您所在的位置:首页 > i医疗 > 专家观察 >  COVID-19需要远程医疗,隐私安全如何保障?
COVID-19需要远程医疗,隐私安全如何保障?
  • 2020-04-22 13:47
  • 作者:Jessica Davis
  • 来源:HC3i中国数字医疗网

COVID-19的爆发让远程医疗的需求激增,远程设备的使用率也大幅升高。虽然一些媒体在报道中表示,黑客曾承诺在危机爆发期间停止对医疗服务领域的攻击,但并不能确保医疗领域信息的安全。

3月18日,美国民权办公室宣布由于当前处于疫情爆发的特殊时期,所以将停止对HIPAA的违规行为进行惩罚,其原因是在当前这个特殊时期,医疗机构对远程交互平台的使用很容易不符合相关的隐私法规。

此举旨在让医疗机构更加放心的使用当下盛行的诸如Zoom、Skype等电话会议应用程序,前提是只要这些应用程序不像Facebook Live或Tik Tok那么开放。

尽管降低远程医疗的安全限制可以在疫情期间为患者提供更好的护理,但与此同时也带来了更多关于隐私安全隐患的担忧。例如,研究人员发现,黑客们会鉴于应用的受欢迎程度将其作为恶意攻击主要的目标。

此外,欧洲刑警组织、卫生与公共服务部监察长办公室 、联邦调查局 、微软 等机构都曾就冠状病毒相关欺诈行为发布过警告,这些恶意攻击主要针对的是供应链以及Windows中未修补的远程代码执行缺陷。

仅在过去的两周内,虚拟专用网(VPN)在美国的使用就增加了124%, Atlas VPN数据表明,远程工作扩大了医疗保健的攻击范围。

VPN是最常见、最安全的远程连接医院网络的方法之一,但到目前为止,一些机构一直未能修补常用VPN的核心漏洞。

Pulse Secure的首席营销官斯科特·戈登(Scott Gordon)告诉记者,远程技术已大量涌入医疗领域,访问网络的雇员和承包商数量的增加大大提高西悉尼安全风险,因此远程医疗的使用可能会为更多安全及合规性相关威胁敞开大门。

WALLIX发言人表示:“网络罪犯深知,相对于患者护理而言,网络安全在医疗机构的工作中处于次要地位。目前,安全隐患大都来自第三方承包商、保险公司、计费公司和其他可以在家工作但仍需要访问网络的管理员。”他们还补充说:“终端安全、特权提升和委托管理是许多网络(不仅是医疗领域网络)安全态势中的漏洞。为了避免疫情的扩散,除第三方承包商之外,网络管理员现在也需要在居家办公,并在繁忙的时间内维护关键设备,因此访问控制和端点管理变得尤为重要。” 

行业利益相关者强调,远程技术的广泛使用为医疗保健行业带来了巨大的好处。但对医院来说,更加完善、妥当地部署这项技术以确保患者隐私和基础设施的安全,将是至关重要的。

“ 医疗机构开启远程办公,实质上扩大了攻击范围。现在,每个访问信息和资源的最终用户都是其攻击面的一部分。”

多维身份认证更加可靠

从机构的角度来看,在疫情期间使用连续的身份验证至关重要。Gordon解释说,虽然完成该操作的方式有很多种,但最常见的是多维身份验证。Microsoft表明MFA的使用阻止了高达99.9%的自动网络攻击。

NIST表示,“ MFA(有时也称为二维身份验证或2FA)是一项安全性增强工具,可让用户在登录帐户时出示两个证据(即凭据)。”

“大多数MFA方法都会对设备进行记忆。因此,如果您使用同一部电话或计算机回来,该站点会将您的设备标记为第二个维度。” NIST解释说:“在设备识别和分析方面,银行可能会表现得比较出色--例如:您如果要在20分钟后从世界另一端登录的话,大多数时候要做任何额外操作的人可能就是在试图闯入你的帐户。”

NIST表示,他们的目标是基于用户名+密码的安全保护机制添加另一个因素提升安全性,例如在初始登录请求后使用密码进行验证。MFA的使用可以有效减少未经授权的用户冒充授权人来访问敏感资源和应用程序的可能性。

在最近发布的有关远程工作的NIST咨询中明确指出,机构应“基于外部环境包含敌对威胁的假设”部署远程医疗相关的安全策略和控制。NIST所推荐的较为强大的身份验证方式首选就是MFA。

WALLIX补充说,机构应优先考虑访问控制问题,具体包含用户识别、用户活动轨迹及用户权限。虽然相关机构为此专门设计了特权访问管理解决方案,但从企业网络内部和外部监控其基础设施上的用户流量依然十分关键。

最后的一个关键因素则是最低特权原则。

WALLIX发言人说:“限制用户在最短时间内的资源访问量能够有效降低风险、保障安全。特权提升和委派管理使机构能更精确地控制可能需要更高特权的特定用户。”

连续的终端状态检查

WALLIX发言人表示:“员工远程办公时,其终端不再受到公司网络外围安全的保护,而终端特权管理使机构能够控制用户的管理和访问功能,即便这些用户的终端是在公司网络的安全保护之外。”

对于Gordon而言,那些非常依赖云和数据中心上的应用程序的机构应该进行连续的终端状态检查,对于那些迅速部署远程医疗支持并与内部和外部患者互动的人来说,使用此功能同样尤为重要。

“用户只有在最短的时间内访问最少的资源,才能最大程度地降低风险并确保安全最大化。”

此工具不仅能够帮助医疗机构验证用户身份,还可以同时监测医疗用户设备的安全状态。机构需要提前制定好设备和通信方法的最低安全要求,就可以让护士,医生、承包商或管理员无论在何处都能够更安全的访问应用程序、获取资源。

Gordon说:“许多较先进的医疗机构已经在设备上安装了应用程序,以确保设备处于监控状态下。如果用户或某人篡改该应用程序或配置,或者使用的设备不具备必需的功能,该应用程序就会以‘可能导致机构感染病毒或违反隐私法规’为由对这些设备进行标记。”

他补充说:“机构需要向更多用户敞开大门、允许这些用户访问内部和外部设备时,必须强制执行终端合规性,并将这些项目传达给员工。”

NIST建议有关机构可以通过使用加密技术来保护通信安全,通过对终端进行身份验证防止外部网络上的通信被窃听、拦截或修改。

分级的移动设备管理机制

在疫情期间,可以采用更广泛的BYOD(自备设备办公)战略,利用移动设备管理工具能够让个人设备及个人应用程序与医疗机构应用程序及医疗数据实现物理隔离。

Gordon解释说:“这样一来,医疗服务机构可以从根本上降低数据泄漏及某些设备被攻击或丢失的风险。与由医疗机构分发的设备访问权限相比,这种方式能够更快更便捷地提供远程医疗和远程访问功能。”

据NIST称,目前的当务之急是机构应该制定针对远程办公、远程访问和BYOD要求的安全策略。最佳实践策略包括机构允许的远程访问形式、可用于远程访问的设备、远程工作人员的访问类型以及如何管理和修补用于远程访问服务器。

此外,医疗服务提供商应该根据他们对不同类型客户端设备所允许的级别做出“基于风险的决策”。对于NIST而言,这里用到了一种适用于远程访问的分层方法,该方法允许“受控制最多的设备(例如,机构所有的便携式计算机)拥有最高级别的访问授权,而受控制最少的设备(例如BYOD移动设备)则具有最低级别的访问授权”。

严防死守院内的每一个人

正如许多安全报告所述,用户和内部人员是医疗行业信息安全的最大弱点。Gordon强调,在当前的紧急情况下,机构需要在使用远程医疗时先行确保这些平台是为从业者设计的,而且要确保其安全性。

约95%的机构(包括医疗保健部门)将企业VPN作为保护通信的支柱,也将其当作实现远程访问安全性和合规性的最佳实践。

“医疗组织必须强制执行端点合规性,然后将这些项目传达给员工。”

对于Gordon而言,多个VPN平台可以同时提供MFA和终端合规性,同时确保“在加密设备间的通信会话,以及从业者的设备与应用程序之间的数据传输”过程中的连接保护。

从合规性的角度看,VPN是必不可少的,因为它可以确保数据被加密并且不会发送给错误的人,同时还可以防止中间人的攻击,确保敏感数据和机构数据在通过网络托管应用程序发送之前先经过机构资源中心。

Gordon解释说:“现代VPN解决方案能够有效保障用户的体验,让每个应用程序的数据在专属VPN隧道上流动。通过这种方式可以在没有任何用户干预的情况下,确保通信会话的安全,同时对数据进行监控。”

现代VPN有两大功能:一是配置锁定,它消除了用户会使设备易受攻击的配置操作;二是他们可以提供大部分自动修复功能。”

例如,如果用户所使用设备的防病毒软件较旧或其个人防火墙已经停用,那么先进的VPN会在用户使用设备前帮他自助获取或更新适合的解决方案。

虽然使用VPN保障网络安全是目前最为有效的方法,但对于信息的绝对安全至今尚无任何灵丹妙药。就在去年,美国有关部门针对一些最常见平台漏洞发布了一些警报。但是到2020年1月,依然有成千上万的机构未使用最新的补丁程序解决漏洞问题。

对于Gordon而言,疫情期间网络需求激增,大大增加了那些未打补丁的VPN的安全风险。

他说:“由于相当一部分的机构现在将VPN的使用范围扩大到更多的员工和分支机构,因此他们应该确保VPN软件是最新版本,从而消除潜在的VPN漏洞。”

“医疗机构希望通过提升可访问性让机构在疫情期间尽其所能,但同时这也相当于从本质上扩大了网络攻击范围,让每个访问信息资源的用户都成为可能被攻击的目标。”他补充道。

DHS针对黑客继续利用网络攻击来利用未打补丁的VPN服务器现象,提供了最佳实践VPN 指南。

使用负载均衡技术满足不同优先级的需求

Gordon表示,在考虑需要扩大覆盖范围并确保系统与从业者之间安全传递医疗信息时,负载均衡技术并未得到足够的重视。但该项技术可以有效提高应用程序的性能和交付。

医疗机构可以根据所使用的平台和位置,为从业人员对应用程序的使用内容和使用地点进行优先级分配,并为医疗机构提供了优先处理能力和使用特定应用程序进行通信的能力。

该信息可以使机构根据用户的设备位置或应用程序编写策略,判断允许该用户使用多少功能,同时确定由于以下原因导致的某些类型的用户和设备在应用程序上的优先级和功能,即位置或用户、类型。

对于各种类型的远程医疗提供商或终端用户与医院进行通信并提交对COVID-19的需求而言,这项技术是比较理想的选择。Gordon解释说,机构可以通过明确用户的应用和位置并给予更高的响应,实质上是为更高优先级的社区扩展了带宽容量。

另一方面,它还可以优先考虑在家中工作的医院管理人员和从业者的百分比,以确保他们可以更快地连接。

Gordon说:“举例来说,与对医院或卫生系统的一般性查询相比,某些应用程序更适合诊断潜在的COVID-19患者。智能负载平衡与其他分类应用程序相比,能够让医疗卫生机构更好、更快地为服务应用程序提供通信。”

他补充说:“从总体上讲,对于医疗机构而言,考虑[负载均衡]技术非常重要,尤其是当它们将数据托管在云中或使用允许应用程序性能动态负载均衡的应用程序交付控制器时。”

原文链接:https://healthitsecurity.com/news/must-have-telehealth-remote-work-privacy-and-security-for-covid-19

转载请注明出处:HC3i数字医疗
【责任编辑:xiasz TEL:(010)68476606】

标签:COVID-19  远程医疗  隐私安全  
  • 分享到: