ÚJ: A 2025-ös SANS ICS/OT kiberbiztonsági jelentés már elérhető

Szerezd meg a jelentést
A helyszíni fordításokhoz mesterséges intelligenciát használunk, és bár törekszünk a pontosságra, nem biztos, hogy mindig 100%-os pontosságúak. Megértését nagyra értékeljük.
Home/ Blog / A digitális egészségügyi adatok védelme a...
Fájlbiztonság

A digitális egészségügyi adatok védelme a kibertámadásoktól

a Stella Nguyen, vezető termékmarketing menedzser
Ossza meg ezt a bejegyzést

A digitális egészségügy új korszaka

Az elmúlt évben jelentős előrelépés történt a digitális egészségügyi és technológiai ágazatban, a vállalatok folyamatosan fejlesztik a betegeket és az orvosokat egyaránt támogató megoldásokat. Az egészségügyi rendszerek folyamatban lévő digitalizálása és automatizálása óriási lehetőségeket rejt magában az egészségügyi eredmények javításában. Azonban, ahogyan azt a Change Health elleni, nemrégiben történt nagy horderejű kibertámadás kapcsán láthattuk, a digitális szolgáltatások elterjedése az egészségügyben példátlan kihívást jelent az orvosi adatok védelme terén is. 

Az egészségügyi IT vezetőinek robusztus biztonsági ellenőrzéseket kell végrehajtaniuk, és átláthatóvá kell tenniük a felhasználói viselkedést az adatok integritásának hatékony nyomon követése érdekében. Ehhez személyközpontú megközelítést kell alkalmazni, és az adatmozgást nyomon kell követni a szándék megállapítása és az adatvédelem biztosítása érdekében. Bár a felhasználók biztonságos csatornákon keresztül történő összekapcsolása az érzékeny orvosi adatokkal kulcsfontosságú, ez csak egy aspektusa a nagyobb biztonsági keretnek. Emellett, mivel az egészségügyi folyamatok automatizálása növeli a döntéshozatal hatékonyságát, az adatvesztés kockázatát is magában hordozza. Ez a veszteség különböző formákban nyilvánulhat meg, beleértve az információlopást, az adatszivárgást, a manipulációt és a harmadik felekkel való jogosulatlan megosztást. Ezért az adatvesztés-megelőzési (DLP ) intézkedések végrehajtása az egészségügyben alapvető fontosságú. 

Az egészségügyet érő nagy horderejű kibertámadások

2023-ban az Egészségügyi és Emberi Szolgálatok Minisztériumának (HHS) Polgári Jogi Hivatala (OCR) 541 esetben jelentett adatszegést, amely több mint 500 személyt érintett. Ezen incidensek némelyike több millió, sőt több tízmillió személyt érintett, mint például a HCA Healthcare-nél a nyáron széles körben nyilvánosságra hozott adatvédelmi incidens. 

Ugyanezen év hálaadásán az Ardent Health Services-t zsarolóvírus-támadás érte, ami arra késztette a 30 kórházi rendszert, hogy proaktívan leállítsa és felfüggessze az IT alkalmazásokhoz való felhasználói hozzáférést. Ez a nem sürgősségi eljárások késedelmét eredményezte. 

2024 februárjáig a HIPAA Journal 24 olyan adatvédelmi incidenst jegyzett fel, amelyek 10 000 egészségügyi adatot érintettek. 

Az 500+ rekordot tartalmazó egészségügyi adatok megsértésének számát 2009 és 2024 között bemutató oszlopdiagram, amely kiemeli a növekvő tendenciát, és 2023-ban 725 sérüléssel a csúcsot éri el.

Forrás: HIPAA Journal

Az egészségügyi adatok megsértésének elsődleges okait szemléltető oszlopdiagram: a leggyakoribb a "Hacking /IT Incident", ezt követi a "Jogosulatlan hozzáférés / nyilvánosságra hozatal" és az "Elvesztés / lopás".

Forrás: HIPAA Journal

Az egészségügyi szolgáltatókat célzó legjelentősebb kibertámadások idén a Change Healthcare, a UnitedHealth Group leányvállalata ellen irányultak. Az ALPHV-támadást követően a vállalatnak egy második zsarolóvírus-válsággal kellett szembenéznie. A fenyegető szereplők azt állították, hogy a vállalat 4 TB adatai birtokában vannak, köztük az aktív amerikai katonák személyazonosításra alkalmas adatai (PII), a betegek orvosi adatai, fizetési adatok és egyéb adatok. 

Az Amerikai Egészségügyi Szövetség jelentése szerint a megkérdezett kórházak közel 60%-a legalább 1 millió dolláros napi bevételkiesésről számolt be, 74%-uk pedig azt állította, hogy a Change Healthcare incidens közvetlenül befolyásolta a betegellátást a létesítményükben. 

A 2023-2024-es időszakra vonatkozó, az egészségügyben elkövetett főbb ismert adatvédelmi incidenseket bemutató oszlopdiagram

Növekvő szövetségi és állami szabályozás

Az egészségügyi adatok biztonságát érintő új iparági követelmények vannak a láthatáron, mivel a jogalkotók arra törekszenek, hogy a szervezeteket felelősségre vonják az adatvédelemért. 

HIPAA

A HIPAA adatvédelmi szabálya, a 45 CFR 160. része és a 164. rész A. és E. alrésze meghatározza a védett egészségügyi információk (PHI) engedélyezett és előírt felhasználását és nyilvánosságra hozatalát. A PHI bármilyen formában létezhet, beleértve a papíron, filmen és elektronikus formában tároltakat is, és egyénileg azonosítható egészségügyi információnak minősül. 

A HIPAA biztonsági szabálya, 45 CFR 160. rész és 164. rész, A és C alrész, az elektronikus PHI (ePHI) követelményeit tartalmazza. Az érintett szervezetek és üzleti partnereik kötelesek fenntartani az ePHI bizalmas jellegét, integritását és hozzáférhetőségét. 

A HIPAA Breach Notification Rule, 45 CFR §§ 164.400-414, előírja a HIPAA hatálya alá tartozó szervezetek és üzleti partnereik számára, hogy a nem biztonságos védett egészségügyi információk megsértését követően értesítést küldjenek. 

NIST

A NIST Special Publication 800 NIST SP 800-66r2, amely 2024 februárjában jelent meg, útmutatást nyújt a szabályozott szervezetek (azaz a HIPAA hatálya alá tartozó szervezetek és üzleti partnerek) számára az ePHI-t érintő kockázatok értékeléséről és kezeléséről, meghatározza azokat a tipikus tevékenységeket, amelyeket egy szabályozott szervezet az információbiztonsági program részeként fontolóra vehet, és olyan útmutatást mutat be, amelyet a szabályozott szervezetek részben vagy egészben felhasználhatnak a kiberbiztonsági helyzetük javítása és a HIPAA biztonsági szabály betartásának elősegítése érdekében. 

HHS

2023 decemberében az Egészségügyi és Emberi Szolgálatok Minisztériuma (HHS) kiadott egy koncepciós dokumentumot, amelyben felvázolta az egészségügyi ágazatra vonatkozó kiberbiztonsági stratégiáját. Ez a stratégia hangsúlyt fektet a fokozott végrehajtási erőfeszítésekre és a magas szintű ágazati gyakorlati szabványok kialakítására. Ezt követően, 2024 januárjában a HHS bemutatta az egészségügyi és közegészségügyi ágazatspecifikus kiberbiztonsági teljesítménycélokat (CPG-k). Ezek a célok "alapvető" és "fokozott" kategóriákra oszlanak, és az egészségügyi ágazatban elterjedt kiberbiztonsági sebezhetőségek kezelésére irányulnak. 

A HHS 405(d) programja gyakorlati útmutatást kínál az egészségügyi szervezetek számára, amelyek a robusztus adatbiztonsági intézkedések bevezetésének összetett kérdéseivel foglalkoznak. Ez a kezdeményezés kiemeli az adatvesztés-megelőző (DLP) rendszerek stratégiai integrációját, mint az átfogó adatbiztonsági keretrendszer kulcsfontosságú összetevőjét. A DLP-megoldásoknak az egészségügyi munkafolyamatok sajátos igényeihez való igazítása jelentősen csökkentheti a téves pozitív jelenségek számát és fokozhatja az adatvédelmi kezdeményezések általános hatékonyságát.  

Az Egyesült Államok szövetségi törvényei

Az olyan szövetségi törvények, mint a Gramm-Leach-Bliley Act (GLBA), a Family Educational Rights and Privacy Act (FERPA) és a Fair Credit Reporting Act (FCRA) védik a személyes adatok bizalmas kezelését. E szövetségi szabályozások mellett folyamatosan jelennek meg új állami törvények, amelyek tovább erősítik az adatvédelmi és adatbiztonsági intézkedéseket: 

Connecticut

július 1, 2023

A 6. számú szenátusi törvényjavaslat, a személyes adatok védelméről és az online megfigyelésről szóló törvény.

New York

július 2, 2023

A szenátus 4007-C. számú törvényjavaslata

Washington

március 31, 2024

My Egészségügyi My adattörvény

Nevada

március 31, 2024

A 370. számú szenátusi törvényjavaslat

A proaktív adatvesztés-megelőzés kihasználása az egészségügyi adatbiztonságban 

Mivel a betegek adatai és biztonsága kiemelkedően fontos, hogyan lehetnek az egészségügyi szolgáltatók biztosak abban, hogy meglévő biztonsági eszközeik hatékonyak a fejlődő fenyegetésekkel szemben? 

A kisebb, regionális egészségügyi szolgáltatókat célzó támadások száma észrevehetően megnőtt, ami aláhúzza az erős kiberbiztonsági intézkedések szükségességét. Ezek a szervezetek jellemzően rendkívül érzékeny adatokat tárolnak, ami a hackerek elsődleges célpontjává teszi őket. A potenciális károk minimalizálásához elengedhetetlen a "többrétegű" biztonsági megközelítések bevezetése, amelyek magukban foglalják az adatvesztés megelőzését és a proaktív fenyegetésérzékelést. 

OPSWAT Proactive DLP 

A DLP olyan stratégiákat foglal magában, amelyek célja az érzékeny adatok, például a betegnyilvántartások vagy a PHI véletlen vagy jogosulatlan nyilvánosságra hozatalának megakadályozása. Ez különösen fontos az egészségügyben, ahol a PHI veszélyeztetése mélyreható hatással lehet a betegekre, és potenciálisan személyazonosság-lopáshoz vagy az orvosi kezelés veszélyeztetéséhez vezethet. A megbízható DLP-stratégia kialakítása elengedhetetlen a szervezetek számára az adatbiztonság megsértésének mérséklése és az egészségügyi adatok biztonságának és bizalmas jellegének fenntartása érdekében. 

Hogyan működik az OPSWAT Proaktív DLP

OPSWAT Proactive DLP felismeri és blokkolja a fájlokban és e-mailekben található érzékeny, szabályokon kívüli és bizalmas adatokat. A potenciális adatvédelmi incidensek mérséklésére a Proactive DLP biztonsági intézkedések széles skáláját alkalmazza, beleértve a fájlokból származó rosszindulatú programok felismerését, a mesterséges intelligencia alapú dokumentumosztályozást és az optikai karakterfelismerést (OCR) az érzékeny információk törléséhez. A HIPAA-jogszabályi megfelelőséget a robusztus adatvesztés-megelőzési, hozzáférés-ellenőrzési és kockázatcsökkentési képességekkel támogatja.  

az OPSWAT Proactive DLP hogyan távolítja el az olyan érzékeny adatokat, mint a hitelkártyaadatok és a társadalombiztosítási számok a fájlokból és e-mailekből, mielőtt az egyéni munkafolyamatba kerülnének.

Redukált DICOM-fájlok mintái 

Előtte: Eredeti nukleáris medicinás felvétel, amelyen a beteg azonosítható adatai szerepelnek, beleértve a nevet, személyazonosító okmányt és születési dátumot.

Utána: Nukleáris medicina vizsgálat, amelyből minden azonosítható betegadatot eltávolítottak a magánélet védelme és az adatvédelmi előírásoknak való megfelelés érdekében, az OPSWAT Proactive DLP segítségével feldolgozva. 

Előtte: Eredeti röntgenfelvétel, amelyen a beteg azonosítható adatai szerepelnek, beleértve a nevet, személyi igazolványt és címet. 

Utána: A röntgenfelvételről minden azonosítható betegadatot eltávolítottak, hogy biztosítsák a magánélet védelmét és az adatvédelmi előírásoknak való megfelelést, az OPSWAT Proactive DLP segítségével feldolgozva. 

OPSWAT MetaDefender Platform 

OPSWAT MetaDefender A platform átfogó, az egészségügyi szervezetek számára szabott fenyegetésmegelőzést kínál az egészségügyi adatok biztonságos és költséghatékony kezelésére. MetaDefender A Platform leegyszerűsíti a biztonsági üzemeltetési folyamatokat, könnyen skálázható, és piacvezető technológiákat biztosít a mélyreható védelmi stratégiához, mint például: 

  • Deep CDR hatástalanítja a potenciálisan rosszindulatú fájlokat, és újratermeli a biztonságosan használható tartalmakat.
  • Multiscanning 30+ AV-motorral ismeri az ismert és ismeretlen rosszindulatú programokat.
  • Adaptive Sandbox dinamikus és statikus elemzéssel észleli a rosszindulatú szoftvereket.
  • A származási ország korlátozza az adatokhoz való hozzáférést a hely és a gyártó alapján.
az OPSWAT's MetaDefender platform diagramja a végponttól végpontig tartó kiberbiztonságért.

Fedezze fel, hogy az OPSWAT MetaDefender Platform hogyan segíthet az egészségügyi intézményeknek az adatbiztonsági kihívások kezelésében ebben a fehér könyvben.

A digitális egészségügyi biztonság jövőjének feltérképezése 

Az egészségügyi ágazatot egyre kifinomultabb kibertámadások fenyegetik, beleértve az AI-alapú támadásokat is, ami olyan hatalmas kihívást jelent, amely meghaladja a hagyományos biztonsági intézkedéseket. A személyre szabott adathalász sémák, a rendszer sebezhetőségének automatizált kihasználása és a fokozott digitalizáció és automatizálás által előidézett egyéb növekvő kockázati tényezők komoly veszélyt jelentenek a betegadatok integritására és a működés folyamatosságára.  

A fejlődő fenyegetések elleni hatékony küzdelem érdekében az egészségügyi IT csapatoknak megbízható adatvédelmi protokollokat kell bevezetniük, hogy megvédjék az érzékeny PHI-t a fenyegető szereplőkkel szemben. Ez a proaktív megközelítés biztosítja, hogy az egészségügyi szervezetek jól felkészültek legyenek a jogszabályi megfelelőségi előírások betartására és a betegek kritikus ellátásának folytatására. 

Secure szervezetének érzékeny adatait még ma.  

Beszéljen egy szakértővel
Címkék:

Legutóbbi hozzászólások

Iratkozzon fel az OPSWAT hírlevélre

Kapja meg az OPSWAT legfrissebb vállalati frissítéseit, valamint eseményinformációkat és az iparágat előrevivő hírekről.
Sign Me Up

Kövessen minket a közösségi oldalakon Media

Kövesse az OPSWAT oldalt a LinkedIn-en, Facebookon, Twitteren és YouTube-on!

Maradjon naprakész az OPSWAT oldalon!

Iratkozzon fel még ma, hogy értesüljön a vállalat legfrissebb híreiről, történetekről, eseményinformációkról és sok másról.
Feliratkozás