随着大量医疗服务提供商及其第三方供应商数据遭窃的新闻出现频频出现在公众视野，人们不难嗅到其中暗藏的信号：非法攻击者获得医疗信息有利可图。 [出自:jiwo.org]

医疗行业需要处理大量高度敏感的数据，与其他数据不同的是，这些数据必须准确且保持更新，因为病人的生死与数据息息相关。由于医疗数据的特性，医疗记录在暗网成为热门商品，价格常高于信用卡。这向医疗服务提供商发出了一个问题——在履行严格监管的义务同时，还可以推出什么措施限制数据泄露。

过去十年中，随着许多医疗服务提供商从纸质医疗系统向数字医疗系统转型，医疗市场发生了巨大变化。为了推进现代化进程，提供更加优质、高效的服务，许多医疗服务提供者将远程医疗服务提上日程。远程医疗服务面临和其他在线传输服务相同的安全问题，如连接的完整性和对数据的保护需求。

基本网络安全状况

与病人数字记录相关的隐私和安全问题使医疗保健行业成为不少国家监管最严的行业之一。如美国的《医疗保险可携带性和责任法案》(HIPAA)和《健康信息技术促进经济和临床健康法案》(HITECH Act)等法规在隐私和信息披露要求方面比其他垂直领域的监管标准要高得多。

然而，即便遵从法规也不意味着能拥有绝对安全。传统意义上，医疗服务提供者的使命是拯救生命。因此，IT安全部门很难优先争取到更多预算，而且他们常常人手不足。这也是许多过时的医疗网络环境应对网络攻击时毫无准备的原因。于是医疗环境的信息威胁程度升高，另外还有更多的威胁因子，如员工无意泄露数据(例如，电子邮件误送、计算机丢失、数据输入错误)、物理盗窃、恶意软件和社会工程。根据2018年Verizon保护健康信息数据泄露报告(P，信息滥用是医疗市场数据泄露的常见根源。在66%的事件中，威胁行为者滥用特权凭证获取未经授权的数据访问。

从内部对抗敌人

Verizon的报告还得出结论：医疗行业是唯一的内部人员对组织造成最大威胁的行业 ——58％的数据泄露事件涉及内部人员，而外部参与者造成的事件不到一半。考虑到医疗保健行业的工作条件和工资水平，再考虑潜在的财务收益，这些数字或许就变得不那么令人惊讶，这正是造成数据泄露的直接原因。

在暗网上，完整的医疗记录（如患者姓名，出生日期，社会安全号码和医疗信息）每份可以卖50美元，而社保号码只需15美元。被盗信用卡的售价仅为1美元至3美元。医疗记录可能被用于各种各样的恶意目的，从医疗保健欺、，身份盗窃到开辟新的信贷额度，敲诈勒索和敲诈勒索等。

那么应该采取哪些保障措施来最大限度地降低接触外部或内部威胁因子的风险？医疗服务提供者可以采取四项基本措施来增强其安全态势：

• 员工安全意识培训——推动组织中的文化变革，将安全实践纳入日常运营，并确保实施这些变革所需的财务资源。经常培训员工和合作伙伴的员工，以最大限度地降低网络钓鱼攻击和社交工程的风险。
• 数据加密——未加密设备的被盗或错位继续导致医疗保健市场中的数据泄露。在这种情况下，数据加密既是一种有效且低成本的方法，可以使敏感数据不落入坏人之手。数据加密还可以减轻物理盗窃资产的后果。
• 使用多重身份验证（MFA）补充密码。由于MFA需要多种识别方法，因此它是防止未经授权的用户访问敏感数据并在网络中横向移动的最佳方法之一。MFA应该在任何地方使用，这不仅意味着最终用户访问应用程序，而且意味着每个用户（最终用户，特权用户，承包商和合作伙伴）以及每个IT资源（云和本地应用程序，VPN，端点和服务器）都能受到保护。
• 实施最低访问权限和特权——考虑到医疗保健行业中特权访问滥用的比例很高，通过采用零信任安全方法来限制访问和特权是至关重要的。这需要建立细致的、基于角色的访问控制，以限制横向移动，以及对应用程序和基础设施的即时特权。

通过实施这些措施，医疗保健组织可以在履行严格的监管义务的同时，限制其暴露于内部和外部网络威胁。解决卫生保健提供者面临的安全挑战将促进更快的增长，使进一步的数字转换成为可能，并最终导致加强患者护理和数据保护。