{ Banner Image }

卫生保健中的网络安全问题

卫生保健系统迫切希望适应最新技术和广泛的网络选择,所有这些都是为了为患者提供最佳的护理。但是,这是有代价的: 黑客可以利用更多渠道来破坏有价值的数据。 

尽管零售和银行部门的数据泄露已得到广泛报道,但医疗保健部门并未受到同样的关注。

考虑到2017年:

  • 向美国卫生与公共服务部或媒体报告的医疗保健违规事件达477起(近560万患者记录受到影响)。
  • 奥古斯塔大学医学中心遭到两次网络钓鱼攻击,
  • 加州大学戴维斯分校的一名健康员工’选择使用登录凭据回复网络钓鱼电子邮件会损害近15,000名患者的健康信息。

随着技术的发展,黑客也随之发展。 2015年,保险集团Anthem遭受了迄今为止被认为是最大的医疗保健公司违规事件:超过3,700万患者记录—包括姓名,社会安全号码,生日,地址,电子邮件和就业信息以及收入数据— were exposed.

医疗数据是一项大生意,因为记录可以在黑市上获取最高价—每位患者最高$ 500。被盗医疗记录中的信息用于购买医疗设备或药品—两者都可以转售—或向保险公司提出虚假索赔。此外,病历缺乏信用卡或银行材料之类的保护措施,因为它们无法取消。

无论在安全或开放位置使用,智能手机和平板电脑之类的移动设备都可以为黑客提供对医疗组的后门访问’的网络。实践证明,使用Internet,网络或蓝牙连接的医疗设备对于医疗保健行业来说是革命性的,但是由于它们最初可能尚未支持网络,因此它们不具备抵御黑客的安全保护措施。

此外,通过合并和收购增加医疗保健服务合并意味着更多的病历被转移,共享和审查— sometimes on “legacy”从未设计或打算用于数字化的系统—为黑客抓住它们提供了成熟的时机。

《健康保险可移植性和责任法案》(HIPAA)安全规则于2003年2月20日发布。HIPAA安全规则特别侧重于保护受保护电子健康信息(EPHI)。所有HIPAA涵盖的实体必须遵守安全规则,该规则特别关注保护安全规则中定义的EPHI的机密性,完整性和可用性。受保护实体创建,接收,维护或传输的EPHI必须受到保护,以防止合理预期的威胁,危害以及不允许的使用和/或披露。

HIPAA违规通知规则要求受保护实体在违反其EPHI时通知患者。违反通知规则还要求实体立即通知卫生与公共服务部(HHS),如果违反影响到500多人,则向媒体发布通知。必须向民权办公室报告影响少于500个人的违反行为’(OCR)网站门户(OCR仅要求这些报告每年进行一次)。违反通知应包含以下信息:

  • 涉及的EPHI的性质,包括公开的个人标识符的类型。
  • 使用EPHI或向其进行披露的未经授权的人(如果知道)。
  • 实际获取还是查看了EPHI(如果知道)。
  • 减轻损害风险的程度。

违规通知必须无故拖延(在任何情况下不得迟于发现违规后60天)。所涵盖实体必须告知个人采取了哪些措施以防止潜在的伤害,包括对调查违规行为的努力以及为防止进一步的违规事件和安全事件而采取的措施的说明。

但是,仅仅遵守是不够的。 HIPAA激励医疗保健提供者采用安全网络,对因网络攻击而遭受违反受保护健康信息侵害的提供者处以高额罚款。违规的成本和后果应由实体而非攻击者承担。 Memorial Healthcare System(MHS)因违反HIPAA而向美国卫生与公共服务部(HHS)支付了550万美元’的隐私和安全规则。除了对违法行为处以巨额罚款和罚款外,和解程序和纠正措施计划的实施也非常昂贵,费时且压力很大。

医疗保健行业如何保护自己?

  • 供应商应在更广泛的基础上为记录数据的计算机(例如CT扫描仪)安装安全补丁。
  • 应该升级旧的或未打补丁的操作系统,以使医疗机构不易受到攻击。
  • 网络应该分段或划分为子网,以使其更加安全。
  • 卫生保健团体必须实施自带设备政策—例如允许/禁止的应用程序以及可接受的使用规则—适用于智能手机和平板电脑等移动设备。
  • 增加员工培训,以减少对员工疏忽会导致或导致安全漏洞的担忧。
  • 数据应定期备份,加密并通过多因素身份验证加以保护。

有关的进一步指导 卫生保健网络安全问题,请与Foster Swift律师联系。

分类: 网络安全, 电子病历

作为福斯特·斯威夫特(Foster Swift)的业务和税务业务团队的成员,泰勒(Taylor)帮助企业和企业主解决和预防问题。他处理业务组建和交易,税务争议,员工福利以及与技术相关的问题。

查看作者的所有帖子›

Type the following characters: niner, sierra, papa, hotel, hotel, six

* 表示必填字段。