十月
19

网络安全意识月:在医疗保健中保护互联网连接设备

网络安全意识月:在医疗保健中保护互联网连接设备

10月19日
通过

这是网络安全和基础设施局(CISA)的第三周网络安全意识月. 上周我们看了在家和工作中保护设备. 本周,让我们深入了解一个行业,该行业拥有医疗保健领域最敏感的数据。在这篇文章中,我们将深入探讨一些保护医院、诊所和其他医疗机构所依赖的互联网连接设备的关键技巧。

医疗保健的网络安全问题

由于医疗机构为其护理的每位患者提供了电子保护的健康信息(ePHI),因此很容易理解为什么他们会成为网络攻击的目标。有哪个网络恶棍不想得到如此大量的敏感数据?尽管政府法规,如《健康保险可携带性和责任法案》(HIPAA),要求医疗保健提供者加强安全,并威胁对不安全的人处以罚款,但仍有很大的改进空间。事实上,Protenus的一份报告显示4100万份病历在2019年被突破。今年,即使是像全民医疗服务这样的大型医疗保健行业的名字也被金融危机逼到了墙角复杂的勒索软件攻击.

那么,医疗保健提供者可以做些什么来反击呢?

考虑禁止BYOD在你的诊所

正如我们在上一篇文章中所探讨的,工作和家庭之间的界限正在模糊。为了防止敏感患者信息最终出现在医护人员的个人设备上,而这些设备更容易被盗或被破坏,请为他们提供专用设备。这可能包括笔记本电脑、智能手机、平板电脑,甚至是安全的USB设备。最重要的是,确保员工理解并遵守您自己的设备政策,尤其是与ePHI相关的政策。

谨慎使用VPN

VPN对于医疗机构来说是一个不需要动脑筋的东西。而且,虽然您希望用户能够访问执行其工作所需的数据,但您可能希望阻止任何可能允许恶意代码进入您的网络的行为。这就是为什么许多管理员使用VPN将某些设备、应用程序和软件行为列入白名单,同时将其他一切视为潜在威胁。尽管用户可能更希望能够更广泛地访问应用程序,但安全要求应该成为先例。

创建备份和灾难恢复计划

熟悉HIPAA的管理员知道这一点数据备份这是一项要求。这些备份必须是安全和加密的,即使在传输过程中也是如此。但医疗保健提供者需要做更多的工作。在一个及时获取信息意味着生死攸关的行业中,对停机时间的容忍度是零。这就是为什么医疗机构必须制定快速、高度复杂的恢复计划,这样,如果由于母亲的天性、硬件故障、勒索软件或任何其他原因导致停机,他们可以快速恢复,让护理人员能够获得治疗依赖他们的人所需的信息。

遥控钥匙和其他物理安全

根据普罗特努斯的说法,有降幅20%与内部人员相关的医疗数据泄露事件。尽管这令人鼓舞,但医疗保健提供商仍必须谨慎地对敏感数据进行物理保护。基本的安全措施,如摄像头、访问卡,甚至是阻止端点访问的密码,都是至关重要的。这些措施可以防止组织内外的错误人员访问私人数据。尽管许多诊所和医院都有这些措施,但还是明智的做法是检查你的身体安全能力。

聘请IT顾问

网络安全需要一套专门的技能和工具。并非所有IT管理员都具备制定全面网络安全计划所需的知识,更不用说执行了。这就是为什么许多医疗保健提供商寻求IT管理服务提供商(MSP)的帮助。MSP通常专注于医疗保健等行业,带来HIPAA和网络安全方面的专业知识。如果你不确定你的安全漏洞在哪里或者如何填补它们,考虑引进外部人才来提高你的安全性。

在网络安全意识月的下一篇文章中,我们将重点关注互联设备的未来。