(资料图片)
5大医疗保健数据安全挑战和数据保护技巧
负责保障医疗数据安全的人不能想当然地认为这些数据永远不会被泄露。最好的假设是信息始终处于危险之中。
积极主动对于减少医疗保健数据被泄露的可能性至关重要,特别是考虑到这些信息对黑客的价值。更不用说它有多丰富了。许多医院数据库保存着数万甚至数百万患者的记录。可用的有价值信息的数量使黑客想要将目标锁定在医院、门诊中心和类似站点。网络罪犯分子可以非法获取包含患者私人信息的记录,包括其疾病、付款详情等,并以高额赎金勒索所有这些信息。
考虑到这种危险,本文将探讨医疗保健行业中一些最大的数据保护挑战,以及医院和其他组织如何最大程度地减少其不利影响。
5大医疗保健数据安全挑战
1、勒索软件当黑客锁定数据或系统并要求受影响方支付赎金以恢复信息时,就会发生勒索软件攻击。这越来越普遍且致命,预计到2023年损失将超过300亿美元。更糟糕的是,付出代价并不总能得到受害者想要的结果。卡巴斯基2021年的一项研究表明,超过56%的受访者支付了赎金。然而,17%的人在这样做之后并没有赎回其数据。此外,许多人在完全恢复其合法访问权方面遇到了困难。例如,尽管32%的人尽了最大的努力,还是丢失了一些数据。只有29%的遭受勒索软件攻击的人表示可以再次访问其所有数据。2、数据处理不当医疗机构是繁忙的地方,许多工人在处理许多任务时承受着巨大的压力。这些综合挑战意味着其并不总是能正确处理数据,这可以说是为黑客敞开了大门。COVID-19大流行使医护人员承受额外压力,最终可能危及安全。Verizon在2022年发布的一份关于医疗保健违规的报告发现,员工犯下损害数据的错误的可能性是恶意滥用其访问权限的2.5倍以上。排名前两位的错误是丢失数据或将数据错误发送。3、用于某些健康研究的数据的不确定性医疗保健数据一直是医学研究进展中不可或缺的一部分。研究人员从患者那里获得的信息有助于了解潜在的新疗法、了解特定症状如何成为疾病的征兆等等。然而,谨慎和合乎道德地处理信息是至关重要的。问题在于,当前的数据处理实践通常没有考虑到人工智能(AI)。换句话说,数据可能不在人类网络浏览器的视野范围内,但对人工智能爬虫完全开放,然后人工智能爬虫可以将其传递出去。与此相关的是,存在一个所谓的黑盒问题,通常无法回溯并查看人工智能算法如何得出某些结论。4、第三方医疗企业问题医疗保健组织围绕数据制定了不同的政策和策略,其中一些可能会带来麻烦。想想联邦贸易委员会如何对处方药比较服务GoodRX处以150万美元的民事罚款,因为其在未经披露或用户许可的情况下向Google、Facebook和其他企业提供了消费者健康数据。在另一个例子中,心理健康远程医疗Cerebral承认了一项数据泄露事件,即向第三方泄露了受保护的健康信息。据报道,该问题影响了超过300万患者。5、互联网卫生和数据安全措施不佳许多处理医疗保健数据的人没有遵循确保数据安全的最佳做法。这个问题尤其涉及众多行业。一项研究表明,63%的人重复使用工作设备和账户的密码。这些重复使用的密码使黑客可以访问更多站点。一位医疗保健系统高管的工作笔记本电脑被盗,内含40,000多份医疗记录,且设备的信息未加密。受影响的医疗保健系统的各方花费了20多万美元来处理事件的善后工作,并改善政策,以减少类似事件发生的可能性。
如何保护医疗保健数据
没有一种方法能保证数据的安全。但这里有一些值得考虑的最佳实践,包括备份数据、制定明确的指导方针,以及为员工提供培训和鼓励以负责任的方式处理私人数据。1、保持数据备份2022年一项针对全球医疗保健组织的研究表明,57%的受访者在过去三年中遭受过勒索软件攻击。四分之一的受访者承认这些问题导致运营中断,而60%的受访者表示影响了一些业务流程。此外,56%的受访者表示需要数天时间才能恢复运营,而24%的受访者表示需要数周时间。拥有最新的数据备份可以最大限度地缩短勒索软件恢复的时间,因为其降低了与网络犯罪分子接触以恢复数据的紧迫性。但这并不能解决所有问题。IT团队仍必须确定黑客是如何造成破坏并解决问题,防止任何敏感数据被滥用或泄露给公众,并与执法部门合作抓捕应对攻击负责的罪犯。2、考虑独立认证许多医疗保健机构都经过独立的认证程序,以了解其是否符合行业标准。这可以改善运营并提高声誉。证据还表明,当保险公司考虑提供什么样的套餐和费率时,认证可以提高信心。数据处理措施和整体网络安全只是与认证相关的一些方面。其将帮助组织整体上更顺畅、更高效地运行,从而减少漏掉重要问题的可能性。3、为研究中使用的健康数据制定明确的准则几十年来,健康数据一直是研究的重要组成部分。然而,人们现在使用其方式有所不同,包括在大数据平台和人工智能项目中工作。对于医疗保健管理人员、IT团队和研究人员来说,现在是解决研究中处理数据的具体问题的绝佳时机,特别是因为这项工作通常涉及多个组织之间的协作。4、评估第三方医疗企业的隐私政策IT团队应该创建和分发文档,强调患者数据不一定要留在医疗保健组织内部。例如,医院可能会使用第三方服务进行预约设置或计费。高层们应该彻底审查其所有的外部供应商,并小心其将重要的组织数据委托出去。同时,所有患者在使用任何第三方医疗服务前都应仔细阅读其隐私政策。还应该设置强而独特的密码,并且永远不要通过公共Wi-Fi访问健康数据。5、为员工提供持续的网络安全培训当数据安全成为文化的一部分时,人们将更应该了解其行为如何影响组织中的其他人。所有以任何身份处理数据的工作人员都应接受定期、持续的网络安全培训。员工还必须学会报告网络安全漏洞或在网络上注意到的异常活动,无论是否自己造成的。
所有医疗保健组织都应使用的4种安全工具
强大的技术堆栈为组织提供了必要的工具来防止攻击。以下是一些最常推荐的类型。1、防火墙防火墙允许组织的IT团队设置特定参数来过滤网络的持续和传入流量。防火墙是医疗机构专用网络和公共互联网之间的主要屏障。2、入侵防御系统入侵防御系统(IPS)是专门的硬件或软件工具,可以持续监控网络流量是否存在异常活动,并在遇到异常活动时采取措施。其可能会阻止流量或提醒相关方。3、网络访问控制网络访问控制(NAC)基于某些组合凭证和特征允许或拒绝人们使用网络。例如,IT管理员可以指定,如果有人试图从不寻常的位置登录,则不能访问系统——即使有适当的凭据。4、端点安全端点安全包括阻止黑客将面向用户的设备变成接入点的工具和措施。这可能意味着运行防病毒软件并确保员工使用更新的操作系统。
医疗保健数据安全标准
在医疗保健领域工作和处理数据的人员必须遵循多项与安全相关的标准,包括HIPAA、GDPR、HITRUST CSF和ISO/IEC 27001。重要的是,不仅这些标准要到位,且员工要精通其应用。任何被发现是由组织疏忽造成的违规行为都可能导致罚款和诉讼等进一步损害。1、HIPAA1996年的《健康保险流通与责任法案》(HIPAA)是一部联邦法律,与保护患者医疗记录免遭未经授权披露的标准有关。HIPAA隐私规则适用于所有被视为涵盖实体的组织和个人,包括医疗保健提供者、医疗保险公司及其任何业务伙伴。2、GDPR通用数据保护条例(GDPR)是适用于欧盟居民数据处理实践的隐私法。虽然从技术上讲,其只适用于专门针对这些人的组织,但最好的做法是在任何可能在欧盟开展业务的组织中实施,以确保法律的安全。GDPR规范了数据的收集、处理和使用。健康信息由于其敏感性而受到特别严格的GDPR保护。3、HITRUST CSF健康信息信任联盟(HITRUST)通用安全框架(CSF)提供可认证的参数,以帮助医疗保健提供者展示其安全性和合规性实践。HITRUST为HIPAA涵盖的实体、云提供商和其他人提供了一个基准测试系统,以验证是否符合监管标准。CSF有19个与网络安全相关的领域的细节。组织可以进行自我评估或获得CSF验证或认证。4、ISO/IEC 27001和ISO 27799:2016这些来自国际标准化组织(ISO)和国际电工委员会(IEC)的标准为处理某些类型的敏感信息提供了详细的控制。ISO/IEC 27001涉及信息安全管理系统。遵守该标准的组织已经开发了风险管理系统来保护相关数据并专注于持续改进。ISO 27799:2016是专门针对健康信息学的标准。其适用于数字文档、手写笔记、医学图像和录音。其还涉及人们如何传输和接收此信息。5、美国国家标准技术研究院(NIST)框架NIST框架最初仅适用于联邦实体和承包商,因此不适用于私人医疗机构。现在,非政府组织(包括医疗保健领域的组织)的关注点和自愿性范围更广。作为安全政策的可选补充,其旨在帮助企业更好地了解、管理和降低其网络安全风险并保护其网络和数据。6、支付卡行业数据安全标准(PCI DSS)所有接受商品或服务付款的医疗保健组织都必须遵守PCI DSS。其涵盖处理、存储和传输支付卡数据。如果不遵守这一国际公认的标准,组织将面临罚款的风险。
底线:为医疗机构保护数据
在医疗保健行业中,适当的数据安全措施至关重要。不遵守这些规定的组织可能面临违规或信息滥用的风险。此类问题可能会影响患者护理,并损害机构的声誉。在处理如此大量极其敏感数据的行业中,几乎没有出错的余地。好在,了解风险并采取措施减轻风险,可以在很大程度上保证患者数据和组织的安全。