依据 Verizon 数据泄露呈报中对客不雅观现状、数据漫衍和数据流动等方面综合分析,医疗行业数据安适的主要危害包孕如下几个方面:
一、人的安适危害和对策
1. 人的安适危害是医疗数据安适的最大危害
从 Verizon 呈报可以看出医疗行业数据安适的特殊性:医疗行业是所有行业中独一一个内部威胁大于外部威胁的行业,内部威胁占比60%,外部威胁占43%。总体来看,各行业平均打击类型是:70%为外部威胁,30%为内部威胁。下图就数据泄露的几个主要行业做了比拟,包孕:医疗、金融、当局、信息处事、制造业、零售、酒店餐饮。
由于缺乏医疗行业的独立数据,我们以全行业数据来看威胁的组成。从全行业来看,在外部人员导致的泄漏事件中,62%都来自有组织的犯法团伙;在内部威胁中,25.9%都跟企业系统打点员有关,终端用户占22.3%,大夫或护士占11.5%,开发人员占5%。从这里可以看到很亮的数据:大夫或者护士占11.5%。大夫和护士只有在医疗行业才存在,也就是说,大夫或护士造成的内部数据泄露事件在全行业中占据了11.5%的比例。
2. 人具有庞大的情绪变革特征
在数字化的今天,当我们谈及数据,城市对其充塞等候和憧憬。数据是永不生锈的资产,是新经济时代的原油,是黄金和工业,是一切出产的出产资料。当其成为重要资产、巨额工业的时候,现实生活中一切关于资产安适、工业安适的打点法子都可以成为数据安适范围的参照。
数据安适的素质是人的安适,只要人人都遵守法则和约束去访谒数据,数据自然就安适了,但这只能是乌托邦色彩的梦想。我们每家机谈判企业都制定了一系列的安适出产规章制度,这些规章制度无论针对人或者财物,最终城市感化在人身上。如果没有适当的技术实施手段,仅依赖于教育和培训,很难使流程和制度落地,数据安适最终也就会落空。
人既有庞大情绪变革的非理性,又有利益得掉计算的理性。这种理性和非理性的交错让人的安适充塞着巨大挑战。
3. 医疗行业所面临的“人的危害”
众所周知,医疗数据单体价值过大是导致医疗行业内部威胁高达60%的根基因素。下面来看一下医疗行业数据泄露内部威胁的主要敞口:
(1)系统打点员和 DBA
几乎在所有行业中,系统打点员和 DBA(数据库打点员)都是内部数据的主要威胁,在医疗行业中也不例外。从 Verizon 呈报中可以看出,在全行业查询拜访中,高达26%的内部威胁是由于系统打点员和 DBA 造成的。而在国内医疗界,信息科也一直是漩涡之地,每次医疗数据泄露事件产生时,信息科总是会成为第一个怀疑东西。
(2)大夫或者护士
从 Verizon 数据泄露查询拜访呈报来看,来自大夫及护士的威胁可能远超于系统打点员。由于医疗数据的个体价值巨大,大夫或者护士只需简单地获得权限之内的数据就可以获得巨大收益。但目前由于病案数据的交叉特征,几乎没有病院的业务系统可以实现基于患者授权盘问病案数据的机制,因此大夫及护士可以遍历所有患者数据。
(3)软件开发商和维护人员
在医疗行业,软件开发商的力量过于强大,甚至会让院方觉扶病院数据不是本身的,而是归软件开发商所有。即使是一些*病院,医疗系统和数据的命脉都掌控在开发商手中。
(4)驻场处事人员
驻场处事人员的权限等同于 DBA 和系统打点员,同时因其不受病院打点和约束,更易受到外部诱惑而逼上梁山。
(5)集体的无意识
相对来说,当前病院对付患者隐私掩护的意识相对淡漠,这从核心隐私机密的纸质病案和处方可以被任意从头操作这个环节就可以看出。换句话说,有心人只要不停地在病院收集各类纸质垃圾,就可以获得想要的医疗数据。
4. 如何防止人的安适危害