隨著我國《網(wǎng)絡(luò)安全法》《數(shù)據(jù)安全法》《個(gè)人信息保護(hù)法》《數(shù)據(jù)出境安全評估辦法》等法律法規(guī)以及《信息安全技術(shù)-健康醫(yī)療數(shù)據(jù)安全指南》等醫(yī)療行業(yè)配套標(biāo)準(zhǔn)相繼頒布實(shí)施�,從2023年開始醫(yī)療行業(yè)對于數(shù)據(jù)安全合規(guī)的管理將越來越嚴(yán)格��,基于數(shù)據(jù)的傳輸���、提供����、公開等全生命周期進(jìn)行保障的應(yīng)用數(shù)據(jù)安全技術(shù)會(huì)迎來醫(yī)療行業(yè)的持續(xù)關(guān)注,這對醫(yī)療行業(yè)安全從業(yè)者來講將會(huì)是嚴(yán)峻的挑戰(zhàn)���。
大多數(shù)醫(yī)療機(jī)構(gòu)會(huì)認(rèn)為威脅可能只會(huì)來自外部�����,但實(shí)際上大部分?jǐn)?shù)據(jù)泄露均來自內(nèi)部威脅����。
內(nèi)部威脅對醫(yī)療行業(yè)的影響
內(nèi)部威脅是醫(yī)療行業(yè)最大的網(wǎng)絡(luò)安全問題之一���。內(nèi)部威脅可能來自粗心的員工、第三方供應(yīng)商或是心懷不滿的員工等����。員工的疏忽大意、承包商的懈怠導(dǎo)致大多數(shù)的安全問題����。在醫(yī)療行業(yè),數(shù)據(jù)泄露可能是毀滅性的�����。在醫(yī)院的醫(yī)療記錄中包含了患者的家庭住址���、電話號(hào)碼和健康信息等私密信息��,這些信息對于不法分子來說都是極具吸引力的���。同時(shí)醫(yī)療行業(yè)的數(shù)字化轉(zhuǎn)型�����,也極大的提高了醫(yī)療效率�,減輕了醫(yī)務(wù)人員的負(fù)擔(dān)��。電子健康記錄的運(yùn)用就大大提高了醫(yī)院效率����,有35%的醫(yī)生表示會(huì)更容易應(yīng)對患者問題,有33%聲稱有助于管理治療計(jì)劃����。因此,醫(yī)療行業(yè)必須實(shí)施強(qiáng)大的數(shù)據(jù)安全解決方案��。
內(nèi)部威脅是指醫(yī)療機(jī)構(gòu)內(nèi)可以訪問敏感數(shù)據(jù)�、資產(chǎn)或計(jì)算機(jī)系統(tǒng)并且有意或無意地使用數(shù)據(jù)造成傷害的任何人。這些人可能會(huì)在私下或者暗網(wǎng)上出售密碼和患者記錄等信息。然而���,內(nèi)部威脅更常見的情況是��,員工忘記注銷記錄����,并將電腦放置在不受監(jiān)管的地方����,使得其他人可以隨意使用。醫(yī)療機(jī)構(gòu)可以實(shí)施以下措施來檢測和防止內(nèi)部數(shù)據(jù)泄露:對醫(yī)護(hù)人員進(jìn)行良好的網(wǎng)絡(luò)安全培訓(xùn)非常重要��,大部分醫(yī)護(hù)人員可能沒有接受過任何正規(guī)的網(wǎng)絡(luò)安全教育或相關(guān)經(jīng)驗(yàn)�。醫(yī)療機(jī)構(gòu)可以圍繞如何識(shí)別網(wǎng)絡(luò)釣魚詐騙、避免下載惡意軟件和傳輸敏感數(shù)據(jù)等進(jìn)行介紹��。同時(shí)也要定期更新網(wǎng)絡(luò)安全政策和指南�����,持續(xù)強(qiáng)化網(wǎng)絡(luò)安全意識(shí)與行為���,防止可能導(dǎo)致安全漏洞的常見錯(cuò)誤。
實(shí)施訪問控制
很少有人需要隨時(shí)訪問所有文件。零常設(shè)特權(quán)(ZSP)訪問控制限制了工作人員可以查看���、編輯或發(fā)送的文檔���。ZSP意味著默認(rèn)情況下沒有人可以看到受保護(hù)的信息。沒有超級管理員賬戶�����,每個(gè)請求都需經(jīng)過基于風(fēng)險(xiǎn)評估的審查�����。這種方法可以更輕松的監(jiān)視任何可疑系統(tǒng)活動(dòng)���。定時(shí)訪問控制會(huì)在一段時(shí)間后自動(dòng)將人員注銷�。同時(shí)����,提供臨時(shí)、有限訪問權(quán)限的一次性登陸��。最好的控制管理手段是持續(xù)自適應(yīng)信任策略�����,應(yīng)用有關(guān)數(shù)據(jù)敏感度、用戶狀態(tài)��、時(shí)間和設(shè)備類型的上下文信息�����,評估風(fēng)險(xiǎn)并管理資源訪問�。
執(zhí)行安全審計(jì)
定期的安全審計(jì)可以幫助醫(yī)療機(jī)構(gòu)識(shí)別和解決網(wǎng)絡(luò)漏洞。包括對計(jì)算機(jī)活動(dòng)��、電子郵件通信和訪問日志的審查�,物理安全措施也需要進(jìn)行評估,如攝像頭監(jiān)控和門禁等�����。雙因素身份驗(yàn)證(2FA)應(yīng)作為安全策略的一部分����,要求員工在訪問數(shù)據(jù)之前使用多種形式的身份識(shí)別�,例如手機(jī)上的驗(yàn)證碼。此措施可為任何試圖破壞敏感信息的人增加額外的障礙�����。
備份數(shù)據(jù)
與數(shù)據(jù)丟失防護(hù)軟件(DLP)結(jié)合使用,定期備份是網(wǎng)絡(luò)安全的重要組成部分�����。DLP有助于識(shí)別和防止敏感信息的傳輸�����,阻止嘗試通過電子郵件或即時(shí)消息發(fā)送私人數(shù)據(jù)�,同時(shí)還能確保即使在數(shù)據(jù)泄露的情況下也不會(huì)丟失患者信息。但需注意的是�,醫(yī)療機(jī)構(gòu)應(yīng)將其備份存儲(chǔ)在與主網(wǎng)絡(luò)不同的網(wǎng)絡(luò)中。
對數(shù)據(jù)進(jìn)行分類分級
醫(yī)療機(jī)構(gòu)應(yīng)該對所有信息進(jìn)行清點(diǎn)�,按照敏感度、位置和類型進(jìn)行標(biāo)記�。這種做法可以讓使用網(wǎng)絡(luò)的人員將數(shù)據(jù)分類,讓他們知道那些文件可以查看����,那些文件應(yīng)該避免觸碰。此外��,數(shù)據(jù)的分類分級還能幫助識(shí)別可疑或惡意文件�����,并將其排除在系統(tǒng)之外。管理員還可以制定詳細(xì)的策略�,明確哪些數(shù)據(jù)是可公開的,哪些數(shù)據(jù)是機(jī)密�,如:是否允許員工通過電子郵件發(fā)送中等敏感度的文件。
創(chuàng)建應(yīng)急響應(yīng)計(jì)劃
醫(yī)療機(jī)構(gòu)應(yīng)制定緊急情況下的事件響應(yīng)計(jì)劃�。應(yīng)對內(nèi)部威脅的響應(yīng)計(jì)劃應(yīng)該是可重復(fù)的、標(biāo)準(zhǔn)化的���,并可應(yīng)用于每個(gè)事件中��。制定應(yīng)急響應(yīng)計(jì)劃之前����,機(jī)構(gòu)應(yīng)先評估其資源和能力���;必須明確該計(jì)劃的目的���,并確定人員應(yīng)負(fù)責(zé)的所有關(guān)鍵資產(chǎn)。必須明確每個(gè)人都有責(zé)任監(jiān)控和報(bào)告可疑活動(dòng)��。
構(gòu)建強(qiáng)大的醫(yī)療數(shù)據(jù)安全防線
醫(yī)療行業(yè)的數(shù)字化雖然提高了醫(yī)務(wù)人員的效率���,但數(shù)字化的同時(shí)也使得醫(yī)療行業(yè)面臨更多的數(shù)據(jù)安全漏洞����,尤其是來自疏忽大意的員工�。衛(wèi)生組織必須建立用戶、數(shù)據(jù)�����、流量和應(yīng)用程序的廣泛可見性�����,以實(shí)施強(qiáng)大的安全控制�。這樣做可以保護(hù)患者的隱私,并確保平穩(wěn)�、高效的操作。
