すべての侵害は、罰金、訴訟、そして二度と戻ってこない可能性のある患者に直面する実際の歯科医院を表しています。何が起きているのか、なぜ起きているのか、そして貴院でどう防ぐかをご説明します。
最近の執行措置から学ぶべき歯科データ侵害の代表例2件です。
教訓: 複数拠点を持つグループは高価値なターゲットです。共有バックオフィスサーバー1台が全拠点を同時に危険にさらす可能性があります。診療所の分離とレコード単位の暗号化キーが第一の防御線となります。
教訓: ランサムウェアは個人診療所にとって依然として第1位の侵入経路です。すべてのアカウントへのMFAと暗号化されたバックアップは必須事項です。
すべてのIntake.Dentalアカウントに標準搭載される6つの保護レイヤー。
すべてのPHIフィールドには独自のAES-256-GCMデータ暗号化キーが付与され、さらにGlyph Cipher多言語レイヤーでラッピングされます。両レイヤーともすべてのアカウントに含まれています。1つのレコードが漏洩しても、データベースの残りは保護されたままです。
レコード単位の暗号化キーにより、サーバー侵害がデータベース侵害に直結しません。攻撃者は各レコードを個別に破る必要があります。
役割ベースのアクセス制御、MFA、自動セッションタイムアウトをすべてのアカウントに実装。スタッフは自分の役割に必要なデータのみ閲覧できます。
すべてのPHIの読み取りと書き込みに対して、IPとユーザー識別情報を含む追記専用のタイムスタンプ付きアクセスログ。コンプライアンス監査用にエクスポート可能です。
テナント固有の暗号化と行レベルセキュリティにより、最悪のアプリケーションバグが発生しても、他の診療所のデータが見えることはありません。
すべての診療所と締結する事業提携契約書(BAA)と、オンコールローテーションに組み込まれた72時間インシデント通知ランブック。
