自 2010 年以来,网络犯罪攻击增加了 125%,现在是医疗保健数据泄漏的主要原因。据调查发现 89% 的人经历过医疗数据泄漏,其中 50% 的泄漏可归因于网络犯罪攻击。大多数违规行为都很小,影响的患者记录不到 500 条,但有些违规行为规模很大,而且成本很高。此外,医疗保健企业在很大程度上没有准备好保护患者数据免受不断变化的安全威胁。
为了充分保护数据免受网络犯罪分子的侵害,医疗保健企业和其业务伙伴们必须实施强大的安全措施,以保护患者数据免受越来越多的各种威胁。这些医疗网络安全最佳实践旨在跟上不断变化的威胁形势,解决端点和云中的隐私和数据保护威胁,并在数据传输、静止和使用时保护数据。这需要多方面的、复杂的安全方法。
1. 教育医护人员
人为因素仍然是所有行业安全面临的最大威胁之一,尤其是在医疗保健领域。简单的人为错误或疏忽可能会给医疗机构带来灾难性和代价高昂的后果。安全意识培训使医疗保健员工具备做出明智决策所需的必要知识,并在处理患者数据时采取适当的谨慎态度。
2. 限制对数据和应用程序的访问
实施访问控制通过限制对患者信息和某些应用程序的访问仅限于那些需要访问以执行其工作的用户来加强医疗保健数据保护。访问限制需要用户身份验证,确保只有授权用户才能访问受保护的数据。多因素身份验证是一种推荐的方法,要求用户使用两种或多种验证方法来验证他们实际上是有权访问某些数据和应用程序的人,包括:
l 只有用户知道的信息
l 只有授权用户才能拥有的东西
l 授权用户独有的东西
3. 实施数据使用控制
保护性数据控制超越了访问控制和监控的好处,以确保可以实时标记和/或阻止有风险或恶意的数据活动。医疗保健企业可以使用数据控制来阻止涉及敏感数据的特定操作,例如 Web 上传、未经授权的电子邮件发送、复制到外部驱动器或打印。数据发现和分类通过确保可以识别和标记敏感数据以获得适当级别的保护,在此过程中发挥重要的支持作用。
4. 记录和监控使用
记录所有访问和使用数据也很重要,使提供商和业务伙伴能够监控哪些用户正在访问哪些信息、应用程序和其他资源,以及何时以及从哪些设备和位置访问。这些日志证明对于审计目的很有价值,可帮助企业识别关注领域并在必要时加强保护措施。当事件发生时,审计跟踪可以使企业查明精确的切入点、确定原因并评估损害。
5. 加密静态和传输中的数据
文档加密是医疗保健企业最有用的数据保护方法之一。通过加密传输中和静止的数据,医疗保健提供者和业务伙伴使攻击者更难(理想情况下不可能)破译患者信息,即使他们获得了数据的访问权限。Ping32提议,不进行具体要求医疗机构实施数据加密措施;相反,可以让医疗企业和业务伙伴根据其企业的工作流程和其他需求,自行来确定哪些加密方法和其他措施,这样更可以制定符合自己企业的策略