Kỷ nguyên mới của chăm sóc sức khỏe kỹ thuật số
Trong năm qua, đã có những tiến bộ đáng kể trong lĩnh vực chăm sóc sức khỏe và công nghệ kỹ thuật số, với các công ty liên tục phát triển các giải pháp để hỗ trợ cả bệnh nhân và bác sĩ. Việc số hóa và tự động hóa liên tục các hệ thống chăm sóc sức khỏe có tiềm năng to lớn để cải thiện kết quả sức khỏe. Tuy nhiên, như chúng ta đã thấy với cuộc tấn công mạng cao cấp gần đây chống lại Change Health, sự gia tăng của các dịch vụ kỹ thuật số trong chăm sóc sức khỏe cũng đặt ra một thách thức chưa từng có trong việc bảo vệ dữ liệu y tế.
Y tế IT Các nhà lãnh đạo phải thực hiện các biện pháp kiểm soát bảo mật mạnh mẽ và có được khả năng hiển thị hành vi của người dùng để giám sát hiệu quả tính toàn vẹn dữ liệu. Điều này đòi hỏi phải áp dụng cách tiếp cận lấy con người làm trung tâm và giám sát chuyển động dữ liệu để xác định ý định và đảm bảo bảo vệ dữ liệu. Mặc dù kết nối người dùng với dữ liệu y tế nhạy cảm thông qua các kênh an toàn là rất quan trọng, nhưng đó chỉ là một khía cạnh của khung bảo mật lớn hơn. Ngoài ra, khi tự động hóa quy trình chăm sóc sức khỏe nâng cao hiệu quả trong việc ra quyết định, nó cũng gây ra rủi ro mất dữ liệu. Sự mất mát như vậy có thể biểu hiện dưới nhiều hình thức khác nhau, bao gồm đánh cắp thông tin, rò rỉ dữ liệu, thao túng và chia sẻ trái phép với bên thứ ba. Do đó, việc thực hiện các biện pháp ngăn ngừa thất thoát dữ liệu (DLP) trong chăm sóc sức khỏe là điều cần thiết.
Các cuộc tấn công mạng cao cấp vào chăm sóc sức khỏe
Vào năm 2023, Văn phòng Dân quyền (OCR) của Bộ Y tế và Dịch vụ Nhân sinh (HHS) đã báo cáo 541 trường hợp vi phạm dữ liệu ảnh hưởng đến hơn 500 cá nhân. Một số trong những sự cố này đã ảnh hưởng đến hàng triệu, hoặc thậm chí hàng chục triệu cá nhân, chẳng hạn như vi phạm được công bố rộng rãi tại HCA Healthcare trong mùa hè.
Vào Lễ Tạ ơn cùng năm, Ardent Health Services đã trải qua một cuộc tấn công ransomware, khiến hệ thống 30 bệnh viện phải chủ động đóng cửa và đình chỉ tất cả quyền truy cập của người dùng vào nó IT Ứng dụng. Điều này dẫn đến sự chậm trễ trong các thủ tục không khẩn cấp.
Tính đến tháng 2/2024, Tạp chí HIPAA đã ghi nhận 24 vụ vi phạm dữ liệu liên quan đến 10.000 hồ sơ chăm sóc sức khỏe.
Các cuộc tấn công mạng quan trọng nhất nhắm vào các nhà cung cấp dịch vụ chăm sóc sức khỏe trong năm nay tập trung vào Change Healthcare, một công ty con của UnitedHealth Group. Sau cuộc tấn công ALPHV, công ty phải đối mặt với cuộc khủng hoảng ransomware thứ hai. Các tác nhân đe dọa tuyên bố sở hữu 4 TB dữ liệu của công ty, bao gồm thông tin nhận dạng cá nhân (PII) của quân nhân Hoa Kỳ đang hoạt động, hồ sơ y tế bệnh nhân, chi tiết thanh toán, v.v.
Theo một báo cáo từ Hiệp hội Y tế Hoa Kỳ, gần 60% bệnh viện được khảo sát báo cáo tổn thất doanh thu hàng ngày ít nhất 1 triệu đô la, với 74% nói rằng sự cố Change Healthcare ảnh hưởng trực tiếp đến việc chăm sóc bệnh nhân trong các cơ sở của họ.
Quy định liên bang và tiểu bang ngày càng tăng
Các yêu cầu mới của ngành xung quanh bảo mật dữ liệu chăm sóc sức khỏe đang diễn ra khi các nhà lập pháp chuyển sang giữ các tổ chức chịu trách nhiệm bảo vệ dữ liệu.
HIPAA
Quy tắc về Quyền riêng tư của HIPAA, 45 CFR Phần 160 và Tiểu mục A và E của Phần 164, mô tả việc sử dụng và tiết lộ thông tin sức khỏe được bảo vệ (PHI) được phép và bắt buộc. PHI có thể tồn tại dưới mọi hình thức, kể cả trên giấy, phim và ở dạng điện tử và được coi là thông tin sức khỏe có thể nhận dạng cá nhân.
Quy tắc bảo mật HIPAA, 45 CFR Phần 160 và Phần 164, Tiểu phần A và C, phác thảo các yêu cầu đối với PHI điện tử (ePHI). Các thực thể được bảo hiểm và các đối tác kinh doanh của họ được ủy quyền duy trì tính bảo mật, tính toàn vẹn và tính khả dụng của ePHI.
Quy tắc thông báo vi phạm HIPAA, 45 CFR §§ 164.400-414, yêu cầu các thực thể được HIPAA bảo hiểm và các đối tác kinh doanh của họ cung cấp thông báo sau khi vi phạm thông tin sức khỏe được bảo vệ không an toàn.
NIST
Ấn phẩm đặc biệt của NIST 800 NIST SP 800-66r2, xuất bản vào tháng 2 năm 2024, cung cấp hướng dẫn cho các thực thể được quản lý (tức là các thực thể và đối tác kinh doanh được HIPAA bảo hiểm) về đánh giá và quản lý rủi ro đối với ePHI, xác định các hoạt động điển hình mà một thực thể được quy định có thể xem xét thực hiện như một phần của chương trình bảo mật thông tin và trình bày hướng dẫn mà các thực thể được quy định có thể sử dụng toàn bộ hoặc một phần để giúp cải thiện vị thế an ninh mạng của họ và hỗ trợ đạt được sự tuân thủ với Quy tắc bảo mật HIPAA.
HHS
Vào tháng 12/2023, Bộ Y tế và Dịch vụ Nhân sinh (HHS) đã phát hành một tài liệu khái niệm phác thảo chiến lược an ninh mạng cho lĩnh vực chăm sóc sức khỏe. Chiến lược này nhấn mạnh các nỗ lực thực thi nâng cao và thiết lập các tiêu chuẩn thực hành công nghiệp nâng cao. Sau đó, vào tháng 1 năm 2024, HHS đã công bố các Mục tiêu Hiệu suất An ninh mạng Cụ thể của Ngành Chăm sóc Sức khỏe và Y tế Công cộng (CPG). Các mục tiêu này được chia thành các loại "thiết yếu" và "nâng cao", nhằm giải quyết các lỗ hổng an ninh mạng phổ biến trong ngành chăm sóc sức khỏe.
Chương trình HHS 405 (d) cung cấp hướng dẫn thực tế cho các tổ chức chăm sóc sức khỏe giải quyết sự phức tạp của việc thực hiện các biện pháp bảo mật dữ liệu mạnh mẽ. Sáng kiến này nhấn mạnh sự tích hợp chiến lược của các hệ thống Phòng chống mất dữ liệu (DLP) như một thành phần quan trọng của khuôn khổ bảo mật dữ liệu toàn diện. Điều chỉnh các giải pháp DLP để phù hợp với nhu cầu riêng biệt của quy trình chăm sóc sức khỏe có khả năng giảm đáng kể dương tính giả và nâng cao hiệu quả tổng thể của các sáng kiến bảo vệ dữ liệu.
Luật Liên bang Hoa Kỳ
Các luật liên bang như Đạo luật Gramm-Leach-Bliley (GLBA), Đạo luật Quyền riêng tư và Quyền Giáo dục Gia đình (FERPA) và Đạo luật Báo cáo Tín dụng Công bằng (FCRA) bảo vệ tính bảo mật của dữ liệu cá nhân. Ngoài các quy định liên bang này, luật tiểu bang mới tiếp tục xuất hiện, củng cố thêm các biện pháp bảo vệ và quyền riêng tư dữ liệu:
Tháng bảy 1 , 2023
Tận dụng khả năng ngăn ngừa thất thoát dữ liệu chủ động trong bảo mật dữ liệu chăm sóc sức khỏe
Với dữ liệu bệnh nhân và sự an toàn là điều tối quan trọng, làm thế nào các nhà cung cấp dịch vụ chăm sóc sức khỏe có thể chắc chắn rằng các công cụ bảo mật hiện có của họ có hiệu quả chống lại các mối đe dọa đang phát triển?
Đã có một sự gia tăng đáng chú ý trong các cuộc tấn công nhắm vào các nhà cung cấp dịch vụ chăm sóc sức khỏe khu vực nhỏ hơn, nhấn mạnh sự cần thiết phải có các biện pháp an ninh mạng mạnh mẽ. Các tổ chức này thường lưu trữ dữ liệu cực kỳ nhạy cảm, khiến chúng trở thành mục tiêu chính của tin tặc. Thực hiện các phương pháp bảo mật "nhiều lớp", kết hợp ngăn ngừa thất thoát dữ liệu và chủ động phát hiện mối đe dọa, là rất quan trọng để giảm thiểu tác hại tiềm ẩn.
Công nghệ OPSWAT ngăn ngừa thất thoát dữ liệu chủ động
DLP liên quan đến các chiến lược nhằm ngăn chặn việc vô tình hoặc trái phép tiết lộ dữ liệu nhạy cảm, như hồ sơ bệnh nhân hoặc PHI. Điều này đặc biệt quan trọng trong chăm sóc sức khỏe, nơi sự thỏa hiệp của PHI có thể ảnh hưởng sâu sắc đến bệnh nhân, có khả năng dẫn đến hành vi trộm cắp danh tính hoặc điều trị y tế bị tổn hại. Thiết lập một chiến lược DLP mạnh mẽ là bắt buộc đối với các tổ chức để giảm thiểu vi phạm dữ liệu và duy trì tính bảo mật và bảo mật của dữ liệu chăm sóc sức khỏe.
Làm sao Công nghệ OPSWAT ngăn ngừa thất thoát dữ liệu chủ động tác phẩm
Công nghệ OPSWAT ngăn ngừa thất thoát dữ liệu chủ động phát hiện và chặn dữ liệu nhạy cảm, không tuân thủ chính sách và bí mật trong các tệp và email. Được trang bị để giảm thiểu các vi phạm dữ liệu tiềm ẩn, Công nghệ ngăn ngừa thất thoát dữ liệu chủ động sử dụng một loạt các biện pháp bảo mật toàn diện, bao gồm phát hiện phần mềm độc hại trong tệp, sử dụng phân loại tài liệu hỗ trợ AI và tận dụng Nhận dạng ký tự quang học (OCR) để biên tập thông tin nhạy cảm. Nó hỗ trợ tuân thủ HIPAA thông qua khả năng ngăn ngừa thất thoát dữ liệu, kiểm soát truy cập và giảm thiểu rủi ro mạnh mẽ.
Các mẫu tệp DICOM được biên tập lại
Trước: Quét y học hạt nhân gốc hiển thị thông tin nhận dạng của bệnh nhân, bao gồm tên, ID và ngày sinh
OPSWAT MetaDefender Nền tảng
OPSWAT MetaDefender Nền tảng này cung cấp khả năng ngăn chặn mối đe dọa toàn diện được thiết kế riêng cho các tổ chức chăm sóc sức khỏe để xử lý dữ liệu sức khỏe một cách an toàn và tiết kiệm chi phí. MetaDefender Nền tảng đơn giản hóa các quy trình hoạt động bảo mật, mở rộng quy mô dễ dàng và cung cấp các công nghệ hàng đầu thị trường cho chiến lược phòng thủ chuyên sâu, chẳng hạn như:
- Deep CDR vô hiệu hóa các tệp có khả năng gây hại và tái tạo nội dung an toàn khi sử dụng.
- Công nghệ nâng cao nhận dạng mã độc với đa ứng dụng xử lý có thể phát hiện cả phần mềm độc hại đã biết và chưa biết bằng hơn 30 công cụ diệt virus.
- Adaptive Sandbox phát hiện phần mềm độc hại bằng cách phân tích động và tĩnh.
- Quốc gia xuất xứ hạn chế quyền truy cập vào dữ liệu dựa trên vị trí và nhà cung cấp.
Khám phá cách thức OPSWAT MetaDefender Nền tảng có thể hỗ trợ các tổ chức chăm sóc sức khỏe giải quyết các thách thức về bảo mật dữ liệu của họ trong báo cáo nghiên cứu chuyên sâu này.
Lập biểu đồ tương lai của bảo mật chăm sóc sức khỏe kỹ thuật số
Ngành chăm sóc sức khỏe phải đối mặt với mối đe dọa lờ mờ từ các cuộc tấn công mạng ngày càng tinh vi, bao gồm các cuộc tấn công do AI cung cấp, đặt ra một thách thức ghê gớm vượt qua các biện pháp bảo mật thông thường. Các kế hoạch lừa đảo phù hợp, khai thác tự động các lỗ hổng hệ thống và các yếu tố rủi ro ngày càng tăng khác do số hóa và tự động hóa gia tăng gây ra rủi ro nghiêm trọng đối với tính toàn vẹn dữ liệu của bệnh nhân và tính liên tục hoạt động.
Để chống lại hiệu quả các mối đe dọa đang phát triển này, chăm sóc sức khỏe IT các nhóm phải triển khai các giao thức bảo vệ dữ liệu mạnh mẽ để bảo vệ PHI nhạy cảm khỏi các tác nhân đe dọa. Cách tiếp cận chủ động này đảm bảo các tổ chức chăm sóc sức khỏe được trang bị tốt để đáp ứng các tiêu chuẩn tuân thủ và tiếp tục cung cấp dịch vụ chăm sóc quan trọng cho bệnh nhân của họ.
Secure Dữ liệu nhạy cảm của tổ chức bạn ngay hôm nay.
