サイバー攻撃は、組織と個人の両方にとって最大の懸念事項になっています. この懸念は主に、組織がサイバー脅威に対処する準備が整っていないという事実から生じています。. これに追加するには, ハッカーは、何百万もの価値のあるデータにアクセスするために、あらゆる手段を講じています。.
多くのセグメントがデータ詐欺の矢面に立たされています, ヘルスケアも例外ではありません. SCマガジンUKによると, 攻撃の半分 2017 そうだった ヘルスケアを対象. セクターの健全性をさらに診断する場合, 電子健康記録の違反 (EHR) 衰えることなく続く. によると 調査 アクセンチュア, デジタルデータ保護対策にもかかわらず, 26% ヘルスケアの消費者のうち、 2017.
EHRセキュリティが不可欠な理由
EHRデータは ハッカーにとって最も収益性の高いセグメント. これは、世界中で報告されている絶え間ない違反によってさらに証明されています, 米国は大きな影響を受けています. しかし、EHRデータをターゲティングする価値がある理由を調査する必要があります. EHRは、個人の健康情報だけでなく、患者の住所などの他の個人情報も含む、非常に機密性の高い患者データです。, クレジットカード番号, 社会保障番号およびその他の主要な資格情報. このデータが漏洩した場合、クレジットカード詐欺につながります, 保険会社の搾取および身分証明書の重複などの他のリスク.
これが、医療提供者や組織が従来の監査手順を超えて、他の破壊的な措置に従うことが最も重要である理由です。. ファイルの整合性の監視や変更管理などの対策, 設定ミスを回避し、コンプライアンスを継続的に実施することが、全体的なセキュリティ強化の鍵となります.
EHRセキュリティを保護するための介入
ファイル整合性の監視
大病院は部門の複雑なネットワークです, 資産, およびデータ. ハードウェアなどの資産の変更に関しては、変更が多発します, 他のデータ更新に加えてソフトウェアのアップグレード. したがって, 改ざんを発見するには、変更を監視し、元のファイルの変更を調整することが不可欠です。. このため, 行われた変更を追跡できる基本的な制御またはファイル整合性の監視を使用する必要があります, それらがどのように行われたか、そして誰がこれらの変更を行って不正な調整をチェックしたか.
データの整合性を維持するために医療機関のITシステムに採用できるいくつかのFIMソフトウェア製品が利用可能です. よく知られているソフトウェアには、オープンソースのトリップワイヤーが含まれます, とりわけOSSEC.
EHRエコシステムの設定ミスを回避する
そもそも, EHRエコシステムを保護するには、資産が適切に構成および保護されている必要があります. 多くのEHRデータ侵害は、サーバーが侵害されたために発生し、悪意のあるデータがEHRデータにアクセスできるようになります。. そのような事件の1つがStのBJCヘルスケアで発生しました. ルイ, ミズーリ, 秘密の患者’ 医療データは一般に公開されたままになっているため、侵害されました. 別のそのような事件は4月に起こりました 2018, ニューヨークのプロバイダーの誤って構成されたデータベースが 63,400 患者の記録. したがって, 違反を回避するために、構成エラーを継続的に監視する必要があります. この点について, 準拠していないシステムを修復および変更するための修復機能を備えたZabbixなどのオープンモニタリングソフトウェア製品を使用できます.
エコシステムの継続的なコンプライアンス
指揮 継続的なコンプライアンス 医療機関にとっては、多くの義務や規制を満たす必要があるため、困難です。. でも, データ侵害のリスクを排除するため, 医療データの継続的なコンプライアンスを行う必要があります. 食品医薬品局の規制などの規制およびヘルスケア業界のコンプライアンスへの投資, HIPAAが必要です. 医療提供者は、動的なIT環境で自動化された継続的なコンプライアンスを実現する必要があります. 例えば, Impervaは、データベースとコンプライアンスの監査を合理化するのに役立つ自動化されたソリューションです.
サードパーティのリスク管理
何度も, サードパーティベンダーなどの外部ソースに関連するリスクは、しばしば無視されます. ベンダーとの契約の中には関連性が高くないものもあるため, 医療提供者はリスクを考慮する必要性を見落としています. ただし、関連するサードパーティも 医療施設 サイバー攻撃に対して脆弱. 例えば, 患者の記録にアクセスした薬剤師がソフトウェアをアップグレードしました, とプロセス中に, サーバーは一般にアクセス可能でした. これにより、元々は大手医療機関の所有物であったEHRデータへのサイバー攻撃が発生しました。. 第三者のリスクは、関連するリスクの種類を分類し、適切にスクリーニングを実施することで管理できます。, デューデリジェンスのオンボーディングとモニタリング.
結論
上記の介入はEHRデータベースを保護するための確実な解決策ですが, スタッフからの内部リスクも監視する必要があります. データベースとアカウントにアクセスできるスタッフは、フィッシングメールの形式である可能性のあるマルウェアを特定するためのトレーニングを受ける必要があります. これから離れて, 自動化はヘルスケアの流れを変えるための鍵です. これらのレイヤーは、システムが侵入された場合に自己修復して異常を検出できるエンドポイントになるため、セキュリティレイヤーの可視性を確保することも不可欠です。.
著者について: エマサルバドール
エマサルバドール, コンピュータサイエンスの修士号は、コンピュータテクノロジーのコツを持っています. 終わった 15 システムセキュリティとIoTでの長年の経験.
