医疗保健领域的网络安全威胁
建议更改
PDF
每一个问题都带来了新的机会, COVID 大流行病就是一个例子。根据 A "report" 根据健康和人类服务部门( HHS )网络安全计划, COVID 的响应导致勒索软件攻击数量增加。截至 2020 年 3 月第三周,注册的新互联网域有 6 , 000 个。超过 50% 的域托管恶意软件。2020 年,勒索软件攻击造成了近 50% 的医疗保健数据违规,影响到超过 630 家医疗保健组织和大约 2 , 900 万份医疗保健记录。19 个泄漏点 / 站点的勒索行为增加了一倍。在 2020 年,医疗保健行业的数据泄露次数高达 24.5% 。
恶意代理通过销售受保护健康信息( Phi )或威胁销毁或公开该信息,试图破坏该信息的安全性和隐私。通常会进行有针对性的大规模广播尝试,以获取对 ePHI 的未授权访问。在 2020 年下半年,大约 75% 的公开患者记录是由于业务伙伴受到影响。
以下医疗保健组织被恶意代理作为目标:
-
医院系统
-
生命科学实验室
-
研究实验室
-
恢复设施
-
社区医院和诊所
构成医疗保健组织的应用程序的多样性是不可否认的,并且日益复杂。信息安全办公室面临着为大量 IT 系统和资产提供监管的挑战。下图显示了典型医院系统的临床功能。
患者数据是此图的核心。患者数据的丢失以及与敏感医疗状况相关的侮辱是非常真实的。其他敏感问题包括社会排斥,勒索,特征描述,容易受到有针对性的营销,被利用的风险,以及在支付者的特权之外对医疗信息可能承担的财务责任。
医疗保健面临的威胁具有多层面性质,而且具有多种影响。全球政府已制定各种条款来确保 ePHI 的安全。医疗保健所面临的不利影响和不断变化的性质使医疗保健组织难以抵御所有威胁。
下面列出了医疗保健领域中发现的常见威胁:
-
勒索软件攻击
-
丢失或被盗包含敏感信息的设备或数据
-
网络钓鱼攻击
-
攻击连接的医疗设备,可能会影响患者安全
-
电子邮件网络钓鱼攻击
-
设备或数据丢失或被盗
-
远程桌面协议损坏
-
软件漏洞
医疗保健组织在法律和监管环境中运营,这种环境与数字生态系统一样复杂。此环境包括但不限于以下内容:
-
美国国家医疗保健技术协调办公室(美国国家协调办公室) ONC 认证电子医疗保健信息技术互操作性标准
-
享受医疗保健和儿童健康保险计划重新授权法案( MACRA ) / 有意义的使用
-
根据食品和药物管理局( FDA )承担的多项义务
-
联合委员会的资格鉴定过程
-
HIPAA 要求
-
高科技要求
-
付款人可接受的最低风险标准
-
规定隐私和安全规则
-
通过国家卫生机构等机构将联邦信息安全现代化法案要求纳入联邦合同和研究拨款中
-
支付卡行业数据安全标准( PCI-DSS )
-
《药物滥用和精神健康服务管理( SAMHSA )要求》
-
用于财务处理的《格雷姆 - 里奇 - 比利雷法案》
-
与向附属组织提供服务相关的《 Stark 法律》
-
《家庭教育权利和隐私法》( FERPA )适用于参与高等教育的机构
-
《遗传信息不歧视法》( GINA-GINESE )
-
欧盟新的《一般数据保护条例》( GDPR )
安全架构标准正在快速发展,以防止恶意行为者影响医疗保健信息系统。其中一项标准是 FIPS 140-2 ,该标准由美国国家标准与技术协会( NIST )定义。FIPS 出版物 140-2 详细介绍了美国加密模块的政府要求。安全要求涵盖与安全设计和实施加密模块相关的区域,可应用于命中。定义完善的加密边界可以简化安全管理,同时保持最新的加密模块。这些边界有助于防止恶意攻击者容易利用弱密码模块。它们还有助于防止在管理标准加密模块时出现人为错误。
NIST 与通信安全机构( CSE )共同制定了加密模块验证计划( CMVP ),用于对 FIPS 140-2 验证级别的加密模块进行认证。联邦组织需要使用 FIPS 140-2 认证模块在空闲和移动时保护敏感或有价值的数据。由于 ePHI 能够成功保护敏感或有价值的信息,因此许多医疗保健系统都选择使用 FIPS 140-2 加密模块对 ePHI 进行加密,这超出了法律规定的最低安全级别。
利用和实施 FlexPod FIPS 140-2 功能只需数小时(而不是数天)。无论规模大小,大多数医疗保健组织都可以获得 FIPS 合规性。通过明确定义的加密边界以及详细记录的简单实施步骤,符合 FIPS 140-2 的 FlexPod 架构可以为基础架构奠定坚实的安全基础,并可通过简单的增强功能进一步增强对安全威胁的保护。