改善牙科診所網絡保護的指南

牙科診所越來越依賴技術，隨之而來的是網絡攻擊的風險增加。

保護您的牙科診所免受網絡攻擊的第一步是了解風險。 本指南旨在幫助實踐人員識別潛在風險並製定適當的網絡安全計劃。 網絡犯罪分子變得越來越狡猾，能夠利用包括網絡釣魚、惡意軟件和勒索軟件在內的各種技術，更好地針對易受攻擊的牙科診所。 這些攻擊可能會在數年內不被注意到，直到實踐受到損害。

但是，可以通過採取一些簡單的步驟來降低網絡攻擊的風險。 本指南將提供一些實用的網絡安全建議，您可以立即實施以保護您的數據。

牙科診所最常見的威脅是什麼？

根據本 波尼蒙研究所，2017 年數據洩露的平均成本為 3.62 萬美元。 波奈蒙研究所還報告稱​​，醫療保健行業遭受的網絡攻擊是其他行業中最多的。 牙科診所無法免受網絡攻擊和數據洩露的影響。

事實上，一項研究 身份盜竊資源中心 研究發現，2021 年數據洩露總數（1,862 起）比上一年增加了 68% 以上。 這比 2017 年創下的歷史新高（1506 例）再創新高。 自 2020 年起，與勒索軟件相關的網絡犯罪在隨後的幾年中翻了一番。按照目前的發展速度，勒索軟件攻擊預計將在 2022 年超過網絡釣魚，成為數據洩露的主要原因。

以下是牙科診所常見網絡威脅的示例：

電子郵件傳播的惡意軟件

大約 30% 的數據洩露是由電子郵件傳播的惡意軟件引起的。 此類惡意軟件可以從網絡釣魚網站下載，並且惡意軟件可以通過電子郵件附件或鏈接感染計算機。

網絡釣魚攻擊

網絡釣魚攻擊也稱為“魚叉式網絡釣魚”攻擊，是一種試圖通過發送看似來自合法來源的電子郵件來獲取密碼、信用卡號和個人身份識別號碼等敏感信息的行為。

勒索

隨著針對牙科診所的網絡犯罪分子的威脅，勒索軟件攻擊變得越來越普遍。 這些攻擊更有可能影響沒有強大計算機技術的小型辦公室和實踐，因為它們可能難以檢測和修復。

間諜軟件惡意軟件

這可以通過 USB 閃存驅動器和其他便攜式媒體傳播。 它可以通過受感染的電子郵件附件或鏈接安裝。

惡意瀏覽器擴展

這種惡意瀏覽器擴展通常是一種廣告軟件，它會隱藏 URL 欄並用廣告、重定向或其他不需要的廣告替換它。

病毒

病毒是一種惡意軟件，它可以通過損壞文件、通過網絡傳播甚至更改操作系統來對計算機或電子設備造成損壞。

蠕蟲

蠕蟲病毒是一種惡意軟件，通過在 Internet 上的其他計算機上複製自身來進行傳播。 可以編寫蠕蟲來利用安全漏洞，並使用社會工程策略、網絡利用技術或通過電子郵件進行傳播。

牙科診所保護數據的最佳實踐方法

使用安全應用

僅從官方商店下載和使用應用程序。 如果不再需要，請完全刪除應用程序。

由於官方應用商店（Apple App Store 或 Google Play Store）在允許提供應用程序之前至少要對其進行一定程度的控制，因此包含安全風險的可能性要低得多。 

但是，僅將您真正需要的應用程序加載到您的設備上，並儘可能徹底地卸載不再需要的所有應用程序。

始終安裝當前的應用程序版本

始終及時安裝更新以避免漏洞。

就像操作系統一樣，除了新功能之外，更新通常還包含最新的安全補丁，以便可以彌補之前可能存在的任何安全漏洞。

本地應用數據的安全存儲

僅使用加密文檔並將其保存在本地的應用程序。

請注意，如果可能，雲中不會存儲任何數據。 創建移動設備的備份，並使用操作系統提供的選項創建加密備份，並僅將其保存在您自己控制的設備上。 避免使用雲中的備份，即使它們以加密形式提供。

不要通過應用程序發送機密數據

為了防止可能的機密數據意外流出，請使用盡可能嚴格的數據保護設置，其中對智能手機上其他敏感數據的不受控制的訪問（例如，對地址簿的一般訪問以及所有存儲的聯繫人數據、照片）專輯等）不可能可以阻止，不得使用。

例如，這也適用於常見的通訊工具和社交媒體應用程序。

沒有個人數據的雲存儲

不使用 Office 產品中集成的雲存儲來存儲個人信息。

再次強調，不要使用雲存儲。 特別是當涉及個人數據時，如果沒有法律依據和其中定義的規範，則不得將這些數據存儲在雲端。

Web 應用程序的身份驗證

僅使用嚴格保護您的訪問安全的互聯網應用程序（登錄頁面和流程、密碼、用戶帳戶等）。

為此，至少應該使用用戶名和密碼進行登錄保護。 如果提供此功能，他們應該激活所謂的“雙因素身份驗證”，除了輸入密碼之外，還需要第二個安全功能。 這通常是通過單獨的應用程序發送到之前指定的可信設備（智能手機、平板電腦、PC）的 PI​​N，或者作為短信發送到您之前存儲的手機號碼。

一種特別安全的方法是通過智能卡（例如電子牙醫卡、ZOD 卡、SMC-B）進行註冊，這也代表雙因素身份驗證，因為一方面擁有適當的智能卡，另一方面需要關聯的 PIN。

請勿設置或允許自動訪問或調用 Web 應用程序

對互聯網的訪問應始終經過深思熟慮和控制。 因此，在任何情況下都不允許下載的應用程序或其他應用程序自動訪問Web應用程序。

管理每組人和每人的權限和訪問

在網絡中共享文件夾時要特別注意明確的分配。 僅分配對人員或組絕對必要的文件夾，並進一步限制分配的文件夾。 確定個人或團體擁有哪些權利（讀、寫、刪除……）。

每次使用可移動數據載體時，都必須使用最新的保護程序檢查是否存在惡意軟件。

如果您使用可移動介質（例如 USB 記憶棒），請在每次使用前使用計算機上安裝的病毒防護軟件對其進行檢查，尤其是在不同系統之間交換它們時以及在傳遞它們之前。

使用後務必安全、徹底地擦除數據載體。 您的計算機為此提供了多種選項

根據所使用的操作系統，您可以在此處有多種選擇。 借助其他特殊應用程序，可以執行可能需要的更密集的刪除，因為“正常”刪除過程通常不會刪除數據本身，而只會刪除對數據的引用，從而不再顯示數據由系統。 

但是，使用一些免費程序可以相對輕鬆地恢復數據。 合適的刪除程序通常會多次覆蓋要刪除的數據，以致以後無法恢復。

必須使用適當的身份驗證來管理對網絡組件和管理信息的訪問

網絡中使用的組件（例如防火牆、路由器、交換機等）至少必須受到安全密碼的保護。 如果沒有密碼或其他安全身份驗證，就不可能訪問這些設備以及存儲在那裡的配置或信息。

備份和災難恢復

備份和災難恢復是安全的關鍵部分。 備份應存儲在至少兩個或三個不同的位置。 不僅必須保護備份系統，還必須保護已備份的文件，以便您可以在必要時恢復它們。

安全政策和程序

安全策略和程序應詳細描述如何保護組織的信息資產。 政策和程序應至少每年記錄、批准和更新。

人身安全

對計算機系統的物理訪問必須受到嚴格控制。 所有門必須鎖好，應使用門禁卡和鑰匙，所有房間應光線充足，有足夠的自然光以查看信息。

電子安全

所有計算機系統和網絡服務都必須有適當的安全措施。 所有用戶都應使用自己的登錄名和密碼。 信息安全政策和程序必須整合到組織的整體風險管理工作中，包括人力資源、物理安全、業務連續性規劃和災難恢復。

結論

最好的計算機安全是通過採用分層的信息安全方法來實現的。 每一層都提供了一組不同的控制，以確保可以安全地訪問和使用數據，但每一層都有自己的漏洞。

重要的是要認識到這些漏洞並應用上面分享的適當的控制措施。 制定強大而健全的安全策略非常重要，因為它將有助於保護組織的所有資產。 良好的安全策略將有助於牙科診所維持安全可靠的網絡環境。

牙醫應採取必要的預防措施，保護他們的牙科診所免受網絡犯罪的侵害。 這包括使用強密碼、定期更新軟件以及對員工進行最佳實踐培訓。 通過遵循本文中提供的提示，從業者可以幫助最大限度地降低網絡洩露的風險並確保患者數據的安全。