使用平板電腦的醫療專業人員。醫療技術概念。

醫療保健資料安全性的真相

六月 2023
博客首頁

醫療保健機構需要儲存並傳輸個人健康資料,這些資料通常被稱為「受保護的健康資訊(PHI)」。考量資料安全性一直都至關重要,以防範網路攻擊並避免資料丟失、確保 PHI 的安全。根據美國醫學學會 的調查,92% 的患者相信健康資料隱私是一種權利,應妥善受到保護。但對於必須隨時能帶著走並共享的資料而言,想要滴水不漏是難如登天的。

PHI的資安防護聽起來微不足道,但資料外洩往往會導致嚴重後果。舉例來說,Scripps Health 在 2021 年勒索軟體攻擊事件中,最後支付的和解金高達 350 萬美元。

這絕非危言聳聽,殘酷的現實是,涉及醫療保健實體機構的外洩事件數量正在不斷增長中。惡意人士知道危害醫療保健資料有利可圖,這使得全球的醫療保健領域成為令駭客垂涎三尺的攻擊目標。

那麼,我們可以如何保障並強化資料安全性?

安全性和醫療圖示。醫療保健機構對於資料安全問題的概念。

為了應對眼下的挑戰並同時遵循不斷變動的法規,簡化一切是個好方法。如果所有醫療保健機構都能將資料加密納入安全策略的關鍵一環,事情就簡單許多。

畢竟,這些可能被看見的資料,如果沒有受保護,就必定會遭到惡意攻擊!在規劃資料安全計劃時,您也必須謹記這點。

Kingston 深知妥善保護健康資料是一項不容失敗的重要任務。針對健康資料執行加密安全性工作時,需要牢記幾點。首先,最重要的是理解資料加密在法規合規性方面的價值。《健康保險流通與責任法案(HIPAA)》和其他法規,例如歐盟《一般資料保護規則 (GDPR)》和《加州消費者隱私保護法 (CCPA)》等,對於個人資料加密都有各自的要求。運用加密技術,醫療保健機構可保護自己免於承受資料外洩的災難性後果,並且也能持續遵循這些法規。

然而,加密也是非常棘手的工作,這通常會分成兩種類型:硬體型加密和軟體型加密。

瞭解軟體型加密和硬體型加密之間的差異,對於患者健康資料的安全性具有重要意義。軟體型加密一般來說初期執行成本較低,但其安全性需仰賴主機系統。因此,若駭客在主機系統記憶體、分頁和休眠檔案中執行搜尋密碼或還原金鑰等攻擊,軟體型加密的安全防護較容易被突破。此外,網路上已經出現大量免費或成本極低的惡意軟體工具,針對多種檔案加密格式,都可以執行暴力密碼攻擊法來破解身分驗證程序。拜科技進步所賜,現在某些電腦嘗試數十億種密碼組合的耗時,可能僅需不到一秒。軟體加密的檔案也能被一批連網的電腦同步執行複製和攻擊,進一步縮短暴力破解密碼法的執行時間。

而硬體型加密,則是讓加密技術完全存在儲存裝置中(USB 隨身碟或外接 SSD 固態硬碟皆可)所帶來的專屬安全系統。硬體型加密會永久保持在啟用狀態,並且不分日夜地保護資料,相反地,任何人都可以透過重新格式化來刪除裝置中的軟體型加密。對醫療保健供應商而言,這代表懷有二心的惡意員工可以停用防護,並將軟體型加密儲存裝置變成可破壞的儲存裝置。

反之,硬體型加密技術不會將密碼和加密金鑰曝露給主機系統,因此通常有更多安全保障。與未加密的儲存裝置相比,增加安全性需要付出代價。2022 年,美國的外洩事件的平均成本花費超過 435 萬美元{{Footnote.A68763}}。軟體型加密防與更優異的行動資料防護選擇相比是完全不切實際的,因為硬體型加密的 USB 隨身碟和外接 SSD 固態硬碟具備 XTS-AES 256 位元加密,並包含針對暴力密碼攻擊法和 BadUSB 攻擊的防護功能。如果遺失硬體型加密裝置,使用者可以合理預期資料仍然安全無虞,而且其強大的安全性將繼續保護 PHI 資料。

Kingston IronKey XTS-AES 256 位元的硬體型加密裝置系列,包含各種人性化的功能,能解決使用者遭遇的各種安全性瓶頸。當使用者或供應商忘記密碼時,能藉由多密碼支援功能,恢復存取裝置的權限。比起設定一個根本沒人能記起來的拗口密碼,如今您有更好的選擇:設定最多 64 個字元的短語密碼,這可以是您最喜愛的書名、歌曲名、一句話,或者詩歌或歌詞中的其中一句,也可以是醫師和其他醫療保健從業者容易記住的短語。如此一來,攻擊者即便使用暴力密碼攻擊法,也幾乎不可能在有限嘗試次數鎖定和加密抹除次數前猜到正確答案。

Vault Privacy 50、50C 和 Vault Privacy 80 外接 SSD 固態硬碟均提供短語密碼功能。Vault Privacy 80ES 和 Keypad 200 等隨附鍵盤的儲存裝置,則是採用 PIN 碼,類似於人們常用於手機的 PIN 碼功能。VP80ES 儲存裝置還在觸控螢幕上提供使用者友善的鍵盤,讓人們可以使用短語密碼功能。

各款 Kingston IronKey 硬體式加密裝置特色。硬體式加密 USB 隨身碟和 SSD 固態硬碟。

所有 IronKey 系列裝置均具備強大的暴力密碼攻擊法防護功能。當攻擊者嘗試猜測密碼時,在密碼被嘗試一定次數後,裝置會鎖定使用者密碼功能;當管理員密碼被嘗試一定次數後,裝置會自動加密抹除,所有資料將會永遠丟失。軟體型加密則完全沒有面對此類攻擊所需的強大防禦力。

Vault Privacy 80ES 和 Keypad 200 等獨立於作業系統之外的裝置非常適合用來防護醫療儀器和電腦之間傳輸的資料,醫療保健服務中所使用的各種設備都需要這些資料。舉例來說,許多技術人員使用實驗室儀器時,會有需要將資料手動傳輸到供應商的電腦系統中。

五名醫療保健工作人員在光線充足的辦公室中,使用筆記型電腦來開會。背景是一塊白板。工作人員聚集在一張桌子的周圍。一名工作人員站著,其他人坐著。一名工作人員微笑並面向鏡頭。

除硬體型加密裝置之外,醫療保健機構也需要考量額外的資料網路安全措施,例如對員工的最佳實務培訓、運用多因素身分驗證,並定期更新軟體和系統。即使是小型醫療保健供應商,是否使用硬體型加密的外接 SSD 固態硬碟定期備份,將決定您會淪為勒索軟體攻擊受害者,還是能快速還原系統的優良廠商。

採用不同層級的安全防護方式,將資料防護深植於員工的日常習慣中,醫療保健機構才能有效地保護患者資料。將 Kingston IronKey 硬體加密型裝置整合為資料安全策略的一環,是確保遵循 HIPAA 和其他醫療資料保護法規的有效方法。

您可以找到更多 Kingston IronKey 裝置來滿足醫療保健資料安全性的需求,也能針對 Kingston IronKey 使用諮詢專家服務,協助您保護患者資料的安全。

#KingstonIsWithYou #KingstonIronKey

電路板晶片組上的 Kingston 諮詢專家圖示

請教專家

要規劃適當的解決方案需要對專案目標有通盤了解。讓 Kingston 專家引導您完成作業。

請教專家

相關影片

Trisha 拿著一個巨大的 2.5 吋 SSD,旁邊是一個帶有鎖和 Windows 圖示的 M.2 SSD 5:02

軟體加密技術 vs. 硬體加密技術

硬體加密與軟體加密之間有何差異?

相關文章

博客首頁