本文经 HHS 405(d) 工作组通讯许可转载。2021 年,405(d) 计划扩大了其范围,并继续追求其协调医疗行业安全方法的使命。405(d) 计划现在能够满足您的许多网络安全需求。无论是使用医疗行业网络安全实践(更广为人知的“ HICP ”)制定网络安全实践,还是对您的员工进行网络安全教育,我们都将为您提供服务!AIHC 非常高兴我们才华横溢的董事会成员 David Sims 能加入这个重要的工作组。
“库珀博士,这些电脑都不能正常工作。它们的屏幕上都显示一条消息,要求我们付费才能解锁数据和系统! ”
周一早上,库珀医生走进诊所时,他的诊所 德国电报数据 经理雪莉惊慌失措地迎接了他。不,这不是一个好早晨,一点也不。
“ Sherry,打电话给 IT 部门! ”Cooper 博士一边喊着,一边走到每一台电脑前,发现每一台电脑屏幕上都出现了相同的勒索软件信息。Cooper 博士每个月都会投入一笔不小的资金,将 IT 支持和安全外包给当地的一家 IT 公司。
“ IT 人员说他们无法远程登录,所以他们必须派人过来。大约一个小时后才会有人来, ”Sherry 解释道。与此同时,患者开始涌入大厅等待上午的预约。Sherry 不知道如何应对此类事件,于是指示员工开始重新安排患者,并准备关闭办公室,结束当天的剩余时间。过了一会儿,IT 公司的 Scott 来了。他立刻意识到自己陷入了混乱。当他走过停车场时,他听到焦躁不安的患者抱怨不得不重新安排时间。
一进门,他注意到另一位病人对自己的医疗记录表示担忧,前台人员解释说他们正在遭受勒索软件攻击。斯科特迅速评估了情况,意识到自己无能为力。斯科特带着恐惧的表情转向库珀医生,开始快速提问:
“你有勒索软件应对计划吗? ”“你有网络保险吗? ”“谁负责公共关系? ”“你给你的律师打电话了吗? ”
库珀博士举起双手说道:“等等。所以,你是说你无法解决这个问题? ”
斯科特回答说:“勒索软件攻击正在发生。这很可能是一次数据泄露。如果是这样,你必须通知所有受到影响的患者。你可能还必须通知州政府和卫生与公众服务部,并遵守州政府和联邦的违规法律。你还需要确定是否需要通知媒体。 ”
“怎么会发生这种事?!我们付钱给你们保证安全! ”库珀医生惊呼道,他双手抱头坐在那里,思考着这对他的诊所和病人意味着什么。
现在,我们先不谈这个真实的故事,而是仔细看看库珀博士提出的问题:“这怎么可能发生? ”毕竟,他们确实在为网络安全付费,而且 IT 公司也提供了良好的安全保障。那么,这怎么可能发生呢?
与许多企业一样,这种做法并不理解网络安全不仅仅是 IT 的功能。事实上,有效的隐私和安全计划必须具备三个方面才能发挥作用。让我们仔细看看这三个方面。
人们
社会工程学,有时也被称为黑客攻击人类,是当今攻击组织最成功的方式。如果攻击者能让内部人员放他们进来,他们就能绕过所有阻止他们进入的安全措施。如果好人让坏人通过“员工入口”进入,技术就没有办法阻止坏人。
您的员工要么是安全资产,要么是安全负担。
大多数人都想做正确的事情。他们想保护患者和雇主,但他们往往没有得到适当的工具或培训,无法使他们成为有效的安全资产。
组织应投入时间和资源,对员工进行有效的培训和测试,让他们了解正确的网络卫生、隐私和安全主题以及事件响应。请记住,关键在于人。