第一部分我们的医生,保护自己系列,我们认识到医疗保健行业中需要解决的重大安全问题。卫生组织从纸质文件转向电脑——这一转变旨在改善护理和整体患者体验——无意中给医疗记录带来了巨大的隐私风险。无论病人或医务人员何时何地,突然之间就可以使用它们。不仅如此,病人的病历现在变得可移植、可转移、可更改、可销毁——无论是好人还是坏人。设备和系统的互联性进一步加剧了风险。

拜托在美国,移动健康应用的蓬勃发展、云计算以及员工意识的缺乏,使得医疗网络安全比以往任何时候都更具挑战性。

值得庆幸的是,有两名中小型医院或诊所的特殊工作人员可以解决这些挑战,而其他人只需提供一点帮助:经理和IT专家。他们是扭转医疗保健中小企业形势的主要推动者(当然,要有适当的安全指导)。

因此,在本系列的第二部分中,我们将为他们提供提示,为新的职责做好准备,即直接影响网络安全和隐私准备的新职责。

有人说了" CISO "吗?

医疗保健行业的安全顾问提供建议所有由于健康记录被转移到网上,要求信息安全处于任何战略的前沿。一些较大的医院可能会接受这个职位;然而,这对较小的公司来说可能不可能。

对于一个,医疗保健组织,就像其他行业一样,看到IT安全人才短缺.这是因为技术被采用的速度快于人们接受管理、维护和保护技术的培训的速度。另一方面,大多数医疗机构只在安全方面投入了很少的预算。在这种情况下,发现中小型医院和诊所的计算机系统在处理网络攻击方面装备不足就不足为奇了,更不用说有专门的it人员来监督它们了。

由于这些挑战,他们可以诉诸几种低成本替代品:

  • 利用一些公司提供的虚拟CISO (vCISO)服务
  • 内部招聘
  • 在适当的职位上扩展对特定个人的职位描述

有三点记,经理职位是授予额外任务的可能角色 - 以及充分原因。经理对人民,政策,组织战略,资源和沟通具有监督。当涉及引入变革时,管理人员负责规划方向,沟通,并监督发生的变化。

健康信息管理员(HIM),也称为健康信息管理员,被视为医疗保健领域的信息专家,因为他们负责获取、检查、确保和保护患者医疗信息的准确性。

虽然是伟大的新闻说医疗保健现在为网络安全设置指数较高的预算,这主要是用于购买技术和解决方案,而不是招聘。因此,仍然需要让合适的人员完成需要完成的工作。

所以,闲话少说……

经理

要提出他们的游戏,管理人员必须开始思考网络安全和隐私,并找到将它们纳入设施内工作人员的日常职责。

审查当前实践

要开始的经理的好地方是审查他们在没有医院或临床处的情况下练习的当前物理安全措施。现在你可能会想,“挂断,为什么管理者应该在我们谈论网络安全时将他们的门锁定如何?”我们大多数人可能无法意识到的是计算机安全以物理安全开头。是难怪的,一些网络安全专家也喜欢锁采摘吗?

物理安全经常被忽视和低估。更糟糕的是,它很少在网络安全领域被提及。由于严重依赖医疗设备、系统和健康信息的医疗组织和设施都在一个网络中连接在一起,因此对物理安全的需求变得非常现实分布式拒绝服务攻击渲染系统无法操作并导致停电,以防止医生在ICU中执行严重的护理或紧急手术。

管理者必须思考并评估设施所代表的地方符合行业标准安全框架他们已经适应。

更重要的是,管理人员必须审查设施的信息生命周期 - 记录的阶段 - 从其创建到归档或毁灭。考虑以下问题:

  • 员工始终如一地遵循适当的议定书,何时涉及打印患者记录和其他医疗文件?(例如,他们只是在公共垃圾箱或公共场所或未经授权的人员访问的其他容器中处理它们?)
  • 当谈到保存物理或电子记录和/或电子媒体(如CD和USB棒)的办公室家具中,员工始终如一地遵循适当的协议?
  • 机密和非机密数据是否存储在不同的空间?
  • 存储记录和其他敏感文档加密?
  • 保留数据的政策是什么?

确定可行的威胁和漏洞

然后,经理必须识别有关需要改进的措施,他们应该引入哪些额外的安全程序,以及他们可以废除(如果有的话)和更换更高效,声音,可管理和可重复的措施。这个过程称为风险评估。经理可能需要与员工和第三方供应商交谈。

考虑以下问题:

  • 如果员工成员丢失了他/她的访问卡,可能会发生什么,并且未报告几天?
  • 如果剩下的计算机和设备上的USB端口打开,可能会发生什么?
  • 有多少外部供应商可以访问他们的记录和/或设施?
  • 职员可否在任何电脑终端机上使用开放网页?
  • 他们是否应该考虑购买一份保险,以防网络攻击造成的潜在损失?

请注意,需要常规审查(例如,每年一次)潜在的漏洞是需要优先考虑的关键弱点。

介绍A.网络安全文化

教育员工是第一步,但它没有结束那里。教育只是安全文化的一部分,经理经理将希望纳入更大的文化设置在医疗保健中。他/她的最终目标是将安全实践吸收到员工,以便他们自然地实现它们,无论是在设施还是外面。

这是有意的安全文化的预见结果:人们认为,行动,并表现得相同的方式,无论他们在哪里或在哪里工作。例如,如果医疗保健人员根深蒂固以将电子邮件中的链接和附件视为嫌疑人,他们可能会在家里检查电子邮件时行为。

我之前提到过,人们对安全的看法通常是消极的,管理者必须意识到这一点。这样做可以帮助他/她在一个已经很复杂的环境中引入这种新文化时改变语气和语言。

作为冠军,管理人员必须创建一个叙述,着重于实践基本安全卫生的好处,并在确保患者健康记录方面发挥自己的作用。此外,他/她应该确保培训和宣传活动到位,而不是阻碍或延迟他们照顾患者,而是提高患者满意度,因为他们已经增加了PHI安全的可能性。

制定网络安全培训计划

如果经理不知道从哪里开始起草培训计划,那么培训计划,专门从事网络安全培训和信息安全的公司一个健壮的工具他们可以用来开始这个。他们可能希望在计划中涵盖以下主题:

  • 术语的定义,如网络钓鱼
  • 社会工程手段
  • 诈骗和欺诈战术
  • 额外提示:在工作场所有良好的电脑习惯
  • 额外:工作场所社交媒体安全

更新医院或诊所政策,包括一个关于网络安全的部分

为了进一步驱动家庭,需要更改并促进设施内的每个人的问责制,但经理还必须更新当前策略以包括网络安全。此时,他/她可能已经了解要添加的内容,因为他们已经对现有医院或诊所设置的潜在威胁和漏洞进行了评估并评估了潜在的威胁和脆弱性。

经理在政策的新部分中应包括的其他项目有:

  • 什么安全软件程序正在/应该在端点上运行
  • 对于面对开放网的端点,应安装哪些浏览器和插件
  • 如何以及多长时间备份敏感信息或PHI
  • 应用软件更新如何以及何时应用
  • 哪些用户对端点具有管理权限
  • 谁负责维护,执行和审查网络安全政策

管理人员还必须解决BYOD、云、内部WiFi甚至远程工作的安全问题,因为许多医疗从业者已经欢迎这些问题。

包括可接受的使用指南,强调使用多因素身份验证的锁定机器,设备和帐户的重要性,以及如何在工作人员遇到安全性。此外,政策必须明确说明如果发现员工不符合规定,特别是在违约事件中会发生什么。

更新策略后,经理必须为网络安全策略设置一个审查期,以保持其通用性和相关性。

读:如何创建成功的网络安全政策

IT专家

对于一些smb来说,拥有专门的IT部门或人员是非常罕见的。许多人认为,只要有人负责监督IT支持任务,并确保敏感信息随时被存储和适当保护,就不需要这样的人。然而,这可能不适用于中小型医院和诊所,因为它们的全天候可用性和护理的性质。

由于缺乏专业专家可能意味着这样的任务可能会陷入经理的手,此时,我们强烈建议为专业IT角色招聘。这不仅会让分开的管理者的负担,而且在他们的盘子上也参与了患者的照顾,这也允许它专注于为员工和患者提供支持,只有IT专家可以提供。

这些任务包括(但不限于)在端点上安装和维护软件,配置硬件以确保它们遵循行业标准和内部策略,并为任何形式的入侵监控网络。

注意,IT角色可能是临时的,因为现在,当前的技术已经使smb在没有内部专家的情况下也可以生存。如果预算限制继续阻碍医疗保健中小企业长期留住IT人员,它们也可以采用这种方式。

如果医疗保健机构需要IT支持,它们总是可以利用可以为它们提供支持的第三方的服务。外包IT需求还可以避免专业人员潜在的高流失率,这是许多医疗保健smb所经历的情况,并解决BYOD设备的持续监控和管理问题。当然,根据合同聘用IT人员必须遵守设施的安全政策,以确保其安全和患者敏感信息的安全。

无论谁戴着IT锡箔帽,我们都建议采取以下措施,以加强医疗保健设施的安全性以及它们所存储的大量有价值的数据。

引入一个IAM (identity and access management)身份访问管理系统

IAM是一个框架,各种规模的企业都使用它来方便数字身份。它允许活跃的员工访问不同的帐户,而不需要多次登录。在Manager的指导下,IT可以限制特定员工组可以通过IAM访问的帐户数量。

这类系统的例子有Okta、OneLogin、Centrify和SailPoint。对于医疗机构来说,重要的是控制谁访问了什么账户或系统,以促进问责制,并最大限度地减少未经授权的访问或信息泄露,无论是恶意的还是由于工作人员的疏忽。

定期备份和加密信息

现在,由于文件的扩散,文件备份已经成为一种必需勒索制造器.在之前的文章中,我们为您提供了3-2-1的方法备份这是这样的:

  • 制作3个不同的数据副本
  • 存储2份不同形式的媒体
  • 存储1副本异地

此外,不仅仅备份数据,还不会加密它们。

读:备份和锁定:当设备被盗时

定期为软件打补丁

也许只有这样做会阻止一大块攻击,基于大多数医疗机构,无论大小,在过时的操作系统和其他软件上运行的事实。

在不需要USB端口的终端上禁用USB端口

如果一个终端有一个开放的USB,任何人都可以直接插入,那么就会出现很多问题。当然,给你的智能手机设备充电可能是你能用它做的最有益的事情,但打开USB端口也会鼓励工作人员插入有潜在风险的外部驱动器。物理上或通过Windows注册表禁用端口更安全,以减少恶意软件的传播,甚至高敏感数据的盗窃。

解决周围免费的问题,内部WiFi

SMB医院和诊所向患者,游客和设施内的工作人员提供免费WiFi并不罕见。IT专家必须设置网络以满足员工和非员工的需求,从确保:

  • 主网络与客户网分开
  • 主网络将能够处理来自多个端点(包括医疗保健物联网设备)的大量流量,并支持带宽密集型传输,如无线局域网语音传输
  • 主网络加密(WPA.
  • 个人设备不能使用主网络,如智能手机、平板电脑或笔记本电脑(但这可以根据具体情况而定)
  • 访客网络必须有有限的带宽
  • 访客网络必须有某些网站阻止劝阻带宽销售
  • 访客网络不能检索属于患者或机构的敏感记录
  • 客户网必须使用密码安全
  • 用户被告知设施的可接受使用政策

起草业务连续性/灾难恢复计划

IT专家必须与经理建立在违约期间和诊所在违约期间和诊所会做什么的计划。毕竟,正如我们一直在说,“如果'但”违规“将发生”但是“,那么”如果'违规行为,那么每个人都会期待它会在某个时期的某些时候这一点。如果他们需要进一步帮助,则在线提供指南和模板,他们可以根据自己的需求进行定制。这是从无。

考虑使用虚拟化

敏感文件从该设施的服务器流出一直是医疗保健部门的一大担忧。对许多人来说,虚拟化帮助缓解了这个痛点。由于医疗保健不同于其他行业,必须仔细权衡虚拟化的利弊,因为欢迎虚拟化可能会引入该设施可能无法处理的其他复杂性。该设施可能遇到的问题的一个例子是服务器或应用程序停机,这可能会使护理操作停止一段时间。

结论

本杰明富兰克林曾经说过一盎司的预防值得一磅治疗。这对今天从未如此。

令人鼓舞的是,当前的医疗保健领导者正在做出努力成熟和快速进展在网络安全。研究表明,针对医疗保健行业的大多数威胁都是可以预防的,并且可以通过适当的人员教育、培训、一致的后续行动、安全策略的实施以及对行业标准的持续遵从来缓解。

如果经理和IT专家继续与员工和自己的资源一起工作,他们已经向更加安全的医疗保健设施做出了第一步。