自疫情開始以來�,醫(yī)療機(jī)構(gòu)的信息存儲(chǔ)與管理正面臨著巨大的考驗(yàn)�������;颊叩慕】凳��,包括所有治療��、程序�����、處方、檢查報(bào)告���,都以電子健康記錄 (EHR) 的形式存儲(chǔ)���。盡管 EHR 更能提高患者病歷的準(zhǔn)確性,并幫助醫(yī)生跟蹤患者的醫(yī)療保健數(shù)據(jù)���,但如果攻擊者對(duì)這些數(shù)據(jù)進(jìn)行篡改可能會(huì)產(chǎn)生難以估量的后果����。因此���,IT 管理員有責(zé)任保護(hù)患者的數(shù)據(jù)和隱私��。
為保證這些健康信息 (PHI) 的完整性�,結(jié)合以下三種策略可確保醫(yī)療機(jī)構(gòu)完全遵守醫(yī)療信息隱私和安全法規(guī)��,包括 HIPAA和HITRUST����。
一、監(jiān)控用戶對(duì)包含健康信息(PHI)的文件服務(wù)器的訪問
EHR包含PHI��,這使其成為網(wǎng)絡(luò)犯罪分子有利可圖的攻擊目標(biāo)���。需要密切監(jiān)控包含EHR的服務(wù)器�����,及時(shí)發(fā)現(xiàn)未經(jīng)授權(quán)的文件訪問���、修改和移動(dòng)�����,確保數(shù)據(jù)完整性��。醫(yī)療機(jī)構(gòu)必須保證只有經(jīng)過授權(quán)的醫(yī)務(wù)人員和患者本人才能訪問此類敏感信息。
二����、實(shí)施細(xì)粒度密碼策略和(多因素身份驗(yàn)證)MFA
由于大多數(shù)醫(yī)療保健機(jī)構(gòu)嚴(yán)重依賴密碼來對(duì)其ePHI的訪問進(jìn)行保護(hù)�����,因此黑客只需要一個(gè)被破解的憑據(jù)即可對(duì)其企業(yè)內(nèi)部數(shù)據(jù)進(jìn)行訪問���。而真正具有挑戰(zhàn)的在于確保醫(yī)生和其他醫(yī)務(wù)人員使用強(qiáng)密碼來保護(hù)他們的帳戶��;谟��、OU和組成員身份對(duì)不同用戶(例如護(hù)士����、住院醫(yī)生����、醫(yī)生�、前臺(tái)等)實(shí)施多因素身份驗(yàn)證 (MFA)�,同時(shí)確保良好的登錄體驗(yàn)。
三�、減少特權(quán)濫用和內(nèi)部威脅
有權(quán)控制您的Active Directory (AD域)環(huán)境、GPO和服務(wù)器的特權(quán)用戶會(huì)帶來特權(quán)濫用和內(nèi)部威脅風(fēng)險(xiǎn)����。為了確保安全性,需要建立一個(gè)零信任環(huán)境�,以便將內(nèi)部威脅拒之門外。僅將對(duì)患者健康信息的訪問權(quán)限分配給醫(yī)生��、護(hù)士�����、健康保險(xiǎn)主管和其他直接負(fù)責(zé)該患者的人員���。
要實(shí)施這三種策略���,您需要一個(gè)全面的身份和訪問管理 (IAM) 解決方案�,例如 ManageEngine AD360���。AD360 是一個(gè)集成的 IAM 套件,可以管理和保護(hù)您的 Windows AD���、Exchange Server和 Microsoft 365 環(huán)境����,并滿足您的合規(guī)性要求���。
使用ManageEngine AD360����,您可以:
●在包含 PHI 的 Windows、NetApp�����、EMC�、Synology��、Huawei 和 Hitachi 文件服務(wù)器系統(tǒng)中實(shí)時(shí)跟蹤誰何時(shí)何地,更改了哪個(gè)文件或文件夾����。
●檢測(cè)插入系統(tǒng)的USB設(shè)備,如果用戶對(duì)信息進(jìn)行復(fù)制時(shí)及時(shí)進(jìn)行報(bào)警�,并阻止PHI泄露。
●為有權(quán)訪問PHI的特權(quán)用戶實(shí)施細(xì)粒度的密碼策略和 MFA����。
●通過利用用戶行為分析來對(duì)抗內(nèi)部威脅�,該分析會(huì)通知用戶當(dāng)前行為與正常行為的偏差。通過配置要執(zhí)行的自動(dòng)操作(例如運(yùn)行腳本或執(zhí)行批處理文件)來即時(shí)響應(yīng)這些偏差����。
●識(shí)別并接收有關(guān)特權(quán)濫用跡象的警報(bào),例如異常大量的文件修改和試圖訪問關(guān)鍵文件��。
●使用200多個(gè)預(yù)配置報(bào)告證明HIPAA合規(guī)性�,以查看系統(tǒng)中所做的更改����、跟蹤用戶的操作���、以及對(duì)數(shù)據(jù)的訪問或修改操作。
(責(zé)任編輯:華康)
