随着我国《网络安全法》《数据安全法》《个人信息保护法》《数据出境安全评估办法》等法律法规以及《信息安全技术-健康医疗数据安全指南》等医疗行业配套标准相继颁布实施,从2023年开始医疗行业对于数据安全合规的管理将越来越严格,基于数据的传输、提供、公开等全生命周期进行保障的应用数据安全技术会迎来医疗行业的持续关注,这对医疗行业安全从业者来讲将会是严峻的挑战。
大多数医疗机构会认为威胁可能只会来自外部,但实际上大部分数据泄露均来自内部威胁。
内部威胁对医疗行业的影响
在医疗行业,数据泄露可能是毁灭性的。在医院的医疗记录中包含了患者的家庭住址、电话号码和健康信息等私密信息,这些信息对于不法分子来说都是极具吸引力的。同时医疗行业的数字化转型,也极大的提高了医疗效率,减轻了医务人员的负担。电子健康记录的运用就大大提高了医院效率,有35%的医生表示会更容易应对患者问题,有33%声称有助于管理治疗计划。因此,医疗行业必须实施强大的数据安全解决方案。
对医护人员进行良好的网络安全培训非常重要,大部分医护人员可能没有接受过任何正规的网络安全教育或相关经验。医疗机构可以围绕如何识别网络钓鱼诈骗、避免下载恶意软件和传输敏感数据等进行介绍。同时也要定期更新网络安全政策和指南,持续强化网络安全意识与行为,防止可能导致安全漏洞的常见错误。
实施访问控制
很少有人需要随时访问所有文件。零常设特权(ZSP)访问控制限制了工作人员可以查看、编辑或发送的文档。ZSP意味着默认情况下没有人可以看到受保护的信息。没有超级管理员账户,每个请求都需经过基于风险评估的审查。这种方法可以更轻松的监视任何可疑系统活动。定时访问控制会在一段时间后自动将人员注销。同时,提供临时、有限访问权限的一次性登陆。最好的控制管理手段是持续自适应信任策略,应用有关数据敏感度、用户状态、时间和设备类型的上下文信息,评估风险并管理资源访问。
执行安全审计
双因素身份验证(2FA)应作为安全策略的一部分,要求员工在访问数据之前使用多种形式的身份识别,例如手机上的验证码。此措施可为任何试图破坏敏感信息的人增加额外的障碍。
备份数据
与数据丢失防护软件(DLP)结合使用,定期备份是网络安全的重要组成部分。DLP有助于识别和防止敏感信息的传输,阻止尝试通过电子邮件或即时消息发送私人数据,同时还能确保即使在数据泄露的情况下也不会丢失患者信息。但需注意的是,医疗机构应将其备份存储在与主网络不同的网络中。
对数据进行分类分级
医疗机构应该对所有信息进行清点,按照敏感度、位置和类型进行标记。这种做法可以让使用网络的人员将数据分类,让他们知道那些文件可以查看,那些文件应该避免触碰。此外,数据的分类分级还能帮助识别可疑或恶意文件,并将其排除在系统之外。管理员还可以制定详细的策略,明确哪些数据是可公开的,哪些数据是机密,如:是否允许员工通过电子邮件发送中等敏感度的文件。
创建应急响应计划
医疗机构应制定紧急情况下的事件响应计划。应对内部威胁的响应计划应该是可重复的、标准化的,并可应用于每个事件中。制定应急响应计划之前,机构应先评估其资源和能力;必须明确该计划的目的,并确定人员应负责的所有关键资产。必须明确每个人都有责任监控和报告可疑活动。
构建强大的医疗数据安全防线
医疗行业的数字化虽然提高了医务人员的效率,但数字化的同时也使得医疗行业面临更多的数据安全漏洞,尤其是来自疏忽大意的员工。卫生组织必须建立用户、数据、流量和应用程序的广泛可见性,以实施强大的安全控制。这样做可以保护患者的隐私,并确保平稳、高效的操作。
