深潜

是什么让首席信息官们& CISOs up at night

健康数据一直是黑客的明确目标,他们的攻击越来越聪明。网络安全专家指出,教育和高级管理人员的支持是关键的预防策略。

想了解更多 网络安全? 查看 我们的综合指南 分析2017年及以后影响久发国际保健的网络安全趋势和主题。

从网络安全的角度来看,2016年11月对于久发国际保健行业而言并不是一个好月份。根据Protenus的数据,11月份共有58次健康数据泄露,是2016年此类事件的最高记录。 2016年不是很好的一年 整体上根据Protenus的数据,2016年每天平均发生至少一次健康数据泄露事件,影响27,314,647位患者记录。 ”我们很乐意告诉您,到今年年底情况开始有所改善,但不幸的是事实并非如此。”数据保护公司表示。

如果这些趋势持续下去(看起来可能),医院的CIO和CISO肯定会在2017年完成工作。随着医院和卫生系统继续建立其网络安全战略,重点应突出于员工培训,访问管理,设备加密以及进行适当的网络安全的意愿。最佳做法。 “作为久发国际保健提供者,我们应归功于患者以保护其数据,” 纽约长老会(NYP)的CIO 丹尼尔·巴尔奇告诉Healthcare Dive。

快速回顾的一年

去年值得注意的网络攻击要点包括 好莱坞长老会久发国际中心向黑客支付了17,000美元 使勒索软件成为遍布医院执行办公室的午餐室主题。去年8月,班纳健康(Banner Health)披露了以下事件,从而为大多数受网络攻击影响的患者赢得了不幸的奖项: 泄露了370万病历.

随着不良行为者试图访问受保护的健康信息,预防和管理网络攻击已成为CIO和CISO职位描述的日常任务。尽管如此,大多数数据泄露还是来自医院内部。 变形虫分析的450起事件中,有192起(43%)是内部工作,相比之下,被认可为黑客和勒索软件的违规事件为26.8%。但是,黑客和勒索软件造成了影响患者的更大的漏洞。 ”对于我们分析中包含的120个黑客事件,我们记录了99个事件的受影响记录数;这99起事件导致了惊人的23,695,069条违反记录,占分析中所有患者记录的87%。” 变形虫指出。


“作为久发国际保健提供者,我们欠患者以保护其数据。”

丹尼尔·巴尔奇

纽约长老会首席信息官


HHS的民权办公室(OCR)在2016年下半年使该行业处于防御状态,因为它温和地提醒久发国际机构 重新评估他们的电子认证方法 并将其区域办事处直接 增加对较小违规行为的调查。可以看到这种努力最终达到一个例子,其中 达拉斯儿童久发国际中心二月份被罚款320万美元 在HHS调查了多个违规行为并确定该组织直到2013年仍未采取措施阻止此类事件发生后,尽管意识到了风险。该新闻强调了此类事件可能给组织造成的损失:大约700万美元是数据泄露的平均总成本, 2016年6月Ponemon Institute为IBM进行的研究 found.

需要高层领导的参与和投资

华盛顿特区霍华德大学医院首席信息官罗贝卡·卡门(Robecca Quammen)博士表示,网络安全的重要性有时可能对医院管理人员来说是一条艰难的消息,因为当组织没有遭受攻击时,它就不在您的视线范围之内。在MyConsultQ。但是,具有前瞻性的卫生组织应准备对违规行​​为做出反应。剑桥健康联盟(位于大波士顿地区的三医院系统)的应用程序和CISO负责人Arthur Ream III对久发国际保健潜水公司说:“不是您被违反,而是时候。” 

NYP的网络安全策略之一是首先承认它的重要性。 Barchi告诉Healthcare Dive,“我们有一个希望在桌面上解决问题的环境”,讨论组织在橱柜中的骨架,并补充说,高层管理人员需要考虑揭露一些组织机密会带来的真正风险。印刷中。 

注意到过去五年来,不良行为者显然将久发国际保健作为目标,最好的预防方法之一是对人员和工具进行投资,David Finn,h赛门铁克,前CIO和德克萨斯儿童医院信息服务副总裁的健康IT官员对Healthcare Dive表示。 “从历史上看,久发国际保健没有在安全方面进行投资。”里姆同意, “医院和卫生系统尚未获得安全团队的全部资助。”对Ream而言,久发国际保健数据正变得比信用卡数据更有价值,在这种情况下,不良行为者可以从组织中窃取健康数据并在很长一段时间内零碎出售。 


“从历史上看,久发国际保健没有在安全方面进行投资。”

亚瑟·雷姆三世

剑桥健康联盟应用程序和CISO主管


Barchi表示:“我们经常谈论信息安全对整个久发国际行业的生存构成威胁,因此,我们的领导人给予了我们雇用员工和实施所需工具的自由,” Barchi补充说,有时可以马上看到好处。 。例如,最近实施了一个新的电子邮件系统,该系统可以识别电子邮件何时来自组织内部([INT])或组织外部([EXT])。根据Barchi的说法,该系统于星期五早上10点安装,到11点30分,安全团队发现了一个标记为[INT]的可疑消息,实际上是[EXT]电子邮件。

NYP首席信息安全官(CISO)副总裁詹宁斯·阿斯克(Jennings Aske)表示:“久发国际保健不应只关注某种疯狂或令人兴奋的威胁,而应关注基本阻止和应对措施。

劳动力教育很重要

Quammen承认,首席执行官们渴望拥有高流动性和易于访问的无处不在的数据,这可能与网络安全举措相抵触,无法保护患者数据。 Quammen告诉Healthcare Dive:“屈服于便利性和易用性的压力是最大的安全杀手。”

据Quammen称,适当的访问级别和工人之间的身份验证措施是必不可少的工作。她说:“便利不能压倒安全。”

除了限制访问权限(例如,某些工作人员可能希望阅读名人的文件)之外,还应该在整个组织中部署网络安全教育。 Ream坦率地说:“您的员工是您最大的风险。”

从Healthcare Dive听到的故事来看,Ream没错。 Finn在网络钓鱼攻击试验中指出,他通常发现各个行业的点击率均为20%,这意味着有人点击了包含病毒的链接。在久发国际保健领域,范围从20%到60%更大。 Finn告诉Healthcare Dive:“我见过的最高单次点击率是久发国际服务提供商,其中有92%的用户收到了仿冒电子邮件的点击。”

Quammen分享了以前医院的一个故事,她只被告知并阻止了病毒渗透到系统,因为员工无法打开系统网络上共享文件夹中的受感染文件,并致电该组织的帮助台进行请求该文件被打开,幸运的是,文件被识别为包含恶意软件后向可以隔离该文件的资源报告。


“屈从于便利性和易用性的压力是最大的安全杀手。”

罗贝卡·夸曼博士

霍华德大学医院首席信息官兼MyConsultQ首席执行官


根据他的经验,芬恩发现医院经常进行飓风或化学品泄漏反应计划的演练,但许多医院缺乏网络安全演练,其雇用的首席信息安全官(CISO)少得多,他认为该角色应具有权威性并能够管理预算。 

剑桥健康联盟还开展网络钓鱼活动。单击“不良”链接的个人将被发送到教育页,以完成能够返回互联网有趣部分(如cat GIF和Kermet the Frog memes)的操作。此外,剑桥健康联盟每年两次进行违规演习,演习始于CEO,然后一直贯穿整个组织。通过此过程,组织可以调整和更改其安全策略。

Barchi说,尽管市场上有很多用于网络安全的技术,但“一切都与人有关”。他指出,教育劳动力并让他们意识到并警惕威胁将使他们在出现威胁时能更好地应对此类威胁。

漫游设备和日志管理

在2010年,您无法启动您选择的互联网浏览器,也无法从久发国际保健组织了解到有关笔记本电脑或USB驱动器被盗或放错位置的信息,从而导致通知 x 一些患者的健康数据可能已被破坏。

随着越来越多的记录转移到云中,并且工作人员在加密此类设备方面变得越来越聪明,您看到的这些违规通知将越来越少。巴尔奇说:“它仍在发生,但与更令人兴奋的违规相比却相形见,。”他补充说,以数字方式向临床存储转移的做法,已促使大规模的违规行为发生了巨大变化,这些变化是由于黑客入侵而发生的。


“久发国际保健不应像对待基本的阻止和应对措施那样集中于某种疯狂或令人兴奋的威胁。”

詹宁斯·阿斯克

纽约长老会CISO


Quammen指出,未加密的笔记本电脑漏洞可能已关闭,但攻击发生的方式是许多管理员可能无法想到的。例如,生物医学设备或可移动推车可以配备有未加密的笔记本电脑,这些笔记本电脑位于不安全的办公室和临床区域。 Quammen说,这类笔记本电脑需要在上锁的房间中进行加密,捆绑和保护,因为患者数据通常是手动输入的,有时不受保护的笔记本电脑可以从门外走出来。她描述了一个实例,其中这种笔记本电脑被盗,并且查看特定CPT测试代码的账单记录是唯一可用来识别患者队列列表以通知患者可能违规的方法。

Quammen说:“加密需要管理所有设备,并在企业级加密软件合同中保持通行,并且要保持警惕,如果没有设备,则不要部署该设备。”笔记本电脑附带不受IS控制的诊断测试和生物医学设备的临床领域已经出现潜在的HIPAA违规情况。

在网络攻击方面,网络上的每个设备都会生成一个活动日志,该日志提供可进行分析以了解攻击的信息,Aske指出。他说:“就安全状况而言,日志管理是真正的推动力。”

下一步是什么?

黑客变得越来越快,越来越聪明,并且意识到了如何进入久发国际保健领域。久发国际IT新闻最近报道 不良行为者成功进行网络攻击的48%涉及使用恶意软件Quammen说:“要认识到,保护PHI或任何类型的受保护信息不是一次性的任务,它是一项日常任务,需要比不良行为者的创造力领先一步。”

例如,Quammen提供了一个故事,她和她的团队不得不在24小时内手动阻止Zepto病毒造成7,000次点击。 她说:“有一段时间,当技术团队观察机器行为时,机器学习变得无聊并将攻击转变为不同的地址格式。” “我以前从未经历过。”

Ream分享了物联网(IoT)的趋势,它可以打开网络安全威胁,这在安全人员中可能并不是最重要的。例如,对于智能建筑,连接到报告水量的联网水管是组织信息系统的另一条途径。

他认为趋势正在出现,供应商开始利用一站式安全解决方案来推销自己,以利用内部安全团队的建立成本高昂这一事实。安全运营中心(SOC)和网络运营中心(NOC)之类的解决方案将来可能会吸引久发国际保健组织。

Cognetyx总裁Santosh Varughese说:“结合了取证技术的AI技术正在日益普及。目前,最好的国防安全官员可以提供针对EHR的强大保护。” “这仅是有道理的,因为这是存储数据的地方,而不是保护网络。为什么可以在保护金矿安全的情况下保护通往城堡的整条道路呢?”

Finn经常遇到的一个问题是“勒索软件何时终止?”一个简单的答案是“在人们停止付款时做出回应”,但他还认为,随着共享足够的预防最佳实践信息,并且最终用户人员接受了有关攻击的培训,勒索软件将在2017年底下降。 Barchi告诉Healthcare Dive,减少勒索软件最有效的方法之一是通过出色的存储管理,包括投资于简单的存储备份,以帮助避免丢失健康数据或避免向勒索软件攻击者付款。 Barchi说:“我们已经能够使用这种方法使受影响的计算机脱机并转移到备份并快速恢复数据并继续运行。”

Finn为网络安全的未来担心的是攻击正在迁移到云中。 Finn指出,如果成功地攻击了一个大型云提供商,那么从理论上讲,它可能会关闭许多订阅组织。许多小型提供商使用基于云的EMR或托管的EMR。

跟随 推特

提起下: 卫生IT