自疫情開始以來�,醫(yī)療機構(gòu)的信息存儲與管理正面臨著巨大的考驗��������;颊叩慕】凳�����,包括所有治療����、程序、處方��、檢查報告��,都以電子健康記錄 (EHR) 的形式存儲�。盡管 EHR 更能提高患者病歷的準確性,并幫助醫(yī)生跟蹤患者的醫(yī)療保健數(shù)據(jù)�����,但如果攻擊者對這些數(shù)據(jù)進行篡改可能會產(chǎn)生難以估量的后果��。因此�,IT 管理員有責任保護患者的數(shù)據(jù)和隱私。
為保證這些健康信息 (PHI) 的完整性�,結(jié)合以下三種策略可確保醫(yī)療機構(gòu)完全遵守醫(yī)療信息隱私和安全法規(guī),包括 HIPAA和HITRUST�����。
一、監(jiān)控用戶對包含健康信息(PHI)的文件服務(wù)器的訪問
EHR包含PHI�����,這使其成為網(wǎng)絡(luò)犯罪分子有利可圖的攻擊目標���。需要密切監(jiān)控包含EHR的服務(wù)器����,及時發(fā)現(xiàn)未經(jīng)授權(quán)的文件訪問����、修改和移動,確保數(shù)據(jù)完整性��。醫(yī)療機構(gòu)必須保證只有經(jīng)過授權(quán)的醫(yī)務(wù)人員和患者本人才能訪問此類敏感信息�����。
二���、實施細粒度密碼策略和(多因素身份驗證)MFA
由于大多數(shù)醫(yī)療保健機構(gòu)嚴重依賴密碼來對其ePHI的訪問進行保護,因此黑客只需要一個被破解的憑據(jù)即可對其企業(yè)內(nèi)部數(shù)據(jù)進行訪問����。而真正具有挑戰(zhàn)的在于確保醫(yī)生和其他醫(yī)務(wù)人員使用強密碼來保護他們的帳戶��;谟颉U和組成員身份對不同用戶(例如護士���、住院醫(yī)生�����、醫(yī)生�����、前臺等)實施多因素身份驗證 (MFA)�,同時確保良好的登錄體驗�����。
三�����、減少特權(quán)濫用和內(nèi)部威脅
有權(quán)控制您的Active Directory (AD域)環(huán)境���、GPO和服務(wù)器的特權(quán)用戶會帶來特權(quán)濫用和內(nèi)部威脅風(fēng)險�。為了確保安全性,需要建立一個零信任環(huán)境�,以便將內(nèi)部威脅拒之門外。僅將對患者健康信息的訪問權(quán)限分配給醫(yī)生�、護士、健康保險主管和其他直接負責該患者的人員�。
要實施這三種策略,您需要一個全面的身份和訪問管理 (IAM) 解決方案�����,例如 ManageEngine AD360��。AD360 是一個集成的 IAM 套件��,可以管理和保護您的 Windows AD�、Exchange Server和 Microsoft 365 環(huán)境,并滿足您的合規(guī)性要求���。
使用ManageEngine AD360�����,您可以:
●在包含 PHI 的 Windows�����、NetApp��、EMC�����、Synology���、Huawei 和 Hitachi 文件服務(wù)器系統(tǒng)中實時跟蹤誰何時何地,更改了哪個文件或文件夾�。
●檢測插入系統(tǒng)的USB設(shè)備,如果用戶對信息進行復(fù)制時及時進行報警��,并阻止PHI泄露����。
●為有權(quán)訪問PHI的特權(quán)用戶實施細粒度的密碼策略和 MFA。
●通過利用用戶行為分析來對抗內(nèi)部威脅�����,該分析會通知用戶當前行為與正常行為的偏差。通過配置要執(zhí)行的自動操作(例如運行腳本或執(zhí)行批處理文件)來即時響應(yīng)這些偏差�����。
●識別并接收有關(guān)特權(quán)濫用跡象的警報���,例如異常大量的文件修改和試圖訪問關(guān)鍵文件����。
●使用200多個預(yù)配置報告證明HIPAA合規(guī)性���,以查看系統(tǒng)中所做的更改��、跟蹤用戶的操作���、以及對數(shù)據(jù)的訪問或修改操作。
