防御医疗保健领域顶级网络安全威胁的11个步骤

想象一下，您的患者数据被黑客扣为人质。 医疗保健中的安全威胁 是一个真正令人担忧的问题。英国的医疗保健行业最近遭受了有史以来最大的网络攻击之一。WannaCry 是一种快速发展的全球勒索软件攻击，使 NHS 系统关闭了几个小时。全国各地的医疗机构都无法访问患者记录或安排程序。约会被推迟，手术被取消，而专家们正在努力解决这个问题。

尽管这次攻击也影响了其他公司和行业，但防御不力的医疗保健系统受到了更大的打击。这只是表明医疗机构在多大程度上容易受到网络威胁的事件之一。了解如何为医疗保健领域的最新网络安全威胁做好准备。

防止医疗保健中的网络攻击和安全漏洞的 11 条提示

1. 考虑威胁切入点

入口点是系统中容易被黑客入侵的漏洞的通用术语。通过利用此漏洞，黑客可以部署病毒来降低您的网络速度、访问关键的健康信息或移除防御措施以使您的系统在未来更易于访问。恶意软件可以从您的网络或操作系统中的任何易受攻击的地方引入。

员工可能会在不知不觉中单击文件、下载未经授权的软件或加载受污染的拇指驱动器。此外，当 不使用强安全密码时 ，会为黑客创建一个简单的入口点。此外，用于存储患者数据的医疗软件和 Web 应用程序被发现包含许多漏洞。 Kaspersky Security Bulletin 的医疗保健网络安全 统计数据发现，大约有 1500 台医疗保健专业人员用于处理患者图像的设备可供开放访问。

2. 了解勒索软件攻击

勒索软件攻击是一种 特定类型的恶意软件 ，它威胁要锁定一台计算机或整个网络，除非支付一定金额。赎金也不一定是不可能的高数字。即使向企业索要几百美元，对于黑客来说仍然很容易赚钱，而对于个人或公司来说，想办法找回他们的计算机也更容易管理。

3. 创建勒索软件策略

一台损坏的计算机不一定会带来很大的损害。但是，无法访问电子记录所在的更大扇区的风险可能会造成破坏，甚至对患者治疗造成危险。发生此类事件时，员工必须立即联系其医疗保健 IT 团队的人员。这应该是他们安全 培训和整体安全意识的一部分。当他们看到勒索软件消息时，他们必须遵循医疗保健组织的程序，而不是试图自己解决问题。

当局警告不要支付勒索软件的罪魁祸首，因为不能保证会提供密钥。犯罪分子还可能重新瞄准过去曾向他们付款的公司。许多公司通过报警然后擦除受影响的计算机并将其恢复到以前的状态来解决勒索软件攻击。云数据备份可以在发生攻击时轻松恢复系统。灾难恢复计划应在网络安全威胁发生之前完成。

员工在医疗保健安全中的角色

4. 注重员工安全培训

网络安全专业人员使用强大的防火墙和其他防御措施，但人为因素仍然是一个薄弱环节，正如 WannaCry 漏洞利用所显示的那样。为了尽量减少人为错误，系统管理员需要不断提醒所有员工注意危险行为。这可能包括从下载未经授权的软件和创建弱密码到访问恶意网站或使用受感染设备的任何事情。

教育员工如何识别合法和可疑的电子邮件、威胁和网站，从而避免 网络钓鱼攻击。（标志中不寻常的颜色或不同的词汇都是警告标志）。培训应定期更新或针对不同的员工群体进行定制。

5. 创建或扩展安全性 衡量风险级别

应为不同的员工群体提供不同的网络访问权限。在医院，护士可能需要与单位内的其他工作人员共享信息，但其他部门没有理由看到这一点。来访的医生可能只能访问其患者的信息。安全设置应监控各个级别的未经授权的访问或访问尝试。Digital Guardian 的 Chris Leffel 建议首先进行培训/教育，然后限制特定的应用程序、区域和患者医疗保健数据。他还建议要求多因素身份验证，这是额外的保护层。

6. 医疗保健行业网络安全应超越员工访问权限

在医院被黑客入侵后创建更安全、更强大的系统或改进网络安全框架时，应牢记患者对医疗保健中敏感数据安全和 IT 的担忧。患者往往已经很紧张，不想担心数据安全。同样，系统管理员还应确保威胁情报资金仍然是优先事项，这意味着继续投资于安全计划。宣传您在患者安全工作中采取了额外措施将推动更多有安全意识的患者走上您的道路。患者关怀。

7. 保护“智能”设备上的健康数据

台式机、笔记本电脑、手机和所有医疗设备，尤其是那些连接到网络的设备，都应该受到监控，并具有防病毒保护、防火墙或相关防御措施。今天的医疗中心还拥有其他连接的电子设备，例如 IV 泵或胰岛素监视器等医疗设备，可将患者信息直接远程同步到医生的平板电脑或护士站。这些互连设备中的许多都可能被黑客入侵、中断或禁用，这可能会极大地影响患者护理。

8. 为您的数据考虑云迁移

云为医疗保健数据存储和备份提供了安全灵活的解决方案。它还提供了按需扩展资源的可能性，这可以显着改善医疗保健组织管理数据的方式。基于云的备份和灾难恢复解决方案可确保即使在出现违规或停机的情况下患者记录仍然可用。结合控制数据访问的选项，这些解决方案可以提供所需的安全级别。借助云，医疗保健组织不必在关键基础设施上进行大量投资以进行数据存储。 符合 HIPAA 标准的云存储 可显着降低 IT 成本，因为不需要任何硬件投资。随着机构数据存储需求的变化，它还带来了新的灵活性。

9. 确保供应商合规

由美国卫生与公众服务部和国土安全部成立的医疗保健行业网络安全工作组警告供应商注意供应链中的脆弱领域。他们的要求之一是让供应商采取适当的措施来监控和检测威胁，并限制对其系统的访问。保险公司、基础设施提供商和任何其他医疗保健业务合作伙伴必须拥有一尘不染的安全记录才能保护医疗信息。这对于从第三方供应商外包 IT 人员的组织来说尤其重要。

10. HIPAA 合规性如何提供帮助

较大的医疗保健组织至少有一个人致力于确保 HIPAA 合规性。他们的主要职责是创建和执行安全协议，以及制定遵循 HIPAA 建议的综合隐私政策。

对员工进行 HIPAA 法规教育有助于营造安全文化。它还有助于组建特定的 HIPAA 团队，这些团队还可以分享有关如何限制医疗数据或组织中进一步网络防御的建议。

HIPAA 合规性是处理医疗数据或与医疗机构合作时必须遵循的基本标准。它对医疗数据安全的整体改善影响显着，这就是为什么医疗保健行业的每个人都应该意识到这一点。

11.推动自上而下的安全计划

每个医疗机构都可能有安全人员和 IT 团队，但它们很少重叠。在管理层面增加医疗网络安全职责，即使是作为行政职位，也可以带来多重好处。它可以确保创建、启动和执行正确的计划，以及为安全计划提供资金。面对网络安全威胁，积极主动是确保长期安全的关键。定期风险评估应成为任何医疗保健提供者的威胁管理计划的一部分。