您的位置: 网界网 > 周报全文 > 正文

[周报全文]BOYD引发医疗行业数据泄露

2013年01月30日 17:02:22 | 作者:CNW.com.cn | 来源:网界网 | 查看本文手机版

摘要:研究发现,智能手机的安全问题令医疗行业病人信息面临隐患,而这只是众多威胁的冰山一角。

标签
BOYD
数据泄露
智能手机

研究发现,智能手机的安全问题令医疗行业病人信息面临隐患,而这只是众多威胁的冰山一角。

根据医疗行业的追踪记录显示,目前病人信息的保护工作仍然差到“令人不安”。两份最新报告指出,这一状况甚至在2009年更为严格的联邦法案出台后仍然没能得到解决。如果整个行业找不到保护手机中病人信息的有效方案,事态很可能进一步恶化。

前不久由卫生信息信任联盟(简称HITRUST)机构发布的一篇报告显示,医院及医疗系统中的数据泄露事故在2009-2012年期间有所下降,但执证医师个人开设的诊所在这方面则问题频传——其安全事故已经占据全部459起泄露案件中的六成以上。

这些泄露事故涉及受害者人数超过500人,但HITRUST惊讶地发现,仅2012年5月就发生过约57000起涉及人数低于500人的案件。

另据Ponemon研究所出具的调查,94%的医疗机构曾在过去两年中公布过至少一次数据泄露事故,45%的机构甚至公布过五次以上事故。

两份调查报告同时指出,造成泄露事件的最大原因并非黑客或者恶意软件,而是设备丢失或被盗,以及员工的人为失误。HITRUST报告显示,只有8%的安全问题是由黑客及/或恶意软件所引发。

另外,几乎所有业务部门都开始察觉到智能手机在工作环境中的大规模泛滥。员工将自己的手机设备带入单位(也就是BYOD[注])已经成为日常生活的一种习惯。Ponemon研究所宣布,81%的受访者表示允许BYOD访问企业数据,而54%的受访者坦言自己并不了解这些移动设备是否安全。

HealthcareITNews报道称,在Spyglass咨询集团组织的调查当中,“三分之二以上的受访医院发现护士们在工作中使用个人手机,并将其用于日常工作与临床信息沟通,但IT部门显然还没有为这些设备提供必要的安全支持。”华盛顿邮报的Sarah Kliff最近在官方博客上撰写报道,指出医生与病人之间互发电子邮件交换个人信息的情况变得越来越普遍。

Art Gross在HIPAA Secure Now博客上指出,这意味着业界需要开始对智能手机予以紧密关注。Gross认为医护工作者目前还没有意识到自己的行为已经把病人信息带入智能手机,而智能手机已经被普遍用于访问EMR(电子病历)、PACS(图片归档及通讯系统)以及各类表格及文档,并运行着数千种可能包含病人信息的应用程序。

即使从业人员只利用智能手机收发邮件,风险也仍然无法避免。“在大多数医疗机构当中,邮件系统被作为通信工具使用,而且越来越多的邮件成为病人信息的载体。”他表示:“医疗机构经常通过邮件交流病人的检测结果、与患者沟通或者提供处方建议等。”更可怕的是,就算邮件只用于内部通信而完全不涉及病人,“所有邮件也会被保存在收件箱中,再由此被复制到手机端。”Gross解释道。因此,一旦手机丢失或者被盗,病人数据自然就面临着泄露的危险。Ponemon研究所调查称,由数据泄露引发的事故每年给医疗保健行业带来近700亿美元的综合开销。

Gross指出,即使是规模极小的机构也应该限制在邮件中包含病人资料的行为(+微信关注网络世界),同时采用密码保护及长时间无操作自动退出等机制,并使用数据加密方案。

AppRiver公司高级安全分析师Troy Gill认为,如今的技术已经能够解决大多数设备的安全问题。“密码锁与远程数据清除功能是重中之重,而二者都可以通过微软ActiveSync、BES(黑莓Enterprise Server)以及第三方移动设备管理方案来实现。”他表示。

Gill还分享了另一种有效的防范手段:“企业应当在处理来自设备的网络访问时,强制要求使用VPN(虚拟专用网络)连接。”他建议道:“由于大多数刚刚出现的移动恶意软件都会随普通应用的安装一同侵入,因此企业可以考虑限制业务设备上的应用程序类型。”Accuvant实验室实践经理Chris Gray同样对远程数据清除功能推崇有加:“这项功能不仅可以防止数据丢失,更给管理者提供了一种备选方案,能够在出现设备丢失时避免严重事态,甚至法律诉讼情况的发生。”

LogRhythm公司CTO Chris Petersen对于小型机构在安全漏洞及数据泄露方面的糟糕表现毫不惊讶。“许多小公司几乎没有一套像样的全职IT团队,也就是说没人在为安全问题操心。”他指出:“这些企业应该从服务供应商及经销商处寻求帮助,并根据建议使用价格合理且能够切实降低安全风险的技术及方案。”

但在真正搞定安全漏洞之前,在工作中使用个人设备还是太过危险。“对他们来说,强行禁止BYOD可能是最好的短期选择。”他无奈地解释道。

所有安全专家都认为智能手机的丢失与被盗情况将继续存在。“这种事情根本消灭不了。”Petersen告诉我们:“如果企业没有提前准备好必要的技术控制手段,那么个人信息的泄露将只是时间问题。”

Gray认为移动设备丢失不可避免,企业需要通过多层方案来解决这个问题,其中包括加密、远程数据清除并教育员工在设备丢失后第一时间向主管部门报告。Gill对此表示赞同:“就算从成本角度来看,事先准备一套数据保护策略也是很划算的。毕竟一旦设备丢失,造成的损失绝不只是几台手机那么简单。”

参考资料

1.BYOD:(Bring Your Own Device)是指携带自己的设备办公,这些设备包括个人电脑、手机、平板等,使用者可以不受时间、地点、设备、人员、网络环境的限制登陆到公司网络,并进行工...详情>>

[责任编辑:孙可 sun_ke@cnw.com.cn]