在全球范围内,医疗保健行业受数据泄露影响最严重。医疗机构收集极其敏感(因此非常有价值)的数据并将其存储在有时过时的系统上,通常是网络攻击的主要目标。

在数据保护方面,医疗保健行业也是监管最严格的行业之一,其专门立法包括 健康保险流通与责任法案 (HIPAA)在美国和欧盟的 通用数据保护条例 (GDPR)强制保护健康信息。不遵守规定将带来巨额罚款。

因此,医疗行业也拥有任何行业中最高的成本/数据泄露率不足为奇。根据2019年 数据泄露报告的成本 由Ponemon Institute和IBM 安全发布,医疗机构的每次泄露成本为645万美元,比数据泄露的平均成本高出65%。

考虑到这三个主要问题,医疗机构应如何确保其数据保护策略成功?这是我们的提示!

1.知道您的数据在哪里,谁在使用它以及如何使用

许多医疗机构都竭尽全力保护其网络免受外部干扰,但这虽然是数据保护策略的重要组成部分,但也必须重点关注吸引这些攻击的敏感信息。

通过直接保护敏感数据,组织不仅可以防御外部威胁,还可以防御恶意内部人员和员工的粗心大意。但是,首先,医疗机构必须知道他们的数据在哪里以及谁可以访问它。数据透明性和可帮助医疗保健提供者密切监视敏感数据的工具,对于有效的网络安全框架而言至关重要。

诸如数据丢失防护(DLP)解决方案之类的工具使医疗保健提供者可以定义敏感数据,然后通过网络范围的策略监视和限制其使用和传输。有些像 端点保护器,甚至附带针对HIPAA和GDPR等立法的预定义政策,以确保受保护的数据符合合规性需求。 DLP解决方案通过其数据发现功能,可以帮助组织在网络上的任何位置查找敏感数据,并允许在未经授权的计算机上发现数据后进行补救措施,例如加密或删除。

2.汇总并测试数据泄露响应计划

医疗保健机构正在成为积极的目标,它们收集的数据量越大,就越容易为网络攻击制定目标。尽管基于诸如 CIS控制 可以阻止多达97%的所有数据泄露,可悲的现实是,没有万无一失的计划来防止所有数据泄露。有时,员工会出于无奈而绕过安全措施,或者某个具有高级别访问权限的人遭受了社会工程攻击,或者在对其进行修补之前利用了新发现的软件或硬件漏洞。这些意外情况可能会损害最密封的数据保护策略。

由于无法保证医疗机构不会受到数据泄露的影响,因此对于他们而言,制定适当的数据泄露应对计划并对其进行事先测试以确保其有效性非常重要。通过这种方式,员工为发生安全事件做好了准备,并知道在发生安全事件时期望他们做什么。

在处理数据泄露问题时,速度是关键,制定周到的计划不仅有助于减轻数据泄露造成的损害并遵守强制性数据泄露通知法律,还可以节省成本。 《 2019年数据泄露成本报告》显示,已经受到广泛测试的事件响应计划的组织在遭到破坏时节省了超过120万美元。

3.检查第三方的安全惯例

有时,医疗保健提供者可以拥有一个强大的网络安全框架,但是与他们合作的供应商却没有。尽管HIPAA和GDPR之类的法规限制了如何与第三方共享个人信息,但需要记住的是,发生数据泄露时,收集数据然后将其传递给供应商进行处理的公司仍应承担责任。

在新加坡臭名昭著的2018年SingHealth数据泄露事件中,导致150万患者的个人信息被盗,其中包括岛国总理李显龙的信息泄露,新加坡个人数据保护委员会(PDPC) 罚款 向综合健康信息系统(IHiS)支付了750,000美元,这是技术供应商,其安全行为不佳导致违规,但也向SingHealth支付了25万美元,作为被泄露的患者数据库系统的所有者。

医疗保健组织必须要求供应商证明其符合自己的网络安全框架,并且符合最佳安全做法,以确保有足够的安全级别来保护任何可能传输给这些第三方进行数据处理或作为数据处理一部分的数据外包服务。

资源: //www.endpointprotector.com/blog/3-data-protection-tips-for-the-healthcare-industry/