首頁|新聞|快訊|醫(yī)訊|資訊|頭條|健康|科技|旅游|經(jīng)濟(jì)|娛樂|投資|文化|書畫

醫(yī)療機(jī)構(gòu) IT 管理員保護(hù)患者隱私數(shù)據(jù)的 3 個策略

時間:2022-12-21 16:31:25   來源:互聯(lián)網(wǎng)

  自疫情開始以來,醫(yī)療機(jī)構(gòu)的信息存儲與管理正面臨著巨大的考驗;颊叩慕】凳,包括所有治療、程序、處方、檢查報告,都以電子健康記錄 (EHR) 的形式存儲。盡管 EHR 更能提高患者病歷的準(zhǔn)確性,并幫助醫(yī)生跟蹤患者的醫(yī)療保健數(shù)據(jù),但如果攻擊者對這些數(shù)據(jù)進(jìn)行篡改可能會產(chǎn)生難以估量的后果。因此,IT 管理員有責(zé)任保護(hù)患者的數(shù)據(jù)和隱私。

  

  為保證這些健康信息 (PHI) 的完整性,結(jié)合以下三種策略可確保醫(yī)療機(jī)構(gòu)完全遵守醫(yī)療信息隱私和安全法規(guī),包括 HIPAA和HITRUST。

  一、監(jiān)控用戶對包含健康信息(PHI)的文件服務(wù)器的訪問

  EHR包含PHI,這使其成為網(wǎng)絡(luò)犯罪分子有利可圖的攻擊目標(biāo)。需要密切監(jiān)控包含EHR的服務(wù)器,及時發(fā)現(xiàn)未經(jīng)授權(quán)的文件訪問、修改和移動,確保數(shù)據(jù)完整性。醫(yī)療機(jī)構(gòu)必須保證只有經(jīng)過授權(quán)的醫(yī)務(wù)人員和患者本人才能訪問此類敏感信息。

  二、實施細(xì)粒度密碼策略和(多因素身份驗證)MFA

  由于大多數(shù)醫(yī)療保健機(jī)構(gòu)嚴(yán)重依賴密碼來對其ePHI的訪問進(jìn)行保護(hù),因此黑客只需要一個被破解的憑據(jù)即可對其企業(yè)內(nèi)部數(shù)據(jù)進(jìn)行訪問。而真正具有挑戰(zhàn)的在于確保醫(yī)生和其他醫(yī)務(wù)人員使用強(qiáng)密碼來保護(hù)他們的帳戶;谟、OU和組成員身份對不同用戶(例如護(hù)士、住院醫(yī)生、醫(yī)生、前臺等)實施多因素身份驗證 (MFA),同時確保良好的登錄體驗。

  三、減少特權(quán)濫用和內(nèi)部威脅

  有權(quán)控制您的Active Directory (AD域)環(huán)境、GPO和服務(wù)器的特權(quán)用戶會帶來特權(quán)濫用和內(nèi)部威脅風(fēng)險。為了確保安全性,需要建立一個零信任環(huán)境,以便將內(nèi)部威脅拒之門外。僅將對患者健康信息的訪問權(quán)限分配給醫(yī)生、護(hù)士、健康保險主管和其他直接負(fù)責(zé)該患者的人員。

  

  要實施這三種策略,您需要一個全面的身份和訪問管理 (IAM) 解決方案,例如 ManageEngine AD360。AD360 是一個集成的 IAM 套件,可以管理和保護(hù)您的 Windows AD、Exchange Server和 Microsoft 365 環(huán)境,并滿足您的合規(guī)性要求。

  

  使用ManageEngine AD360,您可以:

  ●在包含 PHI 的 Windows、NetApp、EMC、Synology、Huawei 和 Hitachi 文件服務(wù)器系統(tǒng)中實時跟蹤誰何時何地,更改了哪個文件或文件夾。

  ●檢測插入系統(tǒng)的USB設(shè)備,如果用戶對信息進(jìn)行復(fù)制時及時進(jìn)行報警,并阻止PHI泄露。

  ●為有權(quán)訪問PHI的特權(quán)用戶實施細(xì)粒度的密碼策略和 MFA。

  ●通過利用用戶行為分析來對抗內(nèi)部威脅,該分析會通知用戶當(dāng)前行為與正常行為的偏差。通過配置要執(zhí)行的自動操作(例如運行腳本或執(zhí)行批處理文件)來即時響應(yīng)這些偏差。

  ●識別并接收有關(guān)特權(quán)濫用跡象的警報,例如異常大量的文件修改和試圖訪問關(guān)鍵文件。

  ●使用200多個預(yù)配置報告證明HIPAA合規(guī)性,以查看系統(tǒng)中所做的更改、跟蹤用戶的操作、以及對數(shù)據(jù)的訪問或修改操作。

(責(zé)任編輯:華康)

熱點聚焦

最新閱讀

熱門排行