کابوس مطابقت HIPAA بهداشت و درمان | محیط 81

webiyan فوریه 25, 2020 0 Comments

زمان خواندن: 3 دقیقه

برای بهینه سازی تلاش های مبهم خود ، هکرها غالباً از استراتژی منطقی و منطقی استفاده می کنند که فقط پرسودترین منابع اطلاعات شخصی را هدف قرار می دهد. با توجه به این موضوع ، سوابق پزشکی جلوه خاصی از حریص را به چشم می آورند. ارزش پرونده مراقبت های بهداشتی سرقت شده به معنای واقعی کلمه ده برابر سرقت هویت استاندارد است ، به طور متوسط ​​هکرها می توانند حدود 2،000 دلار از هویت ربوده شده را جمع کنند ، در حالی که مقدار و نوع اطلاعات موجود در پرونده پزشکی شخص معمولاً به معنای سود حداکثر 20،000 دلار است .

برای هکرها ، اطلاعات مربوط به سلامت شخصی (PHI) یک گنجینه واقعی از یاقوت ها ، یاقوت کبودها و سایر سنگهای قیمتی به شکل تولد ، نام خانوادگی (مفید برای رمز عبور رمز عبور) است. شماره های تأمین اجتماعی و شناسایی مالیات و سایر اطلاعات مرتبط با دریافت مراقبت های پزشکی. ارزش این اطلاعات بسیار دشوار است ، اما چندین عامل دیگر باعث شده است تا PHI از آسیب پذیری آسیب پذیرتر باشد. ارائه دهندگان خدمات بهداشتی که با امنیت داده های بیماران خود تلاش می کنند ، اکنون متوجه شده اند که راه حل در مقابل آنهاست: به یک روح اعتماد نکنید.

PHI و بیمارستان ها: A Storm Storm

ترکیبی از عوامل. بزرگترین جمع آوری داده های شخصی قابل هک کردن را ایجاد کرده است – و این در دست صنعت است که حداقل برای مقابله آماده است. پرونده های پزشکی کامل شامل اطلاعاتی هستند که تغییر در پرواز ، مانند SIN شخص ، تقریباً غیرممکن است. هنگامی که این اطلاعات در معرض دید قرار گرفت ، مدت زمان طولانی برای وضوح قطعنامه ، هکرها را روزها یا هفته ها می خواهد تا بیماران را قبل از خشک شدن شیر ، از بدن خود جعل کنند. علاوه بر این ، اجرای سخت دستگاه های IoT و سایر دستگاه های مورد استفاده در مراقبت از بیمار راهی به هکرها می دهد تا روی سلامت بیماران تأثیر بگذارد ، و نه تنها کیف پول آنها.

در حضور در افراد تحت مراقبت آنها ، کارکنان بیمارستان بیش از حد کار می کنند و به سادگی نمی کنند. وقت داشته باشید تا پیامدهای بهداشت امنیتی عادی خود را در نظر بگیرید. اولویت آنها استفاده از مجموعه ای از برنامه های کاربردی ، منابع شبکه و دستگاههای متصل به اینترنت است که به آنها کمک می کند تا کارهای خود را انجام دهند. هرگونه خرابی خطری برای سلامتی است ، بنابراین مقاومت در برابر احراز هویت چند عاملی و سایر بهترین روشها یک هنجار است. در شبکه هایی با بردارهای حمله چندگانه ، داده های بسیار با ارزش و کارگران سهل انگار (اگرچه به معنی خوبی دارند) ، مشخص است که یک استراتژی امنیتی کم لمسی برای جمع آوری کمترین میوه در دسترس هکرها ضروری است.

صفر اعتماد پاسخ انحصاری است

یکی از چشمگیرترین گرایش ها برای نشان دادن این ایده ، این است که تا سال 2017 طول کشید تا بیشتر تخلفات ناشی از هکرها باشد ، نه اینکه توسط اشتباهات امنیتی فردی در سازمانهای بهداشت و درمان انجام شود. گرچه مراقبت های بهداشتی مدت ها قبل از آن هدف های خوبی برای هکرها بوده است ، اما سهل انگاری خودی در مورد نقض های عمدی بیش از حد طولانی است ، یک فکر ترسناک است – به خصوص برای ارائه دهندگان که حق بیمه را در انطباق HIPAA قرار می دهند. در یک مثال بسیار ارزشمند ، 14 سال قبل از کشف و بسته شدن نقض PHI طول کشید.

ارائه دهندگان در صنعت مراقبت های بهداشتی اکنون مجبور شده اند با این واقعیت روبرو شوند که نیروی انسانی بسیار تحصیل کرده آنها به سادگی ندارند. آموزش امنیتی باید مورد اعتماد باشد. بنابراین بسیاری از آنها Zero Trust را به عنوان یک الگوی دسترسی به شبکه استفاده می کنند که رویکرد متفاوتی به امنیت می دهد. در راه حل های امنیتی سنتی شبکه ، هنگامی که پزشک مجوز ورود به شبکه را داشت ، در هر گوشه ای از آن اعتماد به نفس داشت ، متوقف شود. بر این اساس ، در زمانی که یکی از پنج کارمند مراقبت های بهداشتی مایل به فروش حداقل PHI به مبلغ 500 دلار است ، Zero Trust مهم است. مدیران فناوری اطلاعات را قادر می سازد تا یک الگوی امنیتی را اجرا کنند که در آن به هیچ کس قابل اعتماد نیست ، و همه کسانی که وارد شبکه می شوند ، فقط در مکان هایی که قرار است در آن قرار داشته باشند مجاز هستند و همیشه کنترل می شوند. اگر نیازی به دیدن قسمتهای خاصی از شبکه ندارید ، نمی توانید و بدون ایجاد زنگ هشدار در اتاق IT ، هیچ کاری را سازش کنید. برای رعایت نظارتی مانند HIPAA ، این سطح از هوشیاری بی اهمیت نیست ، لازم است.

در محیط های ابر ترکیبی مانند مواردی که معمولاً توسط ارائه دهندگان مراقبت های بهداشتی اعمال می شود ، صفر اعتماد بسیار ایمن تر از محیط است

مدلهای امنیتی محور فقط به این دلیل که محیط دیگر وجود ندارد. دائماً در حال حرکت است و به طور مداوم توسط طیف وسیعی از دستگاه ها و افراد با درجات مختلف محافظت می شود. از آنجا که Zero Trust کاربران را تنها در مناطقی که کاملاً باید در آن حضور داشته باشند ، تقسیم می کند ، تعداد موارد نقض تصادفی در خودی و کسانی که از خارج وارد می شوند کاهش می یابد.

ایده پشت صفر اعتماد یک چیز است ، اما رسیدن به آنجا چیز دیگری است. ارائه دهندگان خدمات بهداشتی باید به دنبال راهكارهای امنیتی شبكه باشند كه نرم افزار تعریف شده پیرامون (SDP) را به عنوان گام اساسی خود برای پیروزی در جنگ سایبر در حال پیاده سازی است. تکمیل این راه حل SDP با آموزش آگاهی از امنیت نیز مهم است. کارمندان بهداشت و درمان باید تشخیص دهند که در مورد امنیت داده ها با تهدیدهای روزمره روبرو هستند ، و بدانند که نقش آنها در تأمین امنیت شبکه چیست. این استراتژی دو لبه قوی است ، اما هرگز هکرها را به طور کامل متوقف نمی کند. PHI بسیار پر سود است. با این وجود ، آنچه را که انجام خواهد داد این است که هکها را به اندازه کافی گران و دشوار می کنند تا بازیگران بد را منصرف کنند و آنها را به صنعت آسیب پذیر بعدی رها کنند. بهتر از اینجا.