遭受攻擊的醫療行業
過去十年,醫療行業發生了引人注目的數字變革。越來越多的醫療機構開始利用電子表格和在線流程來改善並簡化患者體驗。因此,醫療行業又有了新的職責,並且需要優先確保客戶數據的安全性和可用性——遺憾的是,這兩者通常都無法跟上當前的安全形勢。
網絡安全是醫療行業不斷關注的問題。在2018年,違規行為的數量相當於約350起,暴露的醫療記錄數量幾乎增加到兩倍,總計約為1300萬。這意味著更大的違規行為會使更多人暴露於身份盜竊等等。
不幸的是,對於醫療行業來說,打擊網絡犯罪並沒有靈丹妙藥。對抗現有和未來的威脅,都需要一種包含技術、策略和靈活工作實踐的安全戰略。
醫療行業遭受攻擊頻繁
不斷變化的威脅需要不斷髮展的防禦
隨著網絡犯罪分子的攻擊方法變得越來越具有欺騙性,醫療行業不得不相應地調整和改善他們的防禦。當今醫療行業面臨的最大網絡威脅之一是勒索軟件,在所有與惡意軟件相關的數據洩露中,其中有40%左右檢測到的是勒索軟件。
醫療行業特別容易受到這種惡意攻擊,如果電子病歷無法及時訪問或更新,或者可能需要推遲治療時,患者的健康可能會面臨直接風險。電子郵件網絡釣、勒索軟件和其他惡意軟件攻擊的典型傳遞機制也變得越來越先進,犯罪分子竭盡全力欺騙毫無戒心的員工點擊惡意鏈接,打開附件或移交登錄詳細信息或其他敏感信息。
為了減少網絡釣魚帶來的風險,醫療行業不僅要使用安全的工作設備,還要定期培訓員工如何在問題出現之前識別潛在的威脅。此外,他們必須確保及時處理任何威脅的政策和程序。
需要採用加密的安全系統
採用加密的安全系統
從網絡安全的角度來看,醫療保健行業的脆弱性使得醫療安全系統變得尤為重要。除了滿足許多工作流程和生產力要求外,用於處理,共享或存儲患者個人信息的任何工具或應用程序必須遵守嚴格的保密規則。
例如,由於缺乏一致的訪問控制和強制加密,電子郵件不具備安全性。雖然有些應用程序和其他類似應用程序可能是低成本,方便和熟悉的,但它們本身就存在風險,併為攻擊者提供了一個簡單的訪問點,更不用說更大的人為錯誤。事實上,這些應用程序本身可能會出於自身目的秘密訪問用戶數據。
內部威脅顯得尤為致命
當大多數人想到網絡安全漏洞時,他們會想到外部各方發起的犯罪活動,但通常最接近來源的人構成最大的風險。但是,醫療是唯一一個來自內部人員的網絡安全威脅比外部威脅更為普遍的行業。
這些內部威脅是由人為錯誤或系統濫用引起的,這兩種情況都可以通過培訓和教育來預防。未能識別並應對這些內部風險的組織基本上是他們自己最大的敵人。越來越多的自帶設備,靈活的工作地點以及專業和個人在線活動之間界限的模糊化並沒有幫助提升內部網絡安全風險。設備丟失或被盜,非安全通信以及設備安全性失誤的可能性在實踐牆之外增加。
但需要密切關注的不僅僅是內部員工, 商業夥伴和供應商也可能面臨黑客的風險和可能的後門,許多業務夥伴的相對缺乏法規遵從性和隱私要求可以使他們成為不良行為者的便捷訪問點。使用這些第三方的組織有責任確保所有業務夥伴遵守所需的安全標準和數據保護規則,並且雙方之間存在商業夥伴協議形式的書面協議以指定此類要求和期望。
內部威脅
醫療行業的風險意識逐漸增強
好消息是,儘管數據洩露事件的增加和網絡安全控制的持續失誤,整個醫療行業的風險意識正在增強。認識到風險是打擊風險的第一步,因此進入2019年,醫療行業領導者有責任教育他們的團隊並提供他們有效和安全地開展工作所需的工具。
閱讀更多 大米粒說安全 的文章
