自疫情开始以来,医疗机构的信息存储与管理正面临着巨大的考验。患者的健康史,包括所有治疗、程序、处方、检查报告,都以电子健康记录 (EHR) 的形式存储。尽管 EHR 更能提高患者病历的准确性,并帮助医生跟踪患者的医疗保健数据,但如果攻击者对这些数据进行篡改可能会产生难以估量的后果。因此,IT 管理员有责任保护患者的数据和隐私。
为保证这些健康信息 (PHI) 的完整性,结合以下三种策略可确保医疗机构完全遵守医疗信息隐私和安全法规,包括 HIPAA和HITRUST。
一、监控用户对包含健康信息(PHI)的文件服务器的访问
EHR包含PHI,这使其成为网络犯罪分子有利可图的攻击目标。需要密切监控包含EHR的服务器,及时发现未经授权的文件访问、修改和移动,确保数据完整性。医疗机构必须保证只有经过授权的医务人员和患者本人才能访问此类敏感信息。
二、实施细粒度密码策略和(多因素身份验证)MFA
由于大多数医疗保健机构严重依赖密码来对其ePHI的访问进行保护,因此黑客只需要一个被破解的凭据即可对其企业内部数据进行访问。而真正具有挑战的在于确保医生和其他医务人员使用强密码来保护他们的帐户。基于域、OU和组成员身份对不同用户(例如护士、住院医生、医生、前台等)实施多因素身份验证 (MFA),同时确保良好的登录体验。
三、减少特权滥用和内部威胁
有权控制您的Active Directory (AD域)环境、GPO和服务器的特权用户会带来特权滥用和内部威胁风险。为了确保安全性,需要建立一个零信任环境,以便将内部威胁拒之门外。仅将对患者健康信息的访问权限分配给医生、护士、健康保险主管和其他直接负责该患者的人员。
要实施这三种策略,您需要一个全面的身份和访问管理 (IAM) 解决方案,例如 ManageEngine AD360。AD360 是一个集成的 IAM 套件,可以管理和保护您的 Windows AD、Exchange Server和 Microsoft 365 环境,并满足您的合规性要求。
使用ManageEngine AD360,您可以:
●在包含 PHI 的 Windows、NetApp、EMC、Synology、Huawei 和 Hitachi 文件服务器系统中实时跟踪谁何时何地,更改了哪个文件或文件夹。
●检测插入系统的USB设备,如果用户对信息进行复制时及时进行报警,并阻止PHI泄露。
●为有权访问PHI的特权用户实施细粒度的密码策略和 MFA。
●通过利用用户行为分析来对抗内部威胁,该分析会通知用户当前行为与正常行为的偏差。通过配置要执行的自动操作(例如运行脚本或执行批处理文件)来即时响应这些偏差。
●识别并接收有关特权滥用迹象的警报,例如异常大量的文件修改和试图访问关键文件。
●使用200多个预配置报告证明HIPAA合规性,以查看系统中所做的更改、跟踪用户的操作、以及对数据的访问或修改操作。
官方网站可免费下载软件试用:https://www.manageengine.cn