数据泄露排名第二,医疗保健行业该如何进行数据保护?​

医疗保健行业的数据泄露事件在各行业中名列第二,仅次于消费领域。患者健康记录的丢失数量已经超过1.5亿份。

作者: 徐红志 来源: 大健康派 2019-07-08 15:52:51

互联网上的隐私问题对于所有行业都很重要,但更应受到关注的是每天处理大量健康数据的医疗行业。虽然任何数据(财务、身份识别、密码等)都很重要,但考虑在云平台存放的个人医疗信息对外泄露,用户可能会感到更加愤怒和无奈。


无论是遵守法规还是企业道德,医疗保健公司都有责任保证个人健康记录的安全,这是一项需要持续承诺的任务。


最近,国际互联网协会的在线信任联盟(OTA)发布了医疗保健行业及其数据安全问题。每年,在线信任联盟(OTA)都会进行在线信任审计,该审计分析了1200多个组织机构的安全和隐私实践。


今年新增的医疗保健行业包括药房、检测实验室、保险公司、连锁医院。令人惊讶的是,整体数据保护排名最低。


分析对那些习惯于在线传输健康信息的客户描绘了画像。虽然该行业在隐私类别中排名靠前,但它很少采用电子邮件身份验证,其网站安全性得分排在第二位,而使用加密会话这一项排在最后。这些基本保护对于确保消费者不被网络钓鱼信息侵扰,以及保护数据至关重要。


除了整体排名较低之外,医疗保健行业的数据泄露事件在各行业中名列第二,仅次于消费领域。患者健康记录的丢失数量已经超过1.5亿份。在线信任联盟(OTA)的分析还显示,所有垂直行业中有15%的受审计组织经历过一次或多次泄露事件,高于2017年的13%和2016年的5%。数据泄露的威胁显然在增加。


鉴于这些问题,以下是医疗行业可以采取的一些步骤,以提供最佳的数据保护。


1.对所有通信使用电子邮件验证


这是医疗机构最大的不足之处。通过使用电子邮件认证(SPF和DKIM),组织可以防止消费者收到伪造的电子邮件。


电子邮件身份验证允许发件人指定谁有权代表他们发送电子邮件。基于电子邮件身份验证协议,DMARC添加了一个策略,为接收方提供有关如何处理未通过身份验证的消息的指导。医疗保健网站应利用所有可用的电子邮件认证工具来确保安全通信。


2.提高站点安全性


组织应在所有网页上实施“永远在线SSL”(AOSSL),也称为“无处不在的HTTPS”,以最大限度地提高数据安全性和在线隐私。一种方法是通过HTTP严格传输安全(HSTS),这有助于确保站点和设备之间交换的所有数据都是加密的。


组织还应实施Web应用程序防火墙来监视HTTP对话,并阻止常见攻击,例如跨站点脚本(XSS)和SQL注入(只有30%的医疗保健站点执行此操作,这远低于71%的总体平均值)。


3.实施漏洞披露机制


这也称为“负责任的披露”或“协调披露”,并允许安全研究人员以负责任的方式报告发现的漏洞。只有3%的医疗保健行业网站使用这种机制,通过网站上的表格或电子邮件地址,或通过第三方Bug奖励计划,医疗机构可以在数据泄露之前解决漏洞问题。


医疗保健网站需要及时了解他们在保护客户医疗数据时可用的最新安全协议,并且对于寻求在线传输个人信息的公司而言,保护这些信息需要成为其持续关注的问题。



医疗保健 医疗数据 隐私泄露 数据保护

关注大健康Pai 官方微信:djkpai我们将定期推送医健科技产业最新资讯