Home » «Данные невозможно восстановить»: ключевая роль прозрачности в защите информации

«Данные невозможно восстановить»: ключевая роль прозрачности в защите информации

Дэвид Тинг, технический директор и соучредитель Tausight

Когда индустрия здравоохранения начала переход от бумажных к электронным записям (и в конечном итоге в него стали вкладывать дополнительные средства), произошло немало волновых эффектов: от повышения вовлеченности пациентов до повышения эффективности. Однако некоторые последствия оказались негативными.

Один из них, по словам Дэвида Тинга (технический директор и соучредитель Tausight), заключается в том, что «это заставило нас ослабить бдительность» с точки зрения безопасности данных. До появления электронных медицинских карт «потеря историй болезни никогда не была проблемой», сказал он во время недавнего выступления. обсуждение. Помимо прочего, гораздо более заметно, если тысячи фунтов бумаги покидают больницу или офис, чем незашифрованный ноутбук, который может содержать десятки тысяч записей.

Теперь «вы можете потерять миллионы записей на флэш-накопителе и даже не заметить этого».

Это совершенно страшно для пациентов и поставщиков медицинских услуг. Однако для лидеров это неприемлемо, отметил он. «Должна быть расстановка приоритетов. А это означает принятие всех необходимых мер кибергигиены для ухода за записями пациентов».

К сожалению, это не так, согласно результатам недавнего исследования, проведенного Институтом Понемона, которое обсуждали Тинг и Ларри Понемон, доктор философии, во время вебинара.

Статистически говоря

Они обнаружили, что текущий набор технологий не совсем соответствует требованиям, особенно когда речь идет о защите ePHI.

Ниже приведены некоторые выводы из отчета:

  • За последние 2 года организации здравоохранения подверглись в среднем 74 кибератакам. Почти половина (47 процентов) респондентов заявили, что эти кибератаки привели к потере, краже или утечке данных закрытой медицинской информации.
  • 58 процентов заявили, что их организация не может определить, сколько PHI существует за пределами EHR, где она находится и как к ней осуществляется доступ.
  • 55 процентов заявили, что организация находится под угрозой из-за чрезмерного присутствия PHI в центрах обработки данных, конечных точках и учетных записях электронной почты.
Read more:  Федеральным журналам нужна политика прозрачности | Наука

Очевидно, что широко используемые инструменты «испытывают трудности с защитой огромного количества закрытой медицинской информации в этих системах», — сказал Понемон, назвав инструменты облачной миграции и совместной работы одними из факторов, приводящих к более высоким рискам безопасности. «Они не улучшают прозрачность PHI».

Согласно отчету, в котором говорится, что восстановление данных и устранение последствий взлома может занять 80 дней, они также не действуют достаточно быстро после инцидента. Время, необходимое для оценки последствий и полного раскрытия информации о нарушении, оценивается в 76 дней.

«Это большие цифры», — отметил Понемон. А поскольку системы здравоохранения сталкиваются с «постоянными утечками», стало необходимым поднять ситуацию на ступеньку выше. «Должно быть больше ответственности».

Проблема заключается в том, что многим организациям – особенно из сельских или небольших учреждений – не хватает собственного опыта, необходимого для управления PHI, и бюджета, необходимого для инвестиций в технологии.

Поддерживать видимость

Однако для Тинга это просто неприемлемо. «Это здравоохранение. Пациенты доверяют вам свое лечение», — сказал он. Вместо того, чтобы применять подход «перейти этот мост, когда доберетесь до него», «необходимо прилагать более добросовестные усилия, чтобы относиться к историям пациентов так же критично, как мы относимся к пациентам. Должно быть более высокое чувство ответственности».

Ларри Понемон, доктор философии, председатель и основатель Института Понемон

Кроме того, поскольку средняя стоимость взлома составляет около 10 миллионов долларов, с финансовой точки зрения разумно инвестировать в более совершенную систему защиты, заявил он. «Когда вы видите размер и размах некоторых из этих нарушений, вы думаете: «Это нужно было остановить». У них должна была быть лучшая видимость».

Особенно в сфере здравоохранения, где записи играют столь важную роль, и незнание наверняка, где хранятся данные, кто их использует и каким образом, может быть крайне вредным. «Очень важно получить представление обо всем этом», — сказал Тинг. Без этого «ваша уязвимость возрастает».

Read more:  Распространение птичьего гриппа увеличивается, убивая дикую природу Южной Америки

Роль Таусайта

Именно здесь Tausight может оказать влияние, сказал он, отметив, что компания была создана, чтобы помогать командам по кибербезопасности изолировать и идентифицировать PHI, особенно в ее неструктурированной форме. «Когда мы чистим машины, мы находим тонны конфиденциальных данных. Это должно быть приоритетом».

И тем не менее, в опросе, в котором приняли участие более 500 заинтересованных сторон в области кибербезопасности, только 30 процентов заявили, что их организации имеют значительную степень прозрачности медицинской информации, расположенной в центрах обработки данных и на конечных точках.

По словам Тинга, это не поможет. «Вы рассчитываете на контроль доступа и разрешения, которые вы устанавливаете в своих компьютерных системах, чтобы обеспечить это», — сказал он. «Мы знаем, что учетные данные администратора могут быть скомпрометированы, а учетные данные пользователя могут быть взломаны». И даже если всего лишь 5–7 процентов попыток фишинга оказываются успешными, это может привести к значительным потерям, особенно когда пользователи имеют в своих учетных записях до 30 000 устаревших записей. «Все это мы можем уменьшить за счет улучшения гигиены и повышения осведомленности».

По его словам, платформа Tausight использует запатентованный алгоритм для поиска ePHI на устройствах, хранилищах данных и облачных активах и может быть интегрирована с другими системами для более эффективной защиты данных. Это особенно важно, поскольку здравоохранение имеет самое продолжительное время пребывания среди всех вертикалей, а это означает, что злоумышленники могут провести большой объем разведки данных еще до того, как их присутствие будет обнаружено.

Уменьшение поверхности

«Нам нужно улучшить отслеживание, чтобы уменьшить эту площадь поверхности», — сказал он. «Это восходит к вопросу: какова моя политика хранения? Как мне перейти к модели с наименьшими привилегиями пользователя, чтобы у меня не было широкомасштабного совместного использования определенных учетных записей или крупномасштабного доступа со стороны администраторов?»

Read more:  Выступление Холли Бейли держит на плаву живое обновление Диснея «Пробуждение» о классике

Без наглядности «вам не с чего начать», отметил Тинг, что может оказаться очень проблематичным. «Какая моя самая рискованная машина? Это ноутбук лежит на чьем-то столе? Это тот настольный компьютер, который стоит в коридоре?» С другой стороны, наличие знаний и наглядности может помочь командам безопасности понять, где кроются самые большие риски, и соответствующим образом расставить приоритеты.

Проще говоря, «вы должны знать, где хранятся конфиденциальные данные. Вы должны нести ответственность за то, все ли зашифровано или соответствует принципам NIST», — сказал он. «И вам нужно относиться к информационным ресурсам как к физическим активам».

Или, возможно, проводите свою программу безопасности с еще большей бдительностью, учитывая характер кибератак. «Вы всегда можете восстановить компьютер; вы не сможете восстановить свои данные», — заключил Тинг. «Вы не сможете вернуть его, если оно украдено. Вот о чем нам нужно думать, если мы действительно заботимся о том, как мы лечим наших пациентов».

Чтобы просмотреть архив этого вебинара — Изучение киберкризиса ePHI и способов его устранения (при поддержке Tausight) — пожалуйста кликните сюда.

ДелитьсяДелиться

2024-04-24 13:45:18


1718037605
#Данные #невозможно #восстановить #ключевая #роль #прозрачности #защите #информации

Leave a Comment

This site uses Akismet to reduce spam. Learn how your comment data is processed.