医疗健康和网络安全
报告的医疗健康违规事件数量很(hěn)大，即使只是一次泄露一个人的机密医疗记录也可(kě)以合理(lǐ)地被认為(wèi)是令人担忧的。2019 年，有(yǒu) 4120 万条医疗健康记录被暴露，涉及跨行业和地區(qū)的 505 起数据泄露事件。根据 IBM 的一份报告，每次泄露的成本接近 650 万美元，是平均非医疗健康数据泄露的两倍多(duō)。当具體(tǐ)到美國(guó)时，这个统计数据翻了一番。
更重要的是，根据美國(guó)卫生与公众服務(wù)部民(mín)权办公室的数据，2019年总體(tǐ)违规行為(wèi)增加了36%，从2018年的371起增加到505起。
这是一个不会消失的问题，并且越来越受到希望保护其基础设施和保护患者数据的医疗健康组织的更多(duō)关注。当然，还要让所有(yǒu)相关人员高枕无忧。

HIPAA和网络安全
HIPAA 是美國(guó)國(guó)会于 1996 年通过的《健康保险流通与责任法案》。它被签署成為(wèi)法律，作為(wèi)一项措施，旨在為(wèi)员工在工作之间“提高健康保险范围的可(kě)移植性和问责制”。但在网络安全领域，它因其安全政策和衡量安全性的标准而得到广泛认可(kě)。遵守 HIPAA 及其医疗健康网络安全法规是许多(duō)组织的首要任務(wù)。
除其他(tā)行动外，该法律 - 自首次通过以来已多(duō)次修订 - 减少了医疗健康欺诈，并使医疗健康提供者和保险公司有(yǒu)责任保护患者的健康信息，在行业中称為(wèi)PHI，或受保护的健康信息。
在推出后，无论是通过明确规定的政策还是激励措施，该法律都标志(zhì)着向電(diàn)子账单和其他(tā)数字流程的过渡。它进一步发展了更大的政策，即所开展的企业只能(néng)将必要的健康信息用(yòng)于商(shāng)业目的，而那些处理(lǐ)PHI的人，无论是物(wù)理(lǐ)的还是電(diàn)子的，都必须证明有(yǒu)能(néng)力控制对它的访问并為(wèi)其提供保护。
当然，这对网络安全和医疗健康有(yǒu)着巨大的影响，因為(wèi)保护患者信息免受现代黑客攻击和诈骗变得至关重要。在某些情况下，负责管理(lǐ)这些信息的人可(kě)能(néng)会面临卫生和公共服務(wù)部民(mín)权办公室的刑事指控。

医疗健康网络安全问题
医疗健康领域的网络安全存在许多(duō)问题。其中最主要的 - 特别是当它与网络安全 - HIPAA动态有(yǒu)关时 - 如下：
• 勒索软件。犯罪分(fēn)子可(kě)能(néng)会使用(yòng)勒索软件或恶意软件来关闭设备、服務(wù)器和网络。勒索软件是一种旨在阻止对文(wén)件的访问的软件，直到支付一筆(bǐ)款项;它通常通过网络钓鱼電(diàn)子邮件或访问带有(yǒu)搭車(chē)下载的网站进行传播。这更广泛地称為(wèi)恶意软件或“间谍软件”。最终任務(wù)是提取数据以获得对组织（如医院、保险公司或其任何业務(wù)伙伴）的杠杆作用(yòng)。
• 数据泄露。根据Ponemon Institute和Verizon数据泄露调查报告，医疗健康行业收到的数据泄露事件比其他(tā)任何行业都多(duō)。很(hěn)简单，因為(wèi) PHI 以高价出售。这些违规行為(wèi)可(kě)能(néng)针对筆(bǐ)记本電(diàn)脑或专门查找凭据。但值得注意的是，这并不总是通过恶意软件或网络钓鱼——它也可(kě)能(néng)是泄露信息的员工。根据 HIPAA 法律，必须报告超过 500 条记录的违规行為(wèi)。
• 加密效率低下。盲点和人為(wèi)错误有(yǒu)时会导致加密 - 尽管强烈推荐 - 仍然会导致违规。这可(kě)能(néng)是因為(wèi)黑客只是将足够的资源投入到泄露文(wén)件的项目上，或者因為(wèi)数据在解密或正在制作加密密钥时被盗。存储在云中的文(wén)件中也可(kě)能(néng)存在漏洞，这些文(wén)件可(kě)能(néng)具有(yǒu)不同程度的加密。
• 医疗设备黑客。一个越来越令人担忧的领域是支持软件的医疗设备（如心脏起搏器）可(kě)能(néng)容易受到黑客攻击。这些黑客很(hěn)难被发现。虽然没有(yǒu)已知的医疗设备黑客攻击，但美國(guó)食品和药物(wù)管理(lǐ)局（FDA）已经在常用(yòng)操作系统中发现了11个网络安全漏洞。
医疗健康网络安全趋势表明，数据泄露的方法一直在变化，但消除恶意软件肯定仍然是优先事项。毕竟，只需单击链接到误导性网址的電(diàn)子邮件（例如，将“.com”换成“.gov”以使地址看起来更可(kě)信），大量数据就会受到损害。

医疗健康网络安全解决方案
幸运的是，医疗健康网络安全问题并非没有(yǒu)解决方案。虽然技术可(kě)用(yòng)于泄露记录，但它也可(kě)用(yòng)于通过关注一些简单但有(yǒu)效的做法来保护敏感信息。
• 面向员工的医疗健康网络安全最佳实践。為(wèi)组织开发安全系统的一部分(fēn)只是培养最佳实践的员工文(wén)化。应培训员工识别可(kě)疑電(diàn)子邮件并根据需要更新(xīn)软件。一般来说，他(tā)们应该了解他(tā)们共同承担的责任以及与错误处理(lǐ)患者数据相关的风险。医疗健康网络安全最佳实践始于强大、团结的员工队伍。
• 雇用(yòng)网络安全专业人员。最简单的步骤是雇用(yòng)负责保护健康信息的人员。而且，更重要的是，将雇用(yòng)他(tā)们作為(wèi)优先事项。授权他(tā)们监督安全系统的體(tǐ)系结构，并在必要时管理(lǐ)其使用(yòng)。这些是经验丰富的专业人员，他(tā)们负责加密过程并确保员工以安全的方式充分(fēn)履行职责。
• 密码。众所周知，弱密码是网络犯罪分(fēn)子访问敏感信息的一种非常简单的方法。密码应该很(hěn)强，定期更改，理(lǐ)想情况下，需要两步身份验证。
• 安装限制。未经组织同意，员工不应访问软件下载。
• 物(wù)理(lǐ)访问。HIPAA 要求物(wù)理(lǐ)存储的数据也受到保护。简而言之，任何具有(yǒu)私人信息的设备或文(wén)件夹都应小(xiǎo)心地存储在锁定區(qū)域中。