淺析醫療保健行業持續存在的內部威脅
醫療保健行業無法承受數據泄露嚴重後果。就其存儲的數據而言,數據安全部門是最重要的部門之一。從個人身份信息(PII)到受保護的健康信息(PHI),醫院每天處理、存儲和管理大量關鍵敏感的患者信息。這使得醫療保健行業成為各種惡意***的主要目標。
在醫療保健面臨的無數威脅中,內部威脅是最大的安全隱患。據報道,醫療保健是唯一面臨內部威脅而非外部威脅的行業。根據2018年的DBIR報告,內部人員占醫療保健行業網絡***的56%。
雖然內部人員對醫療保健的***背後的動機可能是不為人知的資源濫用,但最常見的動機通常是內部人員企圖獲取財務利益。為方便工作的開展,員工對患者個人信息的輕松訪問的權利對於某些人來說是一種斂財的途徑。據“福布斯”雜誌報道,在黑市上欺詐性的電子病歷(EHRs)價值數百甚至數千美元。標價遠遠超過***獲得的信用卡信息、社會安全號碼、出生日期和其他類似的個人信息數額。
就目前情形來看,患者信息一旦被泄露,醫療保健組織的財務以及聲譽會遭受巨大損失。
醫療保健組織是如何受到內部威脅的?
內部威脅通常分為三類:意外,疏忽或惡意。使用各種策略,教育和培訓可以有效地免除這些威脅。
網絡釣魚,內部人員的疏忽使醫療保健數據庫變得脆弱。HIMSS調查報告稱,最重要的安全漏洞並非人為,而是安全實踐和/或協議失誤造成的後果。
HIPAA合規性和員工監控應該同樣被重視的原因:HIPAA要求醫療機構保護其患者的敏感信息不被濫用。因此,對於員工應該加以嚴格限定其訪問權限,沒有訪問此類信息權限的員工無法接觸到這些數據信息。
所有醫療保健違規行為中有58%是由內部人員發起的:濫用對關鍵數據庫的特權訪問來竊取專有信息是惡意***者用來***醫療機構的主要方法之一。實施全面的安全策略以保護每個可能的***面和點是醫療行業可以免除內部威脅的唯一方式。
2018年泄露了1500萬份患者病例記錄從而引發******、網絡釣魚浪潮。Protenus 2019 Breach表發現,自去年以來,2018年遭泄露的患者病歷數量增加了兩倍。該報告指出,鑒於訪問的合法性,內部威脅可能長時間未被發現,這表明內部威脅仍然是許多組織所面臨的潛在危險。
研究表明,大多數違規行為是由內部疏忽或錯誤引起的,而非惡意目的。實施嚴格的訪問權限控制有助於確保敏感的患者信息不會被員工濫用。但是,企業需要在訪問控制之間取得適當的平衡,因為提供高質量的患者護理並做出及時準確的決策往往取決於快速訪問所有可用信息。
綜合安全策略與訪問權限的常規審核和定期員工培訓相結合,可以大大減少醫療保健行業的數據泄露事故的發生。
從世界500強到中小企業,在全球200多個國家和地區,有超過180000家企業正在借助ManageEngine工具管理網絡基礎設施、數據中心、業務系統、IT服務安全。
ManageEngine 擁有6000多名研發人員不斷開發新產品的同時也在升級老產品功能,如今網絡***正在日益加劇,ManageEngine對預防並阻止網絡犯罪義不容辭,在網絡安全方面ManageEngine提供以下幾款軟件保護您的數據,
Log-360:全方位分析日誌,利用事件關聯找出安全隱患;
Eventlog Analyzer:日誌管理/審計和IT SIEM合規性,深入洞察潛在威脅,在威脅轉變成***之前制止它們;
Firewall Analyzer:合理配置防火墻,分析網絡設備安全日誌,不給惡意***一絲機會。Password Manager Pro: 特權帳號與密碼管理,企業重要密碼的保險箱。
……
淺析醫療保健行業持續存在的內部威脅