改善牙科诊所网络保护的指南

牙科诊所越来越依赖技术，随之而来的是网络攻击的风险增加。

保护您的牙科诊所免受网络攻击的第一步是了解风险。 本指南旨在帮助实践识别潜在风险并制定适当的网络安全计划。 网络犯罪分子正变得越来越老练，并且能够更好地针对脆弱的牙科诊所，使用各种技术，包括网络钓鱼、恶意软件和勒索软件。 这些攻击可能会在几年内被忽视，直到这种做法受到损害。

但是，可以通过采取一些简单的步骤来降低网络攻击的风险。 本指南将提供一些实用的网络安全建议，您可以立即实施以保护您的数据。

牙科诊所最常见的威胁是什么？

据 Ponemon Institute，2017 年数据泄露的平均成本为 3.62 万美元。 Ponemon Institute 还报告称，医疗保健行业遭受的网络攻击是其他行业中最多的。 牙科诊所无法免受网络攻击和数据泄露的影响。

事实上，一项研究 身份盗窃资源中心 发现在 2021 年，数据泄露的总数（1,862 起）比上一年增加了 68% 以上。 这比 2017 年创下的历史新高（1506 起案件）创下新纪录。 自 2020 年起，与勒索软件相关的网络犯罪在随后的几年中翻了一番。按照目前的发展速度，勒索软件攻击预计将超过网络钓鱼，成为 2022 年数据泄露的主要原因。

以下是牙科诊所常见的网络威胁示例：

电子邮件传播的恶意软件

大约 30% 的数据泄露是由电子邮件传播的恶意软件引起的。 这种类型的恶意软件可以从网络钓鱼网站下载，恶意软件可以通过电子邮件附件或链接感染计算机。

网络钓鱼攻击

网络钓鱼攻击，也称为“鱼叉式网络钓鱼”攻击，是一种尝试通过发送看似来自合法来源的电子邮件来获取敏感信息，例如密码、信用卡号和个人身份证号。

勒索

随着针对牙科诊所的网络犯罪分子的威胁，勒索软件攻击变得越来越普遍。 这些攻击更有可能影响没有强大计算机技术的小型办公室和实践，因为它们可能难以检测和修复。

间谍软件 恶意软件

这可以通过 USB 闪存驱动器和其他便携式媒体传播。 它可以通过受感染的电子邮件附件或链接安装。

恶意浏览器扩展

这种恶意浏览器扩展通常是一种隐藏 URL 栏并将其替换为广告、重定向或其他不需要的广告的广告软件。

病毒

病毒是一种恶意软件，可通过破坏文件、在网络上传播甚至更改操作系统来对计算机或电子设备造成损害。

蠕虫

蠕虫是一种恶意软件，它通过在 Internet 上的其他计算机上复制自身来进行传播。 可以编写蠕虫来利用安全漏洞并使用社会工程策略、网络利用技术或通过电子邮件进行传播。

为您的牙科诊所提供保护数据的最佳实践方法

使用安全应用

仅从官方商店下载和使用应用程序。 如果不再需要，请完全删除应用程序。

由于官方应用程序商店（Apple App Store 或 Google Play Store）在允许应用程序提供之前至少对应用程序进行了一定程度的控制，因此包含安全风险的可能性要低得多。 

但是，仅将您真正需要的应用程序加载到您的设备上，并尽可能完全卸载您不再需要的所有应用程序。

始终安装当前应用版本

始终及时安装更新以避免漏洞。

就像操作系统一样，更新通常包含最新的安全补丁和新的功能，这样任何可能事先存在的安全漏洞都可以被填补。

本地应用数据的安全存储

仅使用加密文档并将其保存在本地的应用程序。

请注意，如果可能，云中不会存储任何数据。 创建移动设备的备份并使用操作系统提供的选项来创建加密备份，并且仅将它们保存在您自己控制的设备上。 避免在云中使用备份，即使它们是以加密形式提供的。

不要通过应用程序发送机密数据

为了防止可能的机密数据意外流出，请使用尽可能限制性的数据保护设置，其中不受控制地访问智能手机上的其他敏感数据（例如，对地址簿的一般访问以及所有存储的联系人数据、照片专辑等）是不可能的，可以防止，不能使用。

例如，这也适用于常见的信使和社交媒体应用程序。

没有个人数据的云存储

不使用 Office 产品中集成的云存储来存储个人信息。

再次，不要使用云存储。 特别是在涉及个人数据时，如果没有法律依据和那里定义的规范，则不得将这些数据存储在云中。

Web 应用程序的身份验证

仅使用严格保护您访问的 Internet 应用程序（登录页面和流程、密码、用户帐户等）。

为此，它至少应该通过使用用户名和密码登录来保护它。 如果提供此功能，他们应该激活所谓的“双因素身份验证”，除了输入密码外，还需要第二个安全功能。 这通常是一个 PIN，通过单独的应用程序发送到先前指定的可信赖设备（智能手机、平板电脑、PC）或作为 SMS 发送到您之前存储的手机号码。

一种特别安全的方法是通过智能卡（例如电子牙医卡、ZOD 卡、SMC-B）进行注册，这也代表了双因素身份验证，因为一方面拥有适当的智能卡，另一方面需要关联的 PIN。

不要设置或允许自动访问或调用 Web 应用程序

访问 Internet 应始终经过深思熟虑并受到控制。 因此，在任何情况下都不允许下载的应用程序或其他应用程序自动访问 Web 应用程序。

调节每组人和每人的权限和访问

在网络中共享文件夹时要特别注意清除分配。 仅分配对人员或组绝对必要的文件夹，并进一步限制分配的文件夹。 确定个人或团体拥有哪些权利（读取、写入、删除……）。

每次使用可移动数据载体时，都必须使用最新的保护程序检查恶意软件。

如果您使用 USB 记忆棒等可移动媒体，请在每次使用前用计算机上安装的病毒防护软件检查它们，尤其是在不同系统之间交换它们时以及在传递它们之前。

使用后始终安全彻底地擦除数据载体。 您的计算机为此提供了各种选项

根据所使用的操作系统，您有多种选择。 在其他特殊应用程序的帮助下，可以执行可能需要的更密集的删除，因为“正常”删除过程通常不会删除数据本身，而只会删除对它的引用，因此不再显示由系统。 

但是，使用一些免费提供的程序可以相对轻松地恢复数据。 合适的删除程序通常会多次覆盖要删除的数据，以便之后无法恢复。

必须使用适当的身份验证来管理对网络组件和管理信息的访问

网络中使用的组件，例如防火墙、路由器、交换机等，必须至少受到安全密码的保护。 如果没有密码或其他安全身份验证，则不得访问这些设备，从而访问其中存储的配置或信息。

备份和灾难恢复

备份和灾难恢复是安全的关键部分。 备份应存储在至少两个或三个不同的位置。 不仅必须保护备份系统，还必须保护已备份的文件，以便您可以在必要时恢复它们。

安全政策和程序

安全政策和程序应详细描述组织的信息资产如何受到保护。 政策和程序应至少每年记录、批准和更新一次。

身体安全

必须严格控制对计算机系统的物理访问。 所有的门都必须锁好，使用门禁卡和钥匙，所有房间都应该光线充足，有足够的自然光来查看信息。

电子安全

所有计算机系统和网络服务都必须有适当的安全措施。 所有用户都应使用自己的登录名和密码。 信息安全政策和程序必须整合到组织的整体风险管理工作中，包括人力资源、物理安全、业务连续性计划和灾难恢复。

结论

最好的计算机安全是通过采用分层的信息安全方法来实现的。 每一层都提供了一组不同的控制，以确保可以安全地访问和使用数据，但每一层都有自己的漏洞。

认识到这些漏洞并应用上述适当的控制措施非常重要。 制定强有力且健全的安全策略非常重要，因为它将有助于保护组织的所有资产。 良好的安全策略将有助于牙科诊所维护安全可靠的网络环境。

牙医应采取必要的预防措施，以保护他们的牙科诊所免受网络犯罪的侵害。 这包括使用强密码、定期更新软件以及对员工进行最佳实践培训。 通过遵循本文中提供的提示，从业人员可以帮助最大限度地降低网络泄露风险并确保患者数据的安全。