積極主動(dòng)對(duì)于減少醫(yī)療保健數(shù)據(jù)被泄露的可能性至關(guān)重要，特別是考慮到這些信息對(duì)黑客的價(jià)值。

　　更不用說(shuō)它有多豐富了。許多醫(yī)院數(shù)據(jù)庫(kù)保存著數(shù)萬(wàn)甚至數(shù)百萬(wàn)患者的記錄。可用的有價(jià)值信息的數(shù)量使黑客想要將目標(biāo)鎖定在醫(yī)院、門(mén)診中心和類似站點(diǎn)。

　　網(wǎng)絡(luò)罪犯分子可以非法獲取包含患者私人信息的記錄，包括其疾病、付款詳情等，并以高額贖金勒索所有這些信息。

　　考慮到這種危險(xiǎn)，本文將探討醫(yī)療保健行業(yè)中一些最大的數(shù)據(jù)保護(hù)挑戰(zhàn)，以及醫(yī)院和其他組織如何最大程度地減少其不利影響。

　　5大醫(yī)療保健數(shù)據(jù)安全挑戰(zhàn)

　　1、勒索軟件

　　當(dāng)黑客鎖定數(shù)據(jù)或系統(tǒng)并要求受影響方支付贖金以恢復(fù)信息時(shí)，就會(huì)發(fā)生勒索軟件攻擊。這越來(lái)越普遍且致命，預(yù)計(jì)到2023年損失將超過(guò)300億美元。

　　更糟糕的是，付出代價(jià)并不總能得到受害者想要的結(jié)果。

　　卡巴斯基2021年的一項(xiàng)研究表明，超過(guò)56%的受訪者支付了贖金。然而，17%的人在這樣做之后并沒(méi)有贖回其數(shù)據(jù)。此外，許多人在完全恢復(fù)其合法訪問(wèn)權(quán)方面遇到了困難。例如，盡管32%的人盡了最大的努力，還是丟失了一些數(shù)據(jù)。

　　只有29%的遭受勒索軟件攻擊的人表示可以再次訪問(wèn)其所有數(shù)據(jù)。

　　2、數(shù)據(jù)處理不當(dāng)

　　醫(yī)療機(jī)構(gòu)是繁忙的地方，許多工人在處理許多任務(wù)時(shí)承受著巨大的壓力。這些綜合挑戰(zhàn)意味著其并不總是能正確處理數(shù)據(jù)，這可以說(shuō)是為黑客敞開(kāi)了大門(mén)。

　　COVID-19大流行使醫(yī)護(hù)人員承受額外壓力，最終可能危及安全。

　　Verizon在2022年發(fā)布的一份關(guān)于醫(yī)療保健違規(guī)的報(bào)告發(fā)現(xiàn)，員工犯下?lián)p害數(shù)據(jù)的錯(cuò)誤的可能性是惡意濫用其訪問(wèn)權(quán)限的2.5倍以上。排名前兩位的錯(cuò)誤是丟失數(shù)據(jù)或?qū)?shù)據(jù)錯(cuò)誤發(fā)送。

　　3、用于某些健康研究的數(shù)據(jù)的不確定性

　　醫(yī)療保健數(shù)據(jù)一直是醫(yī)學(xué)研究進(jìn)展中不可或缺的一部分。研究人員從患者那里獲得的信息有助于了解潛在的新療法、了解特定癥狀如何成為疾病的征兆等等。

　　然而，謹(jǐn)慎和合乎道德地處理信息是至關(guān)重要的。問(wèn)題在于，當(dāng)前的數(shù)據(jù)處理實(shí)踐通常沒(méi)有考慮到人工智能(AI)。換句話說(shuō)，數(shù)據(jù)可能不在人類網(wǎng)絡(luò)瀏覽器的視野范圍內(nèi)，但對(duì)人工智能爬蟲(chóng)完全開(kāi)放，然后人工智能爬蟲(chóng)可以將其傳遞出去。

　　與此相關(guān)的是，存在一個(gè)所謂的黑盒問(wèn)題，通常無(wú)法回溯并查看人工智能算法如何得出某些結(jié)論。

　　4、第三方醫(yī)療企業(yè)問(wèn)題

　　醫(yī)療保健組織圍繞數(shù)據(jù)制定了不同的政策和策略，其中一些可能會(huì)帶來(lái)麻煩。想想聯(lián)邦貿(mào)易委員會(huì)如何對(duì)處方藥比較服務(wù)GoodRX處以150萬(wàn)美元的民事罰款，因?yàn)槠湓谖唇?jīng)披露或用戶許可的情況下向Google、Facebook和其他企業(yè)提供了消費(fèi)者健康數(shù)據(jù)。

　　在另一個(gè)例子中，心理健康遠(yuǎn)程醫(yī)療Cerebral承認(rèn)了一項(xiàng)數(shù)據(jù)泄露事件，即向第三方泄露了受保護(hù)的健康信息。據(jù)報(bào)道，該問(wèn)題影響了超過(guò)300萬(wàn)患者。

　　5、互聯(lián)網(wǎng)衛(wèi)生和數(shù)據(jù)安全措施不佳

　　許多處理醫(yī)療保健數(shù)據(jù)的人沒(méi)有遵循確保數(shù)據(jù)安全的最佳做法。這個(gè)問(wèn)題尤其涉及眾多行業(yè)。一項(xiàng)研究表明，63%的人重復(fù)使用工作設(shè)備和賬戶的密碼。這些重復(fù)使用的密碼使黑客可以訪問(wèn)更多站點(diǎn)。

　　一位醫(yī)療保健系統(tǒng)高管的工作筆記本電腦被盜，內(nèi)含40,000多份醫(yī)療記錄，且設(shè)備的信息未加密。受影響的醫(yī)療保健系統(tǒng)的各方花費(fèi)了20多萬(wàn)美元來(lái)處理事件的善后工作，并改善政策，以減少類似事件發(fā)生的可能性。

　　如何保護(hù)醫(yī)療保健數(shù)據(jù)

　　沒(méi)有一種方法能保證數(shù)據(jù)的安全。但這里有一些值得考慮的最佳實(shí)踐，包括備份數(shù)據(jù)、制定明確的指導(dǎo)方針，以及為員工提供培訓(xùn)和鼓勵(lì)以負(fù)責(zé)任的方式處理私人數(shù)據(jù)。

　　1、保持?jǐn)?shù)據(jù)備份

　　2022年一項(xiàng)針對(duì)全球醫(yī)療保健組織的研究表明，57%的受訪者在過(guò)去三年中遭受過(guò)勒索軟件攻擊。

　　四分之一的受訪者承認(rèn)這些問(wèn)題導(dǎo)致運(yùn)營(yíng)中斷，而60%的受訪者表示影響了一些業(yè)務(wù)流程。此外，56%的受訪者表示需要數(shù)天時(shí)間才能恢復(fù)運(yùn)營(yíng)，而24%的受訪者表示需要數(shù)周時(shí)間。

　　擁有最新的數(shù)據(jù)備份可以最大限度地縮短勒索軟件恢復(fù)的時(shí)間，因?yàn)槠浣档土伺c網(wǎng)絡(luò)犯罪分子接觸以恢復(fù)數(shù)據(jù)的緊迫性。

　　但這并不能解決所有問(wèn)題。IT團(tuán)隊(duì)仍必須確定黑客是如何造成破壞并解決問(wèn)題，防止任何敏感數(shù)據(jù)被濫用或泄露給公眾，并與執(zhí)法部門(mén)合作抓捕應(yīng)對(duì)攻擊負(fù)責(zé)的罪犯。

　　2、考慮獨(dú)立認(rèn)證

　　許多醫(yī)療保健機(jī)構(gòu)都經(jīng)過(guò)獨(dú)立的認(rèn)證程序，以了解其是否符合行業(yè)標(biāo)準(zhǔn)。這可以改善運(yùn)營(yíng)并提高聲譽(yù)。

　　證據(jù)還表明，當(dāng)保險(xiǎn)公司考慮提供什么樣的套餐和費(fèi)率時(shí)，認(rèn)證可以提高信心。

　　數(shù)據(jù)處理措施和整體網(wǎng)絡(luò)安全只是與認(rèn)證相關(guān)的一些方面。其將幫助組織整體上更順暢、更高效地運(yùn)行，從而減少漏掉重要問(wèn)題的可能性。

　　3、為研究中使用的健康數(shù)據(jù)制定明確的準(zhǔn)則

　　幾十年來(lái)，健康數(shù)據(jù)一直是研究的重要組成部分。然而，人們現(xiàn)在使用其方式有所不同，包括在大數(shù)據(jù)平臺(tái)和人工智能項(xiàng)目中工作。

　　對(duì)于醫(yī)療保健管理人員、IT團(tuán)隊(duì)和研究人員來(lái)說(shuō)，現(xiàn)在是解決研究中處理數(shù)據(jù)的具體問(wèn)題的絕佳時(shí)機(jī)，特別是因?yàn)檫@項(xiàng)工作通常涉及多個(gè)組織之間的協(xié)作。

　　4、評(píng)估第三方醫(yī)療企業(yè)的隱私政策

　　IT團(tuán)隊(duì)?wèi)?yīng)該創(chuàng)建和分發(fā)文檔，強(qiáng)調(diào)患者數(shù)據(jù)不一定要留在醫(yī)療保健組織內(nèi)部。

　　例如，醫(yī)院可能會(huì)使用第三方服務(wù)進(jìn)行預(yù)約設(shè)置或計(jì)費(fèi)。高層們應(yīng)該徹底審查其所有的外部供應(yīng)商，并小心其將重要的組織數(shù)據(jù)委托出去。

　　同時(shí)，所有患者在使用任何第三方醫(yī)療服務(wù)前都應(yīng)仔細(xì)閱讀其隱私政策。還應(yīng)該設(shè)置強(qiáng)而獨(dú)特的密碼，并且永遠(yuǎn)不要通過(guò)公共Wi-Fi訪問(wèn)健康數(shù)據(jù)。

　　5、為員工提供持續(xù)的網(wǎng)絡(luò)安全培訓(xùn)

　　當(dāng)數(shù)據(jù)安全成為文化的一部分時(shí)，人們將更應(yīng)該了解其行為如何影響組織中的其他人。所有以任何身份處理數(shù)據(jù)的工作人員都應(yīng)接受定期、持續(xù)的網(wǎng)絡(luò)安全培訓(xùn)。

　　員工還必須學(xué)會(huì)報(bào)告網(wǎng)絡(luò)安全漏洞或在網(wǎng)絡(luò)上注意到的異?；顒?dòng)，無(wú)論是否自己造成的。

　　所有醫(yī)療保健組織都應(yīng)使用的4種安全工具

　　強(qiáng)大的技術(shù)堆棧為組織提供了必要的工具來(lái)防止攻擊。以下是一些最常推薦的類型。

　　1、防火墻

　　防火墻允許組織的IT團(tuán)隊(duì)設(shè)置特定參數(shù)來(lái)過(guò)濾網(wǎng)絡(luò)的持續(xù)和傳入流量。防火墻是醫(yī)療機(jī)構(gòu)專用網(wǎng)絡(luò)和公共互聯(lián)網(wǎng)之間的主要屏障。

　　2、入侵防御系統(tǒng)

　　入侵防御系統(tǒng)(IPS)是專門(mén)的硬件或軟件工具，可以持續(xù)監(jiān)控網(wǎng)絡(luò)流量是否存在異?；顒?dòng)，并在遇到異?；顒?dòng)時(shí)采取措施。其可能會(huì)阻止流量或提醒相關(guān)方。

　　3、網(wǎng)絡(luò)訪問(wèn)控制

　　網(wǎng)絡(luò)訪問(wèn)控制(NAC)基于某些組合憑證和特征允許或拒絕人們使用網(wǎng)絡(luò)。例如，IT管理員可以指定，如果有人試圖從不尋常的位置登錄，則不能訪問(wèn)系統(tǒng)——即使有適當(dāng)?shù)膽{據(jù)。

　　4、端點(diǎn)安全

　　端點(diǎn)安全包括阻止黑客將面向用戶的設(shè)備變成接入點(diǎn)的工具和措施。這可能意味著運(yùn)行防病毒軟件并確保員工使用更新的操作系統(tǒng)。

　　醫(yī)療保健數(shù)據(jù)安全標(biāo)準(zhǔn)

　　在醫(yī)療保健領(lǐng)域工作和處理數(shù)據(jù)的人員必須遵循多項(xiàng)與安全相關(guān)的標(biāo)準(zhǔn)，包括HIPAA、GDPR、HITRUSTCSF和ISO/IEC27001。

　　重要的是，不僅這些標(biāo)準(zhǔn)要到位，且員工要精通其應(yīng)用。任何被發(fā)現(xiàn)是由組織疏忽造成的違規(guī)行為都可能導(dǎo)致罰款和訴訟等進(jìn)一步損害。

　　1、HIPAA

　　1996年的《健康保險(xiǎn)流通與責(zé)任法案》(HIPAA)是一部聯(lián)邦法律，與保護(hù)患者醫(yī)療記錄免遭未經(jīng)授權(quán)披露的標(biāo)準(zhǔn)有關(guān)。HIPAA隱私規(guī)則適用于所有被視為涵蓋實(shí)體的組織和個(gè)人，包括醫(yī)療保健提供者、醫(yī)療保險(xiǎn)公司及其任何業(yè)務(wù)伙伴。

　　2、GDPR

　　通用數(shù)據(jù)保護(hù)條例(GDPR)是適用于歐盟居民數(shù)據(jù)處理實(shí)踐的隱私法。雖然從技術(shù)上講，其只適用于專門(mén)針對(duì)這些人的組織，但最好的做法是在任何可能在歐盟開(kāi)展業(yè)務(wù)的組織中實(shí)施，以確保法律的安全。

　　GDPR規(guī)范了數(shù)據(jù)的收集、處理和使用。健康信息由于其敏感性而受到特別嚴(yán)格的GDPR保護(hù)。

　　3、HITRUSTCSF

　　健康信息信任聯(lián)盟(HITRUST)通用安全框架(CSF)提供可認(rèn)證的參數(shù)，以幫助醫(yī)療保健提供者展示其安全性和合規(guī)性實(shí)踐。

　　HITRUST為HIPAA涵蓋的實(shí)體、云提供商和其他人提供了一個(gè)基準(zhǔn)測(cè)試系統(tǒng)，以驗(yàn)證是否符合監(jiān)管標(biāo)準(zhǔn)。

　　CSF有19個(gè)與網(wǎng)絡(luò)安全相關(guān)的領(lǐng)域的細(xì)節(jié)。組織可以進(jìn)行自我評(píng)估或獲得CSF驗(yàn)證或認(rèn)證。

　　4、ISO/IEC27001和ISO27799:2016

　　這些來(lái)自國(guó)際標(biāo)準(zhǔn)化組織(ISO)和國(guó)際電工委員會(huì)(IEC)的標(biāo)準(zhǔn)為處理某些類型的敏感信息提供了詳細(xì)的控制。

　　ISO/IEC27001涉及信息安全管理系統(tǒng)。遵守該標(biāo)準(zhǔn)的組織已經(jīng)開(kāi)發(fā)了風(fēng)險(xiǎn)管理系統(tǒng)來(lái)保護(hù)相關(guān)數(shù)據(jù)并專注于持續(xù)改進(jìn)。

　　ISO27799:2016是專門(mén)針對(duì)健康信息學(xué)的標(biāo)準(zhǔn)。其適用于數(shù)字文檔、手寫(xiě)筆記、醫(yī)學(xué)圖像和錄音。其還涉及人們?nèi)绾蝹鬏敽徒邮沾诵畔ⅰ?br />
　　5、美國(guó)國(guó)家標(biāo)準(zhǔn)技術(shù)研究院(NIST)框架

　　NIST框架最初僅適用于聯(lián)邦實(shí)體和承包商，因此不適用于私人醫(yī)療機(jī)構(gòu)?，F(xiàn)在，非政府組織（包括醫(yī)療保健領(lǐng)域的組織）的關(guān)注點(diǎn)和自愿性范圍更廣。

　　作為安全政策的可選補(bǔ)充，其旨在幫助企業(yè)更好地了解、管理和降低其網(wǎng)絡(luò)安全風(fēng)險(xiǎn)并保護(hù)其網(wǎng)絡(luò)和數(shù)據(jù)。

　　6、支付卡行業(yè)數(shù)據(jù)安全標(biāo)準(zhǔn)(PCIDSS)

　　所有接受商品或服務(wù)付款的醫(yī)療保健組織都必須遵守PCIDSS。其涵蓋處理、存儲(chǔ)和傳輸支付卡數(shù)據(jù)。如果不遵守這一國(guó)際公認(rèn)的標(biāo)準(zhǔn)，組織將面臨罰款的風(fēng)險(xiǎn)。

　　底線：為醫(yī)療機(jī)構(gòu)保護(hù)數(shù)據(jù)

　　在醫(yī)療保健行業(yè)中，適當(dāng)?shù)臄?shù)據(jù)安全措施至關(guān)重要。不遵守這些規(guī)定的組織可能面臨違規(guī)或信息濫用的風(fēng)險(xiǎn)。此類問(wèn)題可能會(huì)影響患者護(hù)理，并損害機(jī)構(gòu)的聲譽(yù)。在處理如此大量極其敏感數(shù)據(jù)的行業(yè)中，幾乎沒(méi)有出錯(cuò)的余地。

　　好在，了解風(fēng)險(xiǎn)并采取措施減輕風(fēng)險(xiǎn)，可以在很大程度上保證患者數(shù)據(jù)和組織的安全。