者数据。当马里兰州马里奥茨维尔的Bon Secours卫生系统不得不通知 超过65万患者 他们的数据暴露了几天,而相关业务R-C 卫生保健 Management调整了其网络设置。

最近说 由《福布斯》网络安全专家Reg Harnish撰写,“负责安全性的人承认人为最大风险,但对此却无能为力。”

数据保护还需要考虑恶意的内部人意图,这强调了按需访问数据和保护个人登录的需求-特别是在人员快速流动,拜访顾问以及外部人能够进入和访问内部人系统的可能性中。最近发生的事件表明,惊喜确实来自内部,就像何时 工作人员从事计费欺诈 or 不正确地查看名人患者的记录,或何时 局外人冒充医院工作人员.

医疗设备

网络安全问题已从主要计算机系统扩展到了不那么明显的技术,这些技术可以为黑客提供后门,例如与其他医院系统连接的床头监视器和扫描仪。

此过程被称为医疗设备劫持或“ MEDJACK”,在2015年首次广为人知之后,一直持续到2016年,并且预计将继续上升。医疗设备是不断发展的“物联网”的一部分,“物联网”指的是现在组成集成Web的各种技术。

由于缺乏法规,医疗设备黑客已成为一种特殊的威胁,设备制造商不受HIPAA的安全标准约束。但是,在FDA于2016年最后几天发布有关此问题的动静时, a 30页的文件 其中不仅包括针对新设备的指南,还包括制造商识别和解决市场上已有设备漏洞的指南。

指南发布之际,FDA继续调查2016年最引人注目的医疗设备案,在该案中,St。Jude Medical被指控使其心脏设备容易受到黑客攻击,该黑客可用于将其武器化,以对抗使用它们的患者。 最终导致设备召回.

勒索软件

除了医疗设备黑客攻击外,TrapX Research还把勒索软件确定为2016年的另一大趋势,并预计在2017年将继续增长。 

这些骇客骇人地劫持了医疗系统,抢劫了需要付费才能归还系统控制的医院系统。医疗保健实体被视为理想的目标,因为它对于避免数据或服务中断至关重要。    

根据一个 Protenus 2016年分析,包括勒索软件在内的所有种类的黑客攻击,占所有医疗保健数据泄露事件的26.8%。在研究的120起黑客事件中,有30起涉及勒索软件,另外10起涉及涉及访问数据的其他勒索形式。 Protenus进一步建议,鉴于HHS仅指定必须在7月份将勒索软件报告为违规行为,并且该机构的违规报告工具并未将违规代码具体编码为勒索软件,因此该数字可能更高。    

去年,勒索软件攻击开始盛行 那些 好莱坞长老会医疗中心,据报道 支付了赎金以及位于马里兰州的MedStar医院系统,据报道 重新获得控制权而没有付出。据说两者都花了几天时间恢复到笔和纸上,而系统却被锁定。

可用指南 对于医院而言,几乎没有什么帮助可言,它具有使趋势崩溃和加剧趋势的风险,与在任何时间段都失去对系统数据的控制相比,这很难量化。

这给医院管理员留下的答案几乎没有,但是准备参加在威胁雷区中前进的对话将是任何医院管理员都应该理所当然的。

提起下: 卫生IT