最近来自赛门铁克(Symantec)和威瑞森商业(Verizon Business)的泛行业数据泄露报告,很大程度上证实了医疗保健部门已经知道其数据泄露的根本原因。但是组织如何提高安全性呢?
很少有比赛的概念,医疗IT安全需要改进。患者数据的敏感性(和黑市价值),使得行业盗贼的频繁目标,而技术在许多设施年龄和可用性,使医疗专业人士寻求数据,纸质或其他便携性,偶有意想不到的后果。
最近的一些报道一些线索医疗IT的安全性,并指出其中的行业面临的最大挑战,并强调它能做什么,以便更好地防止数据泄露。诚然,一些调查结果令人惊讶,但建议当然不能伤害。
+同时在网络世界:以下是苹果公司在iphone、ipad等产品上花费10亿美元购买蓝宝石的情况+
据报道,医疗漏洞很多,但规模较小
Verizon Business的数据泄露事件报告(DBIR),其检查从50个全球组织的发现数据泄露信息的医疗数据泄露的46%是丢失或被盗的结果。内部滥用(15%)和“其他错误”,如轮列前三位原因发布错误或处置不当(12%)。
在所有行业中,不只是医疗保健,损失是15比盗窃更容易次。面临的主要挑战,将DBIR说,被减轻遗失设备的影响。“这表明,仅仅拥有敏感信息‘上锁的门背后’是不够的,还有很多人那些紧锁的大门内,”报告说,并补充说,当涉及到盗贼,86%的禁用或旁路控制让那些门后面。
[ 提示:如何防止医疗数据泄露(以及如果您是受害者该怎么办)]
备份和锁定数据会有所帮助,因为会鼓励用户保持对他们的移动设备在任何时候,但加密代表阻挠这一挑战的最简单的方法。事实上,DBIR说,“加密是尽可能接近,因为它得到了这次事件模式是显而易见的解决方案。”说起来容易做起来难,不过,因为众所周知,医疗保健拒绝加密。
凯文·海利,赛门铁克安全响应中心的主任 - 该公司最近发布了自己2014年网路安全威胁报告- 说医疗可以避开设备加密由于对生存,部署,需要更新桌面软件和成本问题。最重要的是,他说,投资回报率的测量是困难的。
赛门铁克的报告发现,在所有报告的入侵中,37%来自医疗保健。不过,海利警告不要对此进行过多解读。根据赛门铁克的报告,HIPAA规定要求医疗保健部门报告涉及500人以上的每一次入侵,而“许多行业在入侵发生时都不太愿意透露”。“例如,如果一家公司的商业机密遭到泄露,而这些机密不一定会直接影响到客户或客户,那么他们可能不会那么乐于提供信息。”
(相关:12个提示,以防止医疗数据泄露]
此外,尽管在所有报告的泄露事件中,医疗行业占了37%,但在2013年暴露的所有身份中,此类事件仅占1%。多亏了Target和其他公司,赛门铁克将2013年称为“特大泄露之年”。黑利表示:“显然(医疗保健)正在经历大量违规,但这些违规通常都是小规模的。”
医疗保健必须停止内部滥用,“杂项”错误
据Verizon DBIR称,内部数据滥用是医疗数据泄露的第二大常见原因,最常见的原因是滥用对桌面计算机、数据库和服务器的特权访问。报告称:“大多数内部人员滥用职权都发生在履行正常职责所需的信任范围内。”“这就是它很难预防的原因。”
DBIR说,为了防止这种情况发生,医疗机构需要密切了解他们的数据以及谁可以访问这些数据。他们需要关注数据泄露,定期检查用户帐户,并公布他们进行的任何审计的结果。
(分析:医疗保健IT安全很困难,但并非不可能]
这不是必需的他或她的工作或部门需要的任何员工访问数据被标记与Verizon Business和DBIR作者的资深分析师苏珊Widup,说。“这是所有关于知道谁有权访问敏感数据,”她说。更好的是你发现的欺诈和防患于未然,她补充道,而不是有病人学习困难的方式,他们是诈骗的受害者。
数据泄露的第三大常见原因几乎是医疗保健和政府部门所独有的——以至于Verizon DBIR将其归类为“杂项错误”——这对于行业观察家来说太熟悉了。想想那些没有被粉碎的纸制唱片,没有被销毁的cd - rom,被想要里面银的投机分子截获的x光片,还有那些只要一个错误就会导致成千上万人收到错误唱片的大量邮件。
(相关:医疗保健会认真对待IT安全吗?]
在这里,同样,该解决方案并不难:数据丢失防护软件监视电子邮件或USB驱动器,例如,或政策对待旧硬件一样,它不仅可以处理得当危险废物。
网络攻击,点销售终端中的漏洞仍然举足轻重
虽然没有点的销售终端(POS),医疗保健的最高数据泄露原因之一黑客的网络攻击,也不排名,Verizon Business公司和赛门铁克认为值得的医疗保健的关注,这些相应的漏洞。
医院可以使用POS系统,例如,收集copays还是让食堂的顾客支付食品。许多这样的系统是由第三方管理的;这使得他们的盗贼有吸引力,Widup说,因为它给了他们访问所有的供应商的客户。
[相关阅读:未来两年的十大信息安全威胁][也:2014年最糟糕的数据泄露事件…到目前为止]
为了保持POS系统的安全,Verizon的DBIR报告建议对其他用途的远程访问限制,强制密码策略,强大的反病毒软件和限制 - 这意味着没有社交媒体网站或游戏。
至于网络攻击,赛门铁克点几,包括零日威胁的“职业化”(23日报道,2013年,超过2011年和2012年的总和),ransomware(500%在2013年比2012年更普遍),当然,网站漏洞,如Heartbleed哈雷已经预计2014年的焦点赛门铁克的报告。
(相关:解决医疗保健的大数据分析的安全难题]
在各个行业,网站78%的有漏洞。海利说,“一八[站点]有一个非常关键的漏洞,这将使它平凡的罪犯得到在那里和托管恶意软件。”整体行业应对心脏出血漏洞是“伟大的,”他补充说,但是“网站所有者需要加强它,以确保他们的网站是安全的。”
为此,该CyberRX演习的初步结果该组织为医疗机构提供了六条防止网络攻击的建议。首先,参与网络演习将增强准备,没有成熟的实体的技术成熟度的水平。
确定数据最关键和保护它与你的生活
除了上面介绍的各种安全措施,医疗机构需要确定对他们而言最关键的数据,并确保他们的安全和隐私政策重视在保护的是,哈利说。
如前所述,加密是一个很好的起点。黑利认为,如果对笔记本电脑、手机和u盘进行加密,大量由丢失和被盗设备引起的入侵就可以避免。(下HIPAA违反通知规则,加密的几种方法来使受保护的健康信息的一个“不可用,无法读取或难以辨认。”这样的数据的丢失呢不构成数据泄露。)
当然,设备加密将是优先考虑的更少,如果那些该死的用户不会丢失他们的东西。然而,随着Verizon的DBIR报告所说的那样,“如果有什么事,我们知道是人性真实的,那就是失去的东西,偷东西似乎是固有的倾向。”
此外,由于海利指出,用户可以担任辩护的另一行针对数据泄露 - 只要他们接受广泛的安全培训,并不能简单地交给“一帮的规则,他们需要遵循。”
Widup说:“我们希望看到改变。我们希望看到它变得更好。”
布莱恩·伊斯特伍德是CIO.com的高级编辑。他主要负责医疗保健IT。你可以在推特上找到他@Brian_Eastwood或通过电子邮件。按照一切从CIO.com的Twitter@CIOonline,Facebook的,谷歌+和LinkedIn。
阅读更多关于垂直行业的信息在CIO的垂直行业细目。
“医疗保健IT安全带来了挑战、机遇,但没有大的惊喜”这篇文章最初由CIO 。