通过防止网络攻击保护患者数据
医疗机构数据泄露的威胁令人生畏. 隐私是医院信息系统的基础, 如果一个病人的信息落入坏人之手,对《美高美集团4688》(HIPAA)的遵守以及医疗机构的声誉都将受到损害. 卫生保健设施成为特别目标有两个原因:
- 存储的数据类型: 卫生保健机构可以保留病人的社会安全号码, 保险和财务账户数据, 出生日期, Name, 帐单地址, 电话号码, 使他们成为网络攻击的重要目标.
- 许多潜在的漏洞: 医疗机构有义务提供对多个外部网络和web应用程序的访问,以便与患者保持联系, 员工, 保险公司或业务伙伴. 共享的数据量代表着一种风险.
它要便宜得多, 从财务和声誉的角度来看都是如此, 而不是按照《美高美集团4688》(HITECH)的要求通知个人和卫生与公众服务部. 结果是, 政府必须通过预防来应对, 通过精心策划的网络安全计划检测和应对网络攻击或滥用患者记录.
有哪些风险??
保护业务的第一步是识别流程中容易受到网络攻击的部分.
应用和系统: 外部应用程序和系统很容易对敏感的患者数据进行不当访问. 因为管理员不能完全控制外部应用程序的安全性, 设施应定期执行web应用程序安全性测试.
软件缺陷: 软件和计算机系统的弱点吸引了黑客和入侵者. 这种网络风险的结果可以从最小的恶作剧(例如创建没有负面影响的病毒)到恶意活动(窃取或更改信息)不等. 入侵防御和检测系统可以提醒您网络攻击,并允许您实时响应.
恶意代码(病毒、蠕虫和特洛伊木马): 有多种类型的恶意代码可以使您的组织处于危险之中:
- 病毒:这种类型的代码需要用户采取行动才能感染您的系统, 例如打开电子邮件附件或访问特定网页.
- 蠕虫:此代码在没有用户干预的情况下传播系统. 他们通常从利用软件缺陷或弱点开始. 一旦受害者的计算机被感染,蠕虫将试图找到并感染其他计算机.
- 特洛伊木马:这种代码是一种软件,它声称是一回事,但在幕后却有不同的行为, (这个程序声称可以提高你的计算机系统的速度,但实际上是在向远程入侵者发送机密信息).
实施防止这些攻击的系统, 包括防火墙和常规安全控制对于保护敏感数据至关重要.
没有加密的电子邮件: HIPAA指南要求对医生办公室和医院之间的一些电子邮件通信进行加密,以保护患者信息. 由于现在大多数通信都是电子的,监测这些手段就显得尤为重要.
内幕: 从记帐员到临床医生的现任或前任雇员都应该明白,无正当理由查阅病人记录的后果可能是严重处罚到解雇. 员工通常只是好奇, 只有严格的策略才能有效防止这种类型的数据丢失. 许多设施都实现了日志监视, 为此,定期审查访问敏感患者数据的日志.
物理信息丢失: 另一个潜在风险是丢失或被盗的笔记本电脑, 哪些导致患者或员工的个人信息丢失.
以防出现安全漏洞, HITECH要求在短时间内通知有关个人和卫生与公众服务部(HHS).
风险管理
在HHS或HIPAA突击检查的情况下, 工厂必须证明他们符合HIPAA和HITECH中概述的所有法规和要求.
为了降低企业的网络风险,制定一个全面的风险管理计划是明智的. 风险管理解决方案利用行业标准和最佳实践来评估未经授权访问的危害, 使用, 信息披露, 中断, 修改或破坏你们工厂的信息系统. 之后, 定期进行安全风险评估, 哪一个会让你更好地理解这两个法案中概述的对你受保护的健康信息和个人身份信息构成的风险.
您还应该检查工厂的控制措施,以确保它们足以满足法规要求. 执行此过程有助于您的组织保持合规性,并在审核的情况下展示勤奋和对合规性的承诺.
在实施风险管理策略时,应考虑以下几点:
- 创建一个正式的, 涉及范围的文件化风险管理计划, 角色, 责任, 执行网络风险评估的合规标准和方法. 该计划应包括组织所使用的基于其功能的所有系统的特征, 存储和处理的数据以及对设施的重要性.
至少每年进行一次安全风险评估,并在信息系统或存储系统的设施发生重大变化时进行更新, 或者当存在可能影响组织脆弱性的其他更改时.
选择ISP
除了, 你的机构在选择互联网服务供应商(ISP)时应采取预防措施。, 哪个提供上网服务, 网站托管和其他服务. 选择最能降低网络风险的ISP, 考虑安全级别, 它提供了隐私和可靠性.
转移风险
网络安全是所有卫生保健机构的一个严重问题. 联系你的代理人,了解可用的风险管理资源和保险解决方案,如互联网和媒体责任, 安全和隐私责任, 今天还有身份盗窃保险.
本风险洞察并非详尽无遗,任何讨论或意见也不应被视为法律建议. 读者应联系法律顾问或保险专业人士以获得适当的建议. ©2015 Zywave, Inc. 版权所有.
讨论
目前还没有评论.