后来有了40枚比特币(约合17,000美元),好莱坞长老会医院现在可以访问其电子医疗记录,并按计划恢复对患者的治疗。但是,随着黑客开发新的工具来访问信息,越来越多的提供商将成为攻击目标,赎金需求将不断升级,使医院和患者处于危险之中。专注于技术网络安全保护,员工培训以及全面的风险分析和管理,将使涵盖的实体和业务伙伴能够更好地抵御攻击并减少漏洞。

2016年2月2日,即好莱坞长老会医院遭到袭击的三天前,民权办公室(OCR)发布了一封勒索软件电子邮件,以防止勒索软件感染,这是其网络安全意识计划的一部分。勒索软件是一种恶意软件,可以感染系统,加密文件或以其他方式阻止用户访问其数据,直到机构或个人支付赎金以重新获得访问权限为止。与任何恶意软件一样,攻击途径可以是电子邮件,打开远程连接端口等。好莱坞长老会医院正在与联邦调查局合作,确定袭击的路线。

减轻风险

涵盖实体和业务伙伴必须对网络安全攻击保持警惕,以免成为勒索软件攻击的下一个受害者。涵盖实体和业务伙伴至少应关注以下三个领域:

  • 技术网络安全防护
  • 劳动力培训
  • 全面的风险分析与管理

光学字符识别继续使涵盖的实体和业务伙伴能够遵守有关HIPAA各个组成部分的指南,以达到HIPAA的要求。最近,OCR发布了HIPAA安全规则与美国国家科学技术研究院(NIST)网络安全框架之间的交叉路口。的 人行横道 可以用来确定NIST框架与HIPAA要求之间在网络安全方面的任何差距,并可以通过NIST标准增强现有的网络安全。

除技术保护外,员工培训是抵御勒索软件等恶意软件的第二道防线。 HIPAA安全规则要求受保护实体的员工需要安全意识和培训。 45 C.F.R. 164.308(a)(5)。定期简报,简短示例的恶意软件攻击或评估和响应恶意软件事件的指南,以及针对识别恶意软件和强调电子邮件和Internet安全最佳实践的培训,将有助于保护医疗保健提供者免受成功的恶意软件攻击。

最后,风险分析和管理计划的重要性不可低估。适当的风险分析将识别出设备安全性和服务器安全性方面的任何差距,并确保所涵盖的实体或业务伙伴对黑客传播的恶意软件不大开眼界。