Търсене
Close this search box.

Как да защитим пациентите и тяхната поверителност в приложенията SaaS

Секторът на здравеопазването е подложен на постоянен поток от кибератаки. Тя традиционно е една от най-често атакуваните индустрии и нещата не са се променили и през 2023 г. Службата за граждански права към правителството на САЩ съобщава за 145 нарушения на сигурността на данните в САЩ през първото тримесечие на тази година. Това се случва след 707 инцидента преди година, при които са били откраднати над 50 милиона записа.

Здравните досиета често включват имена, дати на раждане, номера на социални осигуровки и адреси. Тази съкровищница от данни се използва при кражба на самоличност, данъчни измами и други престъпления. Именно високата стойност на данните прави приложенията в здравеопазването толкова обещаваща цел.

Секторът на здравеопазването се колебаеше дали да приеме приложенията SaaS. Приложенията SaaS обаче водят до по-добро сътрудничество между медицинските специалисти, което води до подобряване на резултатите за пациентите. Това, в съчетание със способността на SaaS да намалява разходите и  подобрява финансовите резултати, iи съответно доведе до пълното приемане на SaaS решенията от сектора.

 

Днес медицинските заведения съхраняват пациентски досиета, счетоводни записи и други чувствителни данни, съдържащи както PHI (защитена здравна информация), така и PII (лична информация), в много случаи съхранявани в Salesforce, Google Workspace и Microsoft 365.

Научете как да защитите целия си стек SaaS с решение за SSPM

Защита на достъпа до медицински данни

В Съединените щати медицинските данни са защитени съгласно HIPAA, Закона за преносимост и отчетност на здравното осигуряване. Сривовете в сигурността, засягащи повече от 500 лица, се отразяват широко в медиите и са придружени от значителни глоби.

Приложенията SaaS като Salesforce, когато съдържат добавки за съответствие с HIPAA, са достатъчно сигурни, за да не позволят на  заплахите да влязат в приложенията и да получат достъп до данните на пациентите. Приложенията SaaS винаги се актуализират до най-новата версия и нямат същите видове уязвимости, каквито се срещат в локалния софтуер.

Разработчиците на SaaS инвестират много в предоставянето на сигурни софтуерни решения. Те поддържат екипи от специалисти по сигурността, които постоянно наблюдават и актуализират софтуера си, за да се справят с възникващите заплахи. Тези приложения работят върху сложна инфраструктура със солидни мерки за физическа сигурност, резервирани системи и системи за възстановяване след бедствие. Те се придържат към строги индустриални стандарти, като осигуряват най-високо ниво на сигурност на данните в здравеопазването и съответствие.

Многопластова защита на достъпа

В доклад, публикуван през август 2022 г. от Службата за информационна сигурност и Координационния център за киберсигурност в здравеопазването (HC3) относно въздействието на социалния инженеринг върху здравеопазването, изследователите установяват, че 45% от всички атаки в здравната индустрия започват с фишинг атака. Служителите са манипулирани да предадат своите данни за вход, което позволява на  заплахите да влязат през входната врата.

Приложенията SaaS разполагат с множество нива на защита срещу тези видове пробиви. Например много приложения SaaS изискват MFA по време на влизане в системата. Без еднократна парола повечето участници злонаерени хакери  ще бъдат възпрепятствани при опит за достъп само с потребителско име и парола. Второ, много организации изискват SSO за достъп до своите приложения. Този допълнителен слой на структурата на идентичността създава по-голяма сложност за заплахите, когато се опитват да проникнат в приложението SaaS. В рамките на Salesforce и Microsoft 365 има над 100 контроли за сигурност, които, когато се комбинират, образуват силен периметър на защита.

Не беше отдавна времето, когато всеки, който успееше да проникне в приложение SaaS, имаше картбланш да прави всичко в рамките на своите разрешения. Ако откраднете идентификационните данни на администратор, цялото приложение можеше да бъде под контрол в рамките на няколко минути. Това вече не е така.

Водещите инструменти за сигурност на SaaS са добавили към уравнението слой за откриване и реагиране на заплахи, свързани с идентичността (ITDR). Тази последна линия на защита гарантира, че ако хакерите са успели да получат достъп до приложението, екипите по сигурността са предупредени, когато те влязат в приложението SaaS, дори ако те имат достъп до приложението с валидни идентификационни данни.

ITDR разпознава поведенчески аномалии в рамките на отделния потребител. Ако хакер влезе в стек на SaaS и действа подозрително, ITDR ще маркира тези поведения и ще предупреди екипа по сигурността, който може да деактивира потребителския акаунт и да проведе разследване.

Здравната индустрия вече е запозната с ролевия достъп до медицински досиета. Лицата, които не се нуждаят от достъп до досиетата на пациентите, не могат да преглеждат медицинските досиета. Този подход е от решаващо значение за сигурността на SaaS. Следвайки принципа на най-малките привилегии (POLP), всеки потребител има достъп само до материалите, необходими за неговата или нейната роля. Ако идентификационните данни на тези потребители бъдат компрометирани,  заплахите няма да могат да получат достъп до търсените от тях PHI.

 

Източник: The Hacker News

Подобни публикации

21 май 2024

Arm ще пусне чипове с ИИ през 2025 година

Съобщава се, че базираната в Обединеното кралство компания Arm, еди...
20 май 2024

Атака над ARRL постави радиолюбителите по света...

Американската радиорелейна лига (ARRL) предупреждава, че е претърпя...

Защита на вашите коммити от известни CVEs с Git...

Всички разработчици искат да създават сигурен и надежден софтуер. Т...
20 май 2024

Чрез GitHub и FileZilla се доставя коктейл от ...

Наблюдавана е „многостранна кампания“, при която се зло...
20 май 2024

7 бъга излезли на Pwn2Own все още чакат поправка

Редица сериозни грешки в Windows все още не са навлезли в криминалн...
20 май 2024

Китайци са арестувани за пране на 73 милиона до...

Министерството на правосъдието на САЩ повдигна обвинения на двама а...
20 май 2024

Квантовата навигация може да замени GPS съвсем ...

Британски консорциум, финансиран от правителството на Обединеното к...
19 май 2024

Grandoreiro се завръща по - мощен след прекъсва...

Банковият троянец за Android „Grandoreiro“ се разпростр...
19 май 2024

Норвежци предсказват бедствия с ИИ

Норвежкият стартъп 7Analytics е получил 4 млн. евро, за да предскаж...
Бъдете социални
Още по темата
20/05/2024

Защита на вашите коммити от...

Всички разработчици искат да създават сигурен...
20/05/2024

Чрез GitHub и FileZilla се ...

Наблюдавана е „многостранна кампания“, при която...
18/05/2024

Бивш лидер на OpenAI: Безоп...

Ян Лейке, който ръководеше екипа на...
Последно добавени
21/05/2024

Arm ще пусне чипове с ИИ пр...

Съобщава се, че базираната в Обединеното...
20/05/2024

Атака над ARRL постави ради...

Американската радиорелейна лига (ARRL) предупреждава, че...
20/05/2024

Защита на вашите коммити от...

Всички разработчици искат да създават сигурен...
Ключови думи

Абонамента е почти завършен.

На посоченият от Вас e-mail е изпратено съобщение за потвърждаване на абонамента.

Моля, проверете електронната си поща за да потвърдите.

Благодарим за доверието!