歯科診療サイバー保護を改善するためのガイド

歯科診療はますますテクノロジーに依存するようになり、それに伴ってサイバー攻撃のリスクが高まっています。

サイバー攻撃から歯科診療を保護するための最初のステップは、リスクを理解することです。 このガイドは、潜在的なリスクを特定し、適切なサイバーセキュリティ計画を作成するための実践を支援するために作成されました。 サイバー犯罪者はますます巧妙になり、フィッシング、マルウェア、ランサムウェアなどのさまざまな手法を使用して、脆弱な歯科診療をより的確に標的にすることができるようになっています。 これらの攻撃は、慣行が損なわれるまで、数年間見過ごされる可能性があります。

ただし、いくつかの簡単な手順を実行することで、サイバー攻撃のリスクを減らすことができます。 このガイドでは、データを保護するためにすぐに実装できる実用的なサイバーセキュリティの推奨事項をいくつか紹介します。

歯科診療に対する最も一般的な脅威は何ですか？

による ポネモン研究所、2017年のデータ漏えいの平均コストは3.62万ドルでした。 Ponemon Instituteはまた、ヘルスケア業界が他の業界の中で最もサイバー攻撃を経験していると報告しています。 歯科診療は、サイバー攻撃やデータ侵害の影響を受けません。

実際、 個人情報盗難リソースセンター 2021年には、データ漏えいの総数（1,862）が前年より68％以上増加したことがわかりました。 これは、2017年に記録された過去最高（1506件）を超える新記録を打ち立てました。 ランサムウェア関連のサイバー犯罪は、2020年以降、その後数年で2022倍になりました。現在の状況では、ランサムウェア攻撃は、XNUMX年のデータ侵害の主な原因としてフィッシングを超えると予測されています。

以下は、歯科診療に対する一般的なサイバー脅威の例です。

電子メールを介したマルウェア

データ侵害の約30％は、電子メールを介したマルウェアが原因です。 このタイプのマルウェアはフィッシングWebサイトからダウンロードでき、悪意のあるソフトウェアは電子メールの添付ファイルまたはリンクを介してコンピューターに感染する可能性があります。

フィッシング攻撃

「スピアフィッシング」攻撃とも呼ばれるフィッシング攻撃は、正当な送信元から送信されたように見える電子メールを送信することにより、パスワード、クレジットカード番号、個人識別番号などの機密情報を取得しようとする試みです。

ランサムウェア

ランサムウェア攻撃は、歯科診療を標的とするサイバー犯罪者の脅威とともにより一般的になっています。 これらの攻撃は、検出と修復が困難な場合があるため、堅牢なコンピューターテクノロジーを備えていない小規模なオフィスや慣行に影響を与える可能性が高くなります。

スパイウェアマルウェア

これは、USBフラッシュドライブやその他のポータブルメディアを介して拡散できます。 感染した電子メールの添付ファイルまたはリンクを介してインストールできます。

悪意のあるブラウザ拡張機能

この悪意のあるブラウザ拡張機能は、多くの場合、URLバーを非表示にして、広告、リダイレクト、またはその他の不要な広告に置き換えるアドウェアの一種です。

ウイルス

ウイルスは、ファイルの破損、ネットワーク全体への拡散、またはオペレーティングシステムの変更によって、コンピュータや電子デバイスに損害を与える可能性のある悪意のあるソフトウェアの一種です。

寄生虫

ワームは、インターネット上の他のコンピュータ間で自身を複製することによって伝播するマルウェアの一種です。 ワームは、セキュリティの脆弱性を悪用し、ソーシャルエンジニアリングの戦術、ネットワークの悪用技術を使用して、または電子メールを介して伝播するように作成できます。

データを保護するための歯科診療のベストプラクティス方法

安全なアプリを使用する

公式ストアからのみアプリをダウンロードして使用してください。 不要になった場合は、アプリを完全に削除してください。

公式アプリストア（Apple AppStoreまたはGooglePlayストア）では、アプリの提供が許可される前に少なくとも一定レベルの管理が行われるため、セキュリティリスクが封じ込められる可能性は大幅に低くなります。 

ただし、本当に必要なアプリのみをデバイスにロードし、不要になったすべてのアプリを可能な限り完全にアンインストールします。

常に現在のアプリバージョンをインストールする

脆弱性を回避するために、常に更新を迅速にインストールしてください。

オペレーティングシステムと同様に、アップデートには通常、新機能に加えて最新のセキュリティパッチが含まれているため、事前に存在していた可能性のあるセキュリティギャップを埋めることができます。

ローカルアプリデータの安全なストレージ

ドキュメントを暗号化してローカルに保存するアプリのみを使用してください。

可能であれば、データはクラウドに保存されないことに注意してください。 モバイルデバイスのバックアップを作成し、オペレーティングシステムが提供するオプションを使用して、暗号化されたバックアップを作成し、自分の管理下にあるデバイスにのみ保存します。 暗号化された形式で提供されている場合でも、クラウドでバックアップを使用することは避けてください。

アプリ経由で機密データを送信しないでください

機密データの不要な流出を防ぐために、可能な限り制限されたデータ保護設定を使用してください。この設定では、スマートフォン上の他の機密データへの制御されていないアクセス（たとえば、名簿への一般的なアクセス、したがって保存されているすべての連絡先データ、写真）アルバム等）は不可使用できませんのでご使用ください。

これは、たとえば、一般的なメッセンジャーやソーシャルメディアアプリにも当てはまります。

個人データのクラウドストレージなし

個人情報を保存するためにOffice製品に統合されたクラウドストレージを使用しません。

繰り返しになりますが、クラウドストレージの使用は控えてください。 特に個人データに関しては、法的根拠とそこで定義された仕様なしに、このデータをクラウドに保存してはなりません。

Webアプリケーションの認証

アクセスを厳密に保護するインターネットアプリケーション（ログインページとプロセス、パスワード、ユーザーアカウントなど）のみを使用してください。

この目的のために、少なくともユーザー名とパスワードを使用したログインで保護する必要があります。 これが提供されている場合は、いわゆる「XNUMX要素認証」をアクティブにする必要があります。これには、パスワードの入力に加えて、XNUMX番目のセキュリティ機能が必要です。 これは多くの場合、別のアプリを介して以前に指定された信頼できるデバイス（スマートフォン、タブレット、PC）に送信されるか、以前に保存した携帯電話番号にSMSとして送信されるPINです。

特に安全な方法は、スマートカード（e-dentistカード、ZODカード、SMC-Bなど）を介した登録です。これは、一方では適切なスマートカードを所有し、他方ではXNUMX要素認証を表します。関連するPINが必要です。

Webアプリケーションへの自動アクセスまたは呼び出しを設定または許可しないでください

インターネットへのアクセスは、常に慎重に管理する必要があります。 したがって、いかなる状況においても、ダウンロードしたアプリケーションまたは他のアプリケーションがWebアプリケーションに自動的にアクセスすることを許可しないでください。

人々のグループごとおよび個人ごとに許可とアクセスを規制する

ネットワークでフォルダを共有するときは、割り当てを明確にすることに特に注意してください。 人やグループに絶対に必要なフォルダのみを割り当て、割り当てられたフォルダをさらに制限します。 個々の個人またはグループが持つ権限（読み取り、書き込み、削除など）を決定します。

リムーバブルデータキャリアは、使用するたびに最新の保護プログラムを使用してマルウェアをチェックする必要があります。

USBスティックなどのリムーバブルメディアを使用する場合は、使用する前に、特に異なるシステム間で交換したり、渡したりする前に、コンピューターにインストールされているウイルス対策ソフトウェアで確認してください。

使用後は常にデータキャリアを安全かつ完全に消去してください。 お使いのコンピュータは、このためのさまざまなオプションを提供しています

使用するオペレーティングシステムに応じて、ここにはさまざまなオプションがあります。 「通常の」削除プロセスでは通常、データ自体は削除されず、データへの参照のみが削除され、表示されなくなるため、追加の特別なアプリケーションを使用すると、必要になる可能性のあるより集中的な削除を実行できます。システムによって。 

ただし、無料で入手できるプログラムを使用すると、データを比較的簡単に復元できます。 適切な削除プログラムは通常、削除するデータを数回上書きして、後で復元できないようにします。

ネットワークコンポーネントおよび管理情報への管理アクセスには、適切な認証を使用する必要があります

ファイアウォール、ルーター、スイッチなどのネットワークで使用されるコンポーネントは、少なくとも安全なパスワードで保護する必要があります。 これらのデバイスへのアクセス、したがってそこに保存されている構成または情報へのアクセスは、パスワードまたはその他の安全な認証なしでは不可能であってはなりません。

バックアップとディザスタリカバリ

バックアップとディザスタリカバリは、セキュリティの重要な部分です。 バックアップは、少なくともXNUMXつまたはXNUMXつの異なる場所に保存する必要があります。 バックアップシステムを保護するだけでなく、必要に応じて復元できるように、バックアップされたファイルも保護する必要があります。

セキュリティポリシーと手順

セキュリティポリシーと手順では、組織の情報資産をどのように保護するかを詳細に説明する必要があります。 ポリシーと手順は、少なくとも年に一度、文書化、承認、および更新する必要があります。

物理的なセキュリティ

コンピュータシステムへの物理的なアクセスは厳密に制御する必要があります。 すべてのドアをロックし、アクセスカードとキーを使用し、すべての部屋を十分な自然光で十分に照らして情報を確認する必要があります。

電子セキュリティ

すべてのコンピュータシステムとネットワークサービスには、適切なセキュリティ対策が必要です。 すべてのユーザーは、独自のログイン名とパスワードを使用する必要があります。 情報セキュリティのポリシーと手順は、人材、物理的セキュリティ、事業継続計画、災害復旧など、組織の全体的なリスク管理の取り組みに統合する必要があります。

まとめ

最高のコンピュータセキュリティは、情報セキュリティへの階層化されたアプローチを採用することによって達成されます。 各レイヤーは、データに安全にアクセスして使用できるようにするためのさまざまなコントロールセットを提供しますが、各レイヤーには独自の脆弱性があります。

これらの脆弱性を認識し、上記で共有した適切な管理手段を適用することが重要です。 組織のすべての資産を保護するのに役立つため、強力で健全なセキュリティポリシーを設定することが重要です。 優れたセキュリティポリシーは、歯科医院が安全で信頼性の高いネットワーク環境を維持するのに役立ちます。

歯科医は、サイバー犯罪から歯科診療を保護するために必要な予防措置を講じる必要があります。 これには、強力なパスワードの使用、ソフトウェアの定期的な更新、およびベストプラクティスに関する従業員のトレーニングが含まれます。 この記事に記載されているヒントに従うことで、開業医はサイバー侵害のリスクを最小限に抑え、患者のデータを安全に保つことができます。