数字医疗新时代
在过去的一年里,数字医疗和技术领域取得了重大进展,各公司不断开发出支持患者和医生的解决方案。医疗保健系统的不断数字化和自动化为改善医疗效果带来了巨大的潜力。然而,正如我们从最近备受瞩目的针对 Change Health 的网络攻击事件中看到的那样,医疗保健领域数字服务的激增也给医疗数据的保护带来了前所未有的挑战。
医疗IT 领导者必须实施强大的安全控制,并了解用户行为,以有效监控数据完整性。这就需要采用以人为本的方法,监控数据移动以确定意图并确保数据保护。虽然通过安全渠道将用户与敏感医疗数据连接起来至关重要,但这只是更大安全框架的一个方面。此外,医疗流程自动化在提高决策效率的同时,也带来了数据丢失的风险。数据丢失的表现形式多种多样,包括信息盗窃、数据泄露、篡改和未经授权与第三方共享。因此,在医疗保健领域实施数据丢失防护 (DLP)措施至关重要。
备受瞩目的医疗保健网络攻击
2023 年,美国卫生与公众服务部(HHS)公民权利办公室(OCR)报告了541 起数据泄露事件,影响人数超过 500 人。其中一些事件影响到数百万甚至数千万个人,例如今年夏天广受关注的 HCA 医疗保健公司的数据泄露事件。
同年感恩节,Ardent Health Services 遭到勒索软件攻击,导致 30 家医院系统主动关闭并暂停所有用户访问其IT 应用程序。这导致了非急诊程序的延误。
截至 2024 年 2 月,《HIPAA 期刊》记录了 24 起数据泄露事件,涉及 10,000 份医疗记录。
今年针对医疗服务提供商的最重大网络攻击主要集中在联合健康集团(UnitedHealth Group)旗下的 Change Healthcare 公司。继 ALPHV 攻击之后,该公司面临着第二次勒索软件危机。威胁者声称拥有该公司 4 TB 的数据,包括美国现役军人的个人身份信息 (PII)、患者医疗记录、支付详情等。
根据美国卫生协会的一份报告,近 60% 的受访医院表示每天的收入损失至少为 100 万美元,74% 的医院表示 Change Healthcare 事件直接影响了医院内的病人护理。
联邦和州的监管不断加强
随着立法者要求企业对数据保护负责,围绕医疗保健数据安全的新行业要求即将出台。
HIPAA
HIPAA 隐私规则》(45 CFR Part 160 和 Part 164 的 A 和 E 子部分)规定了受保护健康信息 (PHI) 的允许和要求的使用和披露。PHI 可以以任何形式存在,包括纸质、胶片和电子形式,并被视为可识别个人身份的健康信息。
HIPAA 安全规则》(45 CFR Part 160 和 Part 164,A 和 C 子部分)概述了对电子 PHI (ePHI) 的要求。受保实体及其业务合作方必须维护电子 PHI 的保密性、完整性和可用性。
HIPAA 外泄通知规则》(45 CFR §§ 164.400-414)要求 HIPAA 涵盖实体及其业务合作方在发生未加密受保护健康信息外泄后发出通知。
NIST
NIST 特别出版物 800NIST SP 800-66r2 于 2024 年 2 月出版,为受监管实体(即受 HIPAA 保护的实体和业务关联方)提供了评估和管理电子健康信息风险的指导,确定了受监管实体可考虑作为信息安全计划一部分实施的典型活动,并提供了受监管实体可全部或部分利用的指导,以帮助改善其网络安全态势并协助实现 HIPAA 安全规则的合规性。
HHS
2023 年 12 月,美国卫生与公众服务部(HHS)发布了一份概念文件,概述了医疗保健行业的网络安全战略。该战略强调加强执法力度,建立更高的行业实践标准。随后,HHS 于 2024 年 1 月发布了医疗保健和公共卫生行业特定网络安全绩效目标 (CPG)。这些目标分为 "基本 "和 "增强 "两类,旨在解决医疗保健行业普遍存在的网络安全漏洞。
HHS 405(d) 计划为医疗机构提供了实用指南,帮助其应对实施强大数据安全措施的复杂性。该计划强调了数据丢失防护 (DLP) 系统作为全面数据安全框架关键组成部分的战略整合。根据医疗保健工作流程的不同需求定制 DLP 解决方案,有可能显著降低误报率,提高数据保护措施的整体有效性。
美国联邦法律
格拉姆-里奇-比利雷法案》(GLBA)、《家庭教育权利与隐私法案》(FERPA)和《公平信用报告法案》(FCRA)等联邦法律保障了个人数据的机密性。除这些联邦法规外,新的州法律不断涌现,进一步加强了数据隐私和保护措施:
在医疗保健数据安全中利用主动数据丢失防护功能
患者数据和安全至关重要,医疗服务提供商如何确保现有的安全工具能够有效抵御不断变化的威胁?
针对较小的地区性医疗保健提供商的攻击明显增加,这凸显了采取强有力的网络安全措施的必要性。这些机构通常存储着极其敏感的数据,是黑客攻击的首要目标。实施 "多层次 "安全方法,结合数据丢失预防和主动威胁检测,对于最大限度地减少潜在危害至关重要。
OPSWAT Proactive DLP
DLP 涉及旨在避免患者记录或 PHI 等敏感数据无意或未经授权泄露的策略。这一点在医疗保健领域尤为重要,因为 PHI 的泄露会对患者产生深远影响,可能导致身份盗用或影响医疗。要减少数据泄露并维护医疗保健数据的安全性和保密性,企业必须建立健全的 DLP 战略。
OPSWAT Proactive DLP 如何工作
OPSWAT Proactive DLP检测并阻止文件和电子邮件中的敏感、政策外和机密数据。Proactive DLP 采用了一系列全面的安全措施,包括检测文件传播的恶意软件、采用人工智能驱动的文档分类以及利用光学字符识别(OCR)进行敏感信息编辑,以减少潜在的数据泄露。它通过强大的数据丢失防护、访问控制和风险缓解功能支持 HIPAA 合规性。
经过编辑的 DICOM 文件样本
OPSWAT MetaDefender 平台
OPSWAT MetaDefender 平台为医疗机构量身定制了全面的威胁防范措施,以安全、经济高效的方式处理健康数据。MetaDefender 平台简化了安全操作流程,易于扩展,并为深度防御战略提供了市场领先的技术,例如
- Deep CDR解除潜在的恶意文件,并重新生成可安全使用的内容。
- Multiscanning利用 30 多种防病毒引擎检测已知和未知的恶意软件。
- Adaptive Sandbox通过动态和静态分析检测恶意软件。
- 原产国限制根据地点和供应商访问数据。
在本白皮书中,您可以了解OPSWAT MetaDefender Platform 如何帮助医疗实体应对数据安全挑战。
描绘数字医疗安全的未来
医疗保健行业面临着日益复杂的网络攻击(包括人工智能驱动的攻击)带来的迫在眉睫的威胁,这是一项超越传统安全措施的严峻挑战。量身定制的网络钓鱼计划、对系统漏洞的自动利用,以及因数字化和自动化程度提高而带来的其他日益严重的风险因素,都对患者数据的完整性和业务连续性构成了严重威胁。
为了有效应对这些不断变化的威胁,医疗IT 团队必须实施强大的数据保护协议,以保护敏感的 PHI 不受威胁行为者的侵害。这种积极主动的方法可确保医疗保健组织能够很好地满足合规标准,并继续为患者提供关键护理。
Secure 现在就为您的组织提供敏感数据。
