想象一下，您的患者數(shù)據(jù)被黑客扣為人質(zhì)。 醫(yī)療保健中的安全威脅 是一個真正令人擔憂的問題。英國的醫(yī)療保健行業(yè)最近遭受了有史以來最大的網(wǎng)絡攻擊之一。WannaCry 是一種快速發(fā)展的全球勒索軟件攻擊，使 NHS 系統(tǒng)關閉了幾個小時。全國各地的醫(yī)療機構都無法訪問患者記錄或安排程序。約會被推遲，手術被取消，而專家們正在努力解決這個問題。

盡管這次攻擊也影響了其他公司和行業(yè)，但防御不力的醫(yī)療保健系統(tǒng)受到了更大的打擊。這只是表明醫(yī)療機構在多大程度上容易受到網(wǎng)絡威脅的事件之一。了解如何為醫(yī)療保健領域的最新網(wǎng)絡安全威脅做好準備。

防止醫(yī)療保健中的網(wǎng)絡攻擊和安全漏洞的 11 條提示

1. 考慮威脅切入點

入口點是系統(tǒng)中容易被黑客入侵的漏洞的通用術語。通過利用此漏洞，黑客可以部署病毒來降低您的網(wǎng)絡速度、訪問關鍵的健康信息或移除防御措施以使您的系統(tǒng)在未來更易于訪問。惡意軟件可以從您的網(wǎng)絡或操作系統(tǒng)中的任何易受攻擊的地方引入。

員工可能會在不知不覺中單擊文件、下載未經(jīng)授權的軟件或加載受污染的拇指驅(qū)動器。此外，當 不使用強安全密碼時 ，會為黑客創(chuàng)建一個簡單的入口點。此外，用于存儲患者數(shù)據(jù)的醫(yī)療軟件和 Web 應用程序被發(fā)現(xiàn)包含許多漏洞。 Kaspersky Security Bulletin 的醫(yī)療保健網(wǎng)絡安全 統(tǒng)計數(shù)據(jù)發(fā)現(xiàn)，大約有 1500 臺醫(yī)療保健專業(yè)人員用于處理患者圖像的設備可供開放訪問。

2. 了解勒索軟件攻擊

勒索軟件攻擊是一種 特定類型的惡意軟件 ，它威脅要鎖定一臺計算機或整個網(wǎng)絡，除非支付一定金額。贖金也不一定是不可能的高數(shù)字。即使向企業(yè)索要幾百美元，對于黑客來說仍然很容易賺錢，而對于個人或公司來說，想辦法找回他們的計算機也更容易管理。

3. 創(chuàng)建勒索軟件策略

一臺損壞的計算機不一定會帶來很大的損害。但是，無法訪問電子記錄所在的更大扇區(qū)的風險可能會造成破壞，甚至對患者治療造成危險。發(fā)生此類事件時，員工必須立即聯(lián)系其醫(yī)療保健 IT 團隊的人員。這應該是他們安全 培訓和整體安全意識的一部分。當他們看到勒索軟件消息時，他們必須遵循醫(yī)療保健組織的程序，而不是試圖自己解決問題。

當局警告不要支付勒索軟件的罪魁禍首，因為不能保證會提供密鑰。犯罪分子還可能重新瞄準過去曾向他們付款的公司。許多公司通過報警然后擦除受影響的計算機并將其恢復到以前的狀態(tài)來解決勒索軟件攻擊。云數(shù)據(jù)備份可以在發(fā)生攻擊時輕松恢復系統(tǒng)。災難恢復計劃應在網(wǎng)絡安全威脅發(fā)生之前完成。

員工在醫(yī)療保健安全中的角色

4. 注重員工安全培訓

網(wǎng)絡安全專業(yè)人員使用強大的防火墻和其他防御措施，但人為因素仍然是一個薄弱環(huán)節(jié)，正如 WannaCry 漏洞利用所顯示的那樣。為了盡量減少人為錯誤，系統(tǒng)管理員需要不斷提醒所有員工注意危險行為。這可能包括從下載未經(jīng)授權的軟件和創(chuàng)建弱密碼到訪問惡意網(wǎng)站或使用受感染設備的任何事情。

教育員工如何識別合法和可疑的電子郵件、威脅和網(wǎng)站，從而避免 網(wǎng)絡釣魚攻擊。（標志中不尋常的顏色或不同的詞匯都是警告標志）。培訓應定期更新或針對不同的員工群體進行定制。

5. 創(chuàng)建或擴展安全性 衡量風險級別

應為不同的員工群體提供不同的網(wǎng)絡訪問權限。在醫(yī)院，護士可能需要與單位內(nèi)的其他工作人員共享信息，但其他部門沒有理由看到這一點。來訪的醫(yī)生可能只能訪問其患者的信息。安全設置應監(jiān)控各個級別的未經(jīng)授權的訪問或訪問嘗試。Digital Guardian 的 Chris Leffel 建議首先進行培訓/教育，然后限制特定的應用程序、區(qū)域和患者醫(yī)療保健數(shù)據(jù)。他還建議要求多因素身份驗證，這是額外的保護層。

6. 醫(yī)療保健行業(yè)網(wǎng)絡安全應超越員工訪問權限

在醫(yī)院被黑客入侵后創(chuàng)建更安全、更強大的系統(tǒng)或改進網(wǎng)絡安全框架時，應牢記患者對醫(yī)療保健中敏感數(shù)據(jù)安全和 IT 的擔憂。患者往往已經(jīng)很緊張，不想擔心數(shù)據(jù)安全。同樣，系統(tǒng)管理員還應確保威脅情報資金仍然是優(yōu)先事項，這意味著繼續(xù)投資于安全計劃。宣傳您在患者安全工作中采取了額外措施將推動更多有安全意識的患者走上您的道路。患者關懷。

7. 保護“智能”設備上的健康數(shù)據(jù)

臺式機、筆記本電腦、手機和所有醫(yī)療設備，尤其是那些連接到網(wǎng)絡的設備，都應該受到監(jiān)控，并具有防病毒保護、防火墻或相關防御措施。今天的醫(yī)療中心還擁有其他連接的電子設備，例如 IV 泵或胰島素監(jiān)視器等醫(yī)療設備，可將患者信息直接遠程同步到醫(yī)生的平板電腦或護士站。這些互連設備中的許多都可能被黑客入侵、中斷或禁用，這可能會極大地影響患者護理。

8. 為您的數(shù)據(jù)考慮云遷移

云為醫(yī)療保健數(shù)據(jù)存儲和備份提供了安全靈活的解決方案。它還提供了按需擴展資源的可能性，這可以顯著改善醫(yī)療保健組織管理數(shù)據(jù)的方式。基于云的備份和災難恢復解決方案可確保即使在出現(xiàn)違規(guī)或停機的情況下患者記錄仍然可用。結合控制數(shù)據(jù)訪問的選項，這些解決方案可以提供所需的安全級別。借助云，醫(yī)療保健組織不必在關鍵基礎設施上進行大量投資以進行數(shù)據(jù)存儲。 符合 HIPAA 標準的云存儲 可顯著降低 IT 成本，因為不需要任何硬件投資。隨著機構數(shù)據(jù)存儲需求的變化，它還帶來了新的靈活性。

9. 確保供應商合規(guī)

由美國衛(wèi)生與公眾服務部和國土安全部成立的醫(yī)療保健行業(yè)網(wǎng)絡安全工作組警告供應商注意供應鏈中的脆弱領域。他們的要求之一是讓供應商采取適當?shù)拇胧﹣肀O(jiān)控和檢測威脅，并限制對其系統(tǒng)的訪問。保險公司、基礎設施提供商和任何其他醫(yī)療保健業(yè)務合作伙伴必須擁有一塵不染的安全記錄才能保護醫(yī)療信息。這對于從第三方供應商外包 IT 人員的組織來說尤其重要。

10. HIPAA 合規(guī)性如何提供幫助

較大的醫(yī)療保健組織至少有一個人致力于確保 HIPAA 合規(guī)性。他們的主要職責是創(chuàng)建和執(zhí)行安全協(xié)議，以及制定遵循 HIPAA 建議的綜合隱私政策。

對員工進行 HIPAA 法規(guī)教育有助于營造安全文化。它還有助于組建特定的 HIPAA 團隊，這些團隊還可以分享有關如何限制醫(yī)療數(shù)據(jù)或組織中進一步網(wǎng)絡防御的建議。

HIPAA 合規(guī)性是處理醫(yī)療數(shù)據(jù)或與醫(yī)療機構合作時必須遵循的基本標準。它對醫(yī)療數(shù)據(jù)安全的整體改善影響顯著，這就是為什么醫(yī)療保健行業(yè)的每個人都應該意識到這一點。

11.推動自上而下的安全計劃

每個醫(yī)療機構都可能有安全人員和 IT 團隊，但它們很少重疊。在管理層面增加醫(yī)療網(wǎng)絡安全職責，即使是作為行政職位，也可以帶來多重好處。它可以確保創(chuàng)建、啟動和執(zhí)行正確的計劃，以及為安全計劃提供資金。面對網(wǎng)絡安全威脅，積極主動是確保長期安全的關鍵。定期風險評估應成為任何醫(yī)療保健提供者的威脅管理計劃的一部分。