新的HIPAA指南解决了勒索软件

美国人类服务部已发布了针对医疗保健公司的新指南,重点关注勒索软件不断增长的威胁,强调需要更好的教育和定期备份,并确认针对纯文本健康信息的勒索软件攻击实际上是,必须披露的违规行为

新的HIPAA指南解决了勒索软件
Thinkstock

美国人类服务部已发布 新指导 对于专注于日益增长的勒索软件威胁,强调需要进行更好的教育和定期备份的医疗保健组织,并确认,针对纯文本健康信息的勒索软件攻击实际上是必须披露的违规行为。

该指南建议组织确定其患者信息面临的风险,制定解决这些链接的计划,设置程序以保护系统免受恶意软件的侵害,培训用户发现恶意软件,将对敏感信息的访问限制在最需要的人,并制定包括频繁数据备份的灾难恢复计划。

总部位于新泽西州泽西市的首席合规与风险官Dana Simberkoff表示:“新指南在很大程度上重申了已经存在的内容,但有一点更加具体。” AvePoint Inc. “重点是教育,这是好的数据保护计划的重要组成部分。”

勒索软件通常通过恶意电子邮件附件或指向恶意网站的链接进入系统,通过员工培训可以在一定程度上解决这两个问题。

她说:“组织犯下的第二个错误是给不需要访问该信息的人过多的访问权限。” “组织应集中精力为员工提供尽可能少的工作机会。”

她说,但是,人手不足的IT部门常常会因为访问过多而出错。

她说:“通过给人们更多的访问权限,他们避免了每次需要的人都回来。”

但是,限制单个用户的访问权限意味着,如果这些用户有效,那么恶意软件可以获取的数据就会更少。

她说,新指南是行业最佳实践的摘要,组织应该已经在这样做。

她说:“唯一令人惊讶的是该指南有点迟了。”

除了为组织提供建议以帮助他们抵御勒索软件外,新指南还阐明,勒索软件攻击实际上被视为违规,因为“未经授权的个人已经拥有或控制了信息”。

“当勒索软件攻击导致对受保护的电子健康信息进行加密时,

发生了违反情况。”

但是,一个例外是,如果数据已经由组织本身加密,并且可以访问该数据的黑客将无法对其进行任何处理。但这取决于加密的类型。

例如,如果网络犯罪分子可以使用具有全盘加密功能的便携式计算机访问笔记本计算机,并且该便携式计算机电源已关闭,则攻击者将无法读取该便携式计算机。

但是,如果笔记本电脑已打开电源并且用户已登录,则情况并非如此。

该指南说:“如果勒索软件访问包含PHI的文件,则包含PHI的文件将由全盘加密解决方案透明解密,并以与授予用户相同的访问级别来允许访问。”

版权© 2016 IDG通讯,Inc.