牙科网络安全和数据保护:全球威胁

美国牙科协会(ADA)是一个国际权威机构，指导牙医保护个人健康信息(PHI)并保护其成员免受网络威胁。2021年5月26日，ADA为其16.1万名成员发布了一份公告，以提高对影响牙科执业的潜在勒索软件问题的认识。¹在2022年4月21日左右，ADA成为了涉及勒索软件的复杂网络攻击的目标。这扰乱了ADA计算机网络的正常功能，瘫痪了他们的大部分在线服务。大约一周后，ADA得知，一个未经授权的团体，即Black Basta船员，对这次攻击负责，可以访问并可能从ADA服务器窃取数据。²

虽然《美国残疾人法》没有指出哪些数据类型被泄露，但第三方新闻媒体报道称，在暗网上找到了一些泄露的数据。^3.据一位消息人士透露，泄露的数据包括2.8 gb的W2表格、保密协议、会计电子表格和ADA成员的其他个人信息。更令人担忧的是，黑客声称，泄露的数据仅占此次攻击中被盗数据的30%左右。^3.

2022年7月15日，ADA向所有因数据安全事件而信息泄露的个人发出了数据泄露信件。⁴2022年7月17日，几名消费者隐私律师和数据泄露律师为泄露受害者推出了门户网站。他们开始采访受害者，以确定他们遭受了多少损失，以及可以提出哪些法律索赔。⁵

鉴于与网络安全事件相关的严重后果和风险，可以在大多数牙科实践中实施一些措施，以减轻网络安全事件的影响。这些措施包括加强行政和技术保障，聘请专家，并承诺为持续优化防御提供经常性预算。本文将在加拿大牙科实践的背景下，研究用于减轻网络安全风险的战术方法的利弊。

获得网络安全保险

乐趣就像生命保险;年龄越大，花费就越多。-金·哈伯德

牙科诊所发生火灾

所有牙科诊所都有消防安全计划。牙医通过控制牙科办公室中存在的几种火灾风险因素来提高安全边际，以防止办公室火灾。尽管采取了许多预防措施来保证病人和工作人员的安全，但火灾仍然会发生。¹如果在牙科诊所发生火灾，大多数诊所都有火灾保险，以抵消毁灭性事件的成本。^7、8

网络攻击类似于牙科诊所的火灾。这三个基本因素是一个有动机的黑客，一个易受攻击的牙科诊所和互联网连接。（图1就像火灾一样，网络事件发生时是紧急情况，一旦它结束，就会有损害需要应对。在火灾中，人们依靠专业的消防员;之后，人们期望保险公司在恢复烟雾和火灾损失以及帮助恢复损失的收入方面提供指导。所有企业在发生火灾时都需要帮助，今天比以往任何时候都更需要帮助和指导，以应对网络攻击并从攻击中恢复过来。然而，与火灾不同的是，很少有牙科诊所有网络安全保险。

图1

网络安全保险

在今天，确保你的企业为网络事故投保就像火灾保险一样重要。一个主要的区别是，网络安全领域的许多保险公司都扮演着消防检查员、消防部门以及火灾和烟雾恢复专家的角色。在发生网络安全漏洞时，不应首先拨打911，而应首先致电网络安全保险公司。

随着时间的推移，牙科诊所对数字连接的依赖只会变得越来越重要。几乎没有加拿大人幸免于2022年7月8日星期五的全国停电，当时罗杰斯网络遭遇了不明原因的暂时崩溃。对牙医来说幸运的是，电信网络的恢复超出了他们的影响或控制范围。⁹但是，如果针对某个网络的网络攻击发生在牙科诊所或牙科支持组织内部，那么保护PHI的责任就落在了诊所的隐私官身上，¹⁰网络的恢复最终取决于实践的所有者。

鉴于网络攻击正变得越来越复杂，成本也越来越致命，如果没有适当的保险支持，牙科诊所在事故中幸存下来只会变得更加困难。

重要的好处

财产受到损害或破坏的企业通常会从保险中寻求救济，在事故发生后取得了不同程度的成功。与保险提供商建立良好的关系对于应对网络安全事件至关重要。¹¹了解覆盖范围的局限性也是必要的。（表1）

表1

事件响应生命周期显示在图2．值得注意的是，事件的紧急分类是在发现攻击后的几天或几周内的高度反应阶段。然而，这远没有接近事件的结束。攻击的影响和业务恢复可能需要几个月或几年的时间，费用可能是惊人的。¹²

图2

限制

除了与网络保险政策相关的保费成本外，保险公司还可以要求诊所采用某些技术，并通常像信用评分一样评估其风险，但针对的是网络安全漏洞。保险公司在审查赎金成本以及谈判、取证和恢复的间接成本时，会重新评估保费。考虑到网络安全保险市场是多么的新，政策的定价可能是不稳定的。

为了降低事故风险，保险公司通常会提出一些要求，如使用双因素身份验证、投资于端点检测和响应(EDR)工具以及实现安全远程访问。¹³组织正在根据其过去的攻击历史和数据的敏感性进行承保。牙科诊所和医院一样，都是PHI和财务信息的保管者，因此这些数据的保险成本会更高。就像牙科诊所具备灾难性火灾的所有要素一样，它也具有毁灭性网络安全漏洞的关键要素。

牙科诊所必须与保险公司合作，实施控制和流程，以保护患者和员工的数据，并使保费负担得起。通过建立行政和技术保障措施和最佳实践，可以降低患者、牙科团队和保险公司的网络风险。¹⁴

实施行政保障措施

勇气是生命的危险，恐惧也是生命的保障。——达芬奇

有效地管理牙科实践需要不断发展的技能。大多数公司老板不喜欢承担另一个无薪高管角色。然而，在大流行开始时，所有执业业主在其投资组合中增加了首席风险官(CRO)的头衔，以及目前的隐私官职位。首席信息安全官(CISO)是管理网络风险发生根本转变所需的另一个角色。有效地担任所有这些角色的能力具有挑战性，并使患者信息容易受到攻击，网络系统成为攻击者的软目标。

网络攻击越来越有可能——也许是不可避免——的想法已经变成了现实。¹⁵商业领袖们意识到，我们的世界已经相互关联，主要使用的技术是为了共享信息，而不是保护信息。¹⁶在一个重视系统速度而非安全性的生态系统中，信任员工和第三方来处理敏感信息和操作关键基础设施是很常见的。¹⁶这种策略会破坏保护所需数据的能力，从而给组织及其数据带来巨大的风险。

日常活动理论(大鼠)

根据犯罪学家Cohen和Felson描述的常规活动理论(RAT)，当一个有动机的罪犯、一个合适的目标和一个有能力的监护人在时间和空间上重合时，就会发生受害行为。¹⁷（图3缺乏这些要素中的任何一个都足以阻止直接接触的掠夺性犯罪的成功发生。从法医受害者学家的角度来看，受害者可能是有针对性的，也可能是机会主义的。¹⁸

图3

目标受害者是犯罪的主要对象，是由犯罪人的犯罪动机直接造成的。¹⁹选择目标受害者完全是因为他们是谁，他们是什么，他们知道什么，或者他们拥有什么。罪犯还可能故意针对受害者，因为受害者拥有罪犯寻找的信息、物品或贵重物品，例如PHI和一大群人或名人的财务信息。^20.

总部位于德克萨斯州的杰斐逊牙科和正畸公司自称是达拉斯小牛队的“官方牙医”，并报告了一次有针对性的黑客攻击事件，影响了103万人。²¹监管机构担心儿童的牙科和正畸记录被牵涉其中，这些儿童可能成为其他犯罪的受害者，这尤其令人不安。²¹

这一事件还可能危及达拉斯小牛队球员的记录，他们都是这种做法的患者。在社会工程术语中，像职业体育明星这样的目标被称为“捕鲸”，因为他们是财大气粗的大目标。个人(包括员工)出于各种原因访问名人和公众人物的医疗记录的倾向一直在增加。正如后面讨论的那样，最好的方法是对所有患者记录进行有限的访问，这可以通过基于角色的访问和审计日志来实现。

投机取巧的受害者是犯罪行为的附庸。在这种情况下，罪犯的动机是犯罪的欲望，受害者是无关紧要的。²²选择受害者是因为其可用性和脆弱性。2020年4月，美国急诊医师学会(American College of Emergency Physicians)报告了一起恶意软件攻击，影响了该学会的7万多名现任和前任成员，以及其他三个急诊医疗专业组织的成员。^3.这是一次利用内部控制薄弱的机会主义攻击。

RAT的另一个要素是地点，它指的是受害者相对于犯罪者的特定地点。¹⁷它通常是侵犯者和受害者的活动和时间表的功能。然而，在网络事件中，位置是无关紧要的，主要是因为计算机之间的连接是毫秒级的，具有全球覆盖范围。¹⁵

对RAT的主要批评之一是假设犯罪分子的决策是理性的，他们可能不会使用与实施安全措施的人相同的理由。¹⁸他们甚至可能不知道情景犯罪预防技巧。但是，与偷车贼在黑暗的街道上行走时摇晃车门把手来测试车门是否打开不同，数百万次“网络震动”可以在每个社区同时发生，只需很少的努力和成本。

勒索软件攻击仍然是数据泄露的主要原因

勒索软件攻击是网络犯罪分子策划攻击以获取消费者数据的最常见方式之一。根据身份盗窃资源中心(“ITRC”)的数据，从2020年到2021年，勒索软件攻击的数量增加了一倍多，2020年为158次，2021年为321次。¹⁵虽然321次攻击听起来并不可怕，但每一次勒索软件攻击都会影响成千上万的人。⁴ITRC报告称，仅在2021年，勒索软件攻击就使4100多万人受害。

勒索软件攻击已经存在了几十年;然而，近年来，勒索软件攻击的数量与其他网络攻击相比激增。¹³这在一定程度上是因为技术的发展使得网络犯罪分子能够瞄准最有价值的数据类型。¹⁶

在典型的勒索软件攻击中，黑客会在受害者的设备上安装恶意软件。通常，这是通过社会工程攻击实现的，例如电子邮件钓鱼或在组织网站的后端放置恶意代码。恶意软件对设备上的数据进行加密，阻止受害者登录和访问关键的操作信息。²³当受害者试图登录时，他们会收到来自黑客的消息，要求赎金才能重新访问他们的计算机网络。因此，一个有动机的罪犯，一个合适的目标，以及没有一个有能力的监护人可能是目标或机会主义，但在这两种情况下都会造成严重的伤害

首席风险官

图4演示了危机时间线，CRO的影响用红线表示。在危机发生之前，我们有足够的时间和控制来准备和预防危机。然而，在危机期间，管理控制逐渐消失，直到一个可行的解决方案被阐明，取决于威胁首先被识别，然后被遏制。在大流行期间，许多成功的cro使用5c框架指导其业务度过不确定性。同样的5c(关怀、沟通、清晰、冷静和协作)在网络事件中也是必不可少的。使用此框架以及危机事件响应计划或剧本，对危机进行分类并领导团队变得更加易于管理。

图4

CISO

作为临床医生，牙医是处理牙科紧急情况的专家。此外，在牙科诊所管理医疗紧急情况是常规的紧急协议，或“代码”，是实践的。尽管每个牙科团队成员都不愿意对病人实施心肺复苏术，但令人欣慰的是，这是一项可以练习的技能。与临床团队相比，管理团队更是处于网络安全事件的第一线。让团队按照既定的协议进行培训是至关重要的。

应该制定和实践适合组织的剧本。制定这个计划将由首席信息安全官负责;不过，外包这个计划更容易管理。安大略牙科协会(ODA)为会员提供了网络安全响应计划。²⁴

私隐专员/人工智能专员

加拿大隐私专员办公室使用10项公平信息原则概述了组织在个人数据方面的责任。²⁵这一框架使个人有权控制私营部门如何处理他们的个人信息。个人的个人信息“只能用于一个理性的人在这种情况下认为合适的目的”。²⁶患者必须在医疗保健环境中透露广泛和敏感的信息，才能获得个性化和精准的医疗护理。因此，医疗机构有责任遵守《个人信息保护和电子文档法》(PIPEDA)的十项公平原则。²⁷对保护个人隐私至关重要。指定一名工作人员作为隐私事务的主要联系人(隐私官)，并记录办公室将如何处理PHI，包括如何、在哪里、为什么以及数据将保存多长时间，这些都是标准和经过验证的策略。²⁸

隐私官和CISO还应该倡导安全和隐私意识:教导员工和服务提供商有关网络钓鱼、处理和保护PHI，并强调信息安全的重要性。隐私官还制定安全和隐私政策，确保员工受NDA协议的约束，并为事件响应计划提供输入，概述如何识别和解决隐私事件。²⁹

2022年6月16日，加拿大创新、科学和工业部长在下议院提出了C-27法案。^30.该法案旨在更新加拿大联邦私营部门隐私法(PIPEDA)，建立一个新的法庭，并为人工智能(AI)系统提出新的规则。目前，要求组织通过物理、组织和技术安全保障措施保护个人信息，保护级别必须与信息的敏感性成比例。²⁵虽然C-27法案的第1部分和第2部分(与《消费者隐私保护法》和《个人信息和数据保护法庭法》有关)在隐私法领域引起了极大的兴趣，但C-27法案的第3部分首次提出了对加拿大人工智能(“AI”)的监管。

除了严格的现有隐私规则外，人工智能技术“通过使用遗传算法、神经网络、机器学习或其他技术来生成内容或做出决策、建议或预测，自主或部分自主地处理与人类活动相关的数据”将受到监管。《人工智能法案》允许指定一名人工智能和数据专员，并建立一个咨询委员会。一些牙科诊所使用聊天机器人来收集潜在患者的信息，这样做将受到这项立法的约束。³¹由于黑客已经使用假机器人窃取敏感信息，通过牙科网站上的AI收集PHI会对PHI造成另一种严重风险，需要集中关注和监管。³²

限制

要应对最近与网络安全相关的机会性事件的复杂性，从大规模入侵到犯罪集团和民族国家使用勒索软件，需要高超的管理技能。¹⁶纽芬兰和拉布拉多的卫生系统是加拿大历史上最严重的漏洞之一。利用大流行或罗杰斯停机作为诱饵的网络钓鱼攻击提醒我们，动态攻击可以是怎样的。一直以来，作为最类似的医疗保健提供者之一，牙科诊所都在试图通过使用技术与患者“安全地”沟通来挽救他们的业务。

这一旷日持久的变化和动荡时期——再加上合格网络安全资源的严重短缺——为日益敏捷和肆无忌惮的威胁攻击者提供了实施行动的完美条件。¹⁶加上新的立法，运营成本将攀升，培训员工的时间将增加，随着信息共享效率的降低，安全流程将变得更加繁琐。¹³就像人们必须比以往更早到达机场办理安检和值机手续一样，适应我们这个相互关联的世界需要耐心和资源支出，直到创新超越障碍。

实施技术保障措施

随着网络威胁的发展，我们也需要发展。——克里斯托弗·a·雷

牙科诊所的计算机网络日常故障诊断所需的专业技能通常超出了牙医的能力。此外，如果牙医能够管理网络，她最好还是把时间花在治疗病人和外包网络操作的技术方面。然而，保护PHI的责任仍然在牙医身上。正如安全措施对生产力的影响一样，违反PHI是一个非常严重的事件。在美国，过去24个月报告了900多起受保护的无安全健康信息被泄露的事件，影响500多人，民权办公室正在积极调查这些事件。³³在加拿大，新的隐私立法可能会加大对违规行为的惩罚力度。^30.拥有一个管理办公网络的IT团队是一个必不可少的角色。然而，确保PHI受到保护通常是一个不同的角色，并且与IT团队的效率和平稳运行目标相冲突。¹⁶

网络安全团队不同于it团队

需要进行监督，以确保办公室牙科网络的安全。最好将此角色分配给与It团队不同的网络安全公司。这样做可以作为审计，创建当前基础设施和系统的独立评估，并将一些风险转移到测试方。仔细的审计将集中在NIST概述的以下领域^34岁,13总结在表2．

表2

操作技术风险及iomt

医疗物联网(IoMT)是连接医疗设备、硬件基础设施和用于连接医疗信息技术的软件应用程序的网络。³⁵IoMT允许无线和远程设备通过互联网进行通信，从而能够快速灵活地分析医疗数据和故障排除设备。^35、36端点包括明显的技术:移动电话、销售点(POS)系统、数字打印机、智能手表、电器和备用发电机，但也有不太明显的端点:x光机、牙科压缩机、真空系统和病人监护仪。据估计，到2023年，全球将有293亿台联网设备，高于2018年的184亿台，其中26%将存在于商业部门。³⁷

考虑到医疗数据的敏感性和严格的监管规定，³⁸IoMT需要比其他物联网系统更全面的安全基础设施。³⁹在考虑违反操作技术OT的风险时，这一点尤其重要。

操作技术-也称为工业控制系统(ICS) -是用于监控和控制各个部门的工业过程的硬件和软件，包括化工厂，电力公用事业，教育，医疗保健和制造业。¹³对OT的攻击(例如，殖民管道事件)具有难以置信的破坏性，因为它们导致了关键基础设施的完全关闭。从2021年1月1日到2021年11月16日，通信安全机构(CSE)报告了235起针对加拿大受害者的勒索软件事件。⁴⁰这些目标中有一半以上是关键的基础设施提供商，包括能源、医疗保健和制造业部门的提供商。⁴⁰

OT攻击通常是有针对性的攻击，而不是利用已知的载体(如网络钓鱼和利用已知的系统漏洞)对IT网络进行机会主义攻击。¹³由于IT网络和OT网络之间的网络分割较弱，攻击者很容易渗透到OT环境中。

在牙科诊所，攻击者可以在镇静期间访问x光机上的辐射剂量控制器或患者监护单元的控制板。具有wi-fi功能的吸入/压缩机系统可能会被设定为过热和着火的目标。在每个例子中，黑客都可能利用易受攻击的IT-OT细分，对患者和工作人员造成严重伤害。

幸运的是，许多类型的技术可以保护牙科诊所的敏感信息。使用这些技术可以降低PHI的安全风险。然而，这需要时间、专业知识和投资，提高了牙科护理成本。统一的威胁管理策略需要专业的IT人员来安装、监控和维护网络。额外的安全措施往往会降低网络速度，让最终用户感到沮丧。安全与速度之间的平衡必须有利于保护PHI。就像有一个报警系统来保护办公室不受窃贼的侵害一样，管理检测和响应服务提供24/7的网络监控，并有专门的团队随时准备应对攻击的第一个迹象，这可能是未来的方式。

制定剧本

人们总是问我，‘是什么让你夜不能寐?’我说，‘墨西哥辣菜，大规模杀伤性武器，还有网络攻击。——荷兰人鲁珀斯伯格

关系和信息一直是并将继续是成功业务合作的基石。鉴于网络安全领域的动态和快速发展，考虑将部分责任外包给值得信赖的专家是至关重要的，特别是在准备、预防和管理危机方面。

了解你的第一反应者

在牙科诊所，网络安全事件应被视为紧急事件，与任何紧急算法一样，应尽快召集急救人员提供帮助。战术手册将指导团队成员使用哪个通信渠道呼叫谁，因为一些渠道可能会受到攻击。¹¹在网络攻击发生时，事先确定谁是第一响应者是管理紧急情况的关键步骤。

有很多选择，从现有IT服务提供商的扩展服务到专业公司。例如，ODA已与加拿大IT服务提供商IT Weapons合作，以协助ODA成员。²⁴有几家会计师事务所提供网络安全服务，好处是会计师和牙医之间已经就敏感信息建立了关系。^13日12此外，风险管理对会计转移的内在控制很好地保护了PHI。

制定网络安全事件响应计划(剧本)

创建一个剧本，将攻击的类型/描述(勒索软件、社交工程、网络钓鱼、数据泄露等)以及初始响应最小化潜在危害，几乎可以肯定，这将从隔离和遏制受影响的设备以及与用户的通信开始。²⁴这本书的要点在表3．

表3

网络安全威胁应急准备的一部分是教育每个团队成员防止社会工程攻击的重要性。不管预防网络攻击的技术是什么，工作人员的一次不小心点击就可能使办公室瘫痪，危及患者的信息。

限制

在决定与网络安全提供商合作时，了解他们的运营模式至关重要。模型包括人-过程-技术⁴¹（图5)或CIA模式。⁴²（图6)与这些模型保持一致可以帮助牙医理解过程和最终目标，并提供一种共同的语言。⁴³

图5

图6

与网络安全管理服务提供商合作可能意味着失去在业务安全和防火墙方面的一些自主权和透明度;然而，对于忙碌的临床医生来说，这只是为了安心而付出的小代价。成本可能会迅速增加，新系统的实施需要摒弃旧的做法，重新学习更安全的方式来访问相同的信息。这可能会让员工感到沮丧，并在一开始降低运营效率。尽管如此，额外的体积可以与你的新智能手机的保护壳相比:直到手机撞到混凝土上，它才会被欣赏。

制定网络安全预算

网络安全是一个动态的空间。用户每年都面临不同的挑战，因为总是有新的应用程序和数据。
——谢健

上述因素增加了额外的成本，增加了复杂性，降低了牙科实践的效率。然而，未能适应临床医生操作的环境将损害保护患者PHI的能力。这将危及工作场所的安全。就像9/11恐怖袭击后航空安全永远发生了变化一样，网络安全流程也必须不断发展，以应对现代挑战。雇佣外部专家、培训工作人员以及投资更新和加强网络系统的费用是新的年度经常性费用，需要列入预算。¹³另一种选择是不可避免的破坏，可能会使牙科诊所破产。投资网络安全并不能增加实践收入。这意味着最终的受害者是小企业和消费者。应该教育消费者，牙科手术费用上涨的原因是为了保护他们的个人信息。

图7

人们对网络攻击影响的普遍看法通常取决于公司被要求公开报告的内容——主要是窃取个人身份信息(PII)、支付数据和PHI。¹²讨论的焦点通常是与客户通知、信用监控相关的成本，以及法律判决或监管处罚的可能性。但是，特别是当个人身份信息窃取不是攻击者的唯一目标时，其影响可能会更加深远。网络攻击的影响可能持续数年，造成广泛的“隐性”成本——其中许多是与声誉损害、运营中断或专有信息和其他战略资产损失相关的无形影响。¹²

重大网络事件的整体影响会产生广泛的直接和间接无形成本。（图8目前的分诊阶段代价高昂，但长期的努力可能会付出更大的代价。在入侵者被清除，公众监督消失很久之后，网络攻击的影响可能会在多年的时间线上产生影响。随着时间的推移，被盗数据会以各种方式被利用，法律成本可能会不断上升，而且可能需要数年时间才能恢复到事件发生前的增长和盈利水平。¹²

图8

持续员工培训预算

大多数诊所没有大流行应对计划。它们所依赖的业务连续性流程无法解决全球大流行的影响，包括对IT资源的新需求。然而，在大流行的破坏中幸存下来的诊所，比以往任何时候都更有准备地度过下一次大流行。

鉴于目前的应急准备心态，这为投资于工作人员培训和工作人员接受这一想法提供了适当的背景。鉴于最近的数据泄露主要是人为因素造成的，专注于员工培训可能会带来很高的投资回报。最大限度地发挥作用的关键是将其专门针对牙科工作场所，因为PHI在办公室网络内的转移，与保险公司和其他牙科诊所是一个独特的生态系统。就像每两年对员工进行一次CPR重新认证一样，至少每年对员工进行一次关于最佳网络安全实践的培训似乎是明智的。

接收威胁情报

美国牙科协会并不是最近遭受网络事件的唯一牙科行业组织。2021年10月，在15个州拥有牙科诊所的专业牙科联盟(PDA)通知了17万多人一起涉及关联供应商的网络钓鱼事件。⁴⁴2020年10月，代表全美151,000名骨科医生和医学生的美国骨科协会通知了近28,000人有关涉及他们个人信息的数据泄露事件。⁴⁵2019年，多伦多一家牙科诊所成为了名为Ryuk的勒索软件攻击的受害者。⁴⁶攻击者要求支付16.5万美元的赎金，这是该诊所收入的很大一部分，但由于没有保险，也没有补救能力，在许多攻击中，支付赎金似乎是唯一的选择。

阅读主要威胁情报机构和主要新闻媒体的最新报告，明确关注针对医疗保健实践的事件报告，提供了加强社区的学习机会，并有助于防止类似的攻击成功。

MITRE对抗战术，技术和常识(ATT&CK)框架

MITRE ATT&CK框架是一个行业标准，是一个非常棒的资源，可以可视化牙科部门的攻击面，访问现实世界的观察结果，并比较现有技术的强度。⁴⁷（图8)开放的威胁情报社区可以自由加入，并提供持续更新的持续网络发展。例如AlienVault⁴⁸恶意软件信息共享平台⁴⁹(MISP)。特别是，MISP提供了有助于理解的数据可视化。这些网站上的一些情报可能难以为实践所有者和临床医生消化。然而，考虑到这是未来的语言，学习一门新语言或至少雇一个翻译总是有帮助的。

结论

网络犯罪分子已经发现，医疗保健机构拥有大量敏感的个人数据，这使它们成为威胁行为者的诱人目标。这给牙医带来了另一个不必要的挑战。犯罪分子越来越多地把目标对准医院等更脆弱的组织，攻击这些组织可能会危及生命。

虽然网络攻击是通过基于技术的手段进行的，并且可以对基础设施、设备和应用程序造成非常严重的破坏，但主要的损害通常是业务的商誉，而不是其IT资产。事件响应主要不是一项技术工作。调查、分析、清理和修复计算机系统的技术工作被处理病人和第三方关系以及法律事务以及恢复他们在社区中的声誉的努力所掩盖。

总而言之，实施技术和行政保障措施，确保为牙科诊所威胁环境中出现的新网络风险提供足够的保险和预算，将有助于防止事故发生。牙医们都知道，没有预防的治疗是不可持续的，而预防总是比治疗好。

《口腔健康》欢迎这篇原创文章。

参考文献

1. 协会，A.D.保护你的诊所免受勒索。2021;可从:https://www.ada.org/resources/practice/practice-management/protect-your-practice-from-ransomware。
2. Mathews, L.勒索软件罪犯袭击美国牙科协会，2022;可从:https://www.forbes.com/sites/leemathews/2022/04/27/ransomware-criminals-strike-american-dental-association/。
3. 美国牙科协会遭遇破坏性网络事件，2022年;可从:https://www.govinfosecurity.com/american-dental-association-hit-by-disruptive-cyber-incident-a-18976。
4. 美国牙科协会报告了勒索软件攻击后的数据泄露。2022;可从:https://www.jdsupra.com/legalnews/american-dental-association-reports-1269240/。
5. C.数据泄露受害者指南，2022;可从:https://www.myinjuryattorney.com/consumer-privacy-data-breach-lawyers/if-your-information-has-been-compromised-in-a-data-breach/。
6. 研究所，E.外科防火新临床指南。病人可能会着火，以下是如何让他们更安全的方法。健康设备，2009年。38(10): p. 314-32。
7. VanCleave, a.m.，等，涉及牙科手术火灾的因素:文献综述。麻醉师，2014。61(1): p. 21-5。
8. 韦弗，j.m.，牙科椅火灾的预防。麻醉师，2012。59(3):第105-6页。
9. Schwendicke, F.和J. Krois，《牙科数据:数据如何改变临床护理和研究》。J Dent Res, 2022。101(1): p. 21-29。
10. PIPEDA公平信息原则1-问责制，O.o.t.P.C.o加拿大，编辑，2020。
11. 艾哈迈德，我，最佳实践指南，规划和管理。第二版。2021年，加拿大安大略省多伦多:LexisNexis Canada。
12. Emily Mossburg, j.g.， Hector Calzada，在网络攻击的表面之下对商业影响的深入研究。2016年:德勤会计师事务所。
13. Morin, P.，《加拿大网络安全:不断演变的威胁和实际防御》。2021年:均富。
14. 吸毒过量欺诈和身份盗窃意识协会，2020年;可从:https://www.oda.ca/member-resources/compliance/privacy-and-fraud/fraud-and-identity-theft-awareness/。
15. 赛门铁克，互联网安全威胁报告，2019。
16. James Kaplan, c.t.， Adam Tyra，转变网络安全的观点。2019年:麦肯锡公司。
17. 费尔森，M.， M. a .安德烈森，G.法雷尔，《犯罪行为:常规活动理论的作用和影响》。2015年，猎犬，贝辛斯托克，汉普郡;纽约州纽约:帕尔格雷夫·麦克米伦。第二十一卷，273页。
18. 安德烈森，文学硕士，环境犯罪学:进化、理论与实践。2014年，伦敦;纽约:劳特利奇，泰勒和弗朗西斯集团。第十四章，274页。
19. Von Hirsch, A.等人，情景犯罪预防的伦理和社会观点。刑法理论与刑法伦理研究。2000年，牛津大学:哈特。X, 230 p。
20. Walker, S.， C. Spohn, M. DeLone，《正义的颜色:美国的种族、民族与犯罪》。第六版。2018年，波士顿MA: Cengage Learning。Xxi, 570页。
21. NBA球队“官方牙医”称黑客攻击影响了100万人。可从:https://www.healthcareinfosecurity.com/official-dentist-nba-team-says-hack-affected-1-million-a-18770。
22. Hufnagel, S.和A. Moiseienko，犯罪网络和执法:非法企业的全球视角，跨国刑事司法。2020年，劳特利奇，泰勒和弗朗西斯集团，伦敦;纽约。P. 1在线资源。
23. 《什么是勒索软件?》预防和移除的定义、类型、示例和最佳实践。2022;可从:https://www.spiceworks.com/it-security/vulnerability-management/articles/what-is-a-ransomware-attack/。
24. 武器，爆炸物处理，安全事件响应计划，2022年。
25. PIPEDA公平信息原则，O.o.t.P.C.o Canada，编辑，2019。
26. 加拿大，O.o.t.P.C.o，关于不适当数据实践的指南:第5(3)小节的解释和应用，g.o.加拿大，编辑，2018。
27. 个人信息保护和电子文件法，SC 2000, c5。2000.
28. 安大略，R.C.o.D.S.o，指南:电子记录管理，2012:多伦多。
29. PIPEDA公平信息原则6-准确性，o.o.t.p.c.o.加拿大，编辑，2020。
30. 加拿大，p.o. BILL C-27:颁布《消费者隐私保护法》、《个人信息和数据保护法庭法》和《人工智能和数据法》的法案，并对其他法案进行相应和相关的修订。2022;可从:https://www.parl.ca/DocumentViewer/en/44-1/bill/C-27/first-reading。
31. Schwendicke, F.， W. Samek，和J. Krois，牙科人工智能:机遇与挑战。J Dent Res, 2020年。99(7): p. 769-774。
32. Lee, j.w.等，计算机辅助药物设计(CADD)的大数据和人工智能(AI)方法。生物化学Soc Trans, 2022。50(1): p. 241-252。
33. 服务，美国卫生和卫生总局和美国外事办公室权利。泄露门户:致卫生与公众服务部部长的关于泄露不安全的受保护健康信息的通知。2022;可从:https://ocrportal.hhs.gov/ocr/breach/breach_report.jsf。
34. NIST提供了帮助避免勒索软件攻击的提示。2022;可从:https://www.ada.org/publications/ada-news/2021/may/nist-offers-tips-to-help-avoid-ransomware-attacks。
35. Mahajan, h.b.等人，将医疗保健4.0和区块链集成到安全的基于云的电子健康记录系统中。应用纳米技术，2022:第1-14页。
36. 方，H.S.A，等，区块链个人健康记录:系统评价。J Med Internet Res, 2021。23(4): p. e25094。
37. 思科，思科年度互联网报告(2018-2023)白皮书，2020。
38. Joda, T.等人，牙科健康数据:掌握数字挑战的尝试。公共卫生基因组学，2019年。22(1-2): p. 1-7。
39. Carrano, f.m.，等人，区块链在外科:我们准备好数字革命了吗?更新，2022年。74(1): p. 3-6。
40. 网络威胁公报:2021年的勒索软件威胁。2021;可从:https://cyber.gc.ca/en/guidance/cyber-threat-bulletin-ransomware-threat-2021。
41. Digitalcraftsman。网络安全三大支柱:人-过程-技术。2022;可从:https://www.openaccessgovernment.org/pillars-of-cyber-security-technology/132732/。
42. i-scoop。中情局的三位一体是保密、正直和可用性。2021年[引2022年;可从:https://www.i-scoop.eu/cybersecurity/cia-confidentiality-integrity-availability-security/。
43. Cole, S.数据泄露袭击美国牙科患者。2021年[引用于2022年7月23日];可从:https://www.infosecurity-magazine.com/news/data-breach-us-dental-patients/。
44. 麦基，M.K.牙科联盟报告供应商违规影响17万人。2021;可从:https://www.govinfosecurity.com/dental-alliance-reports-vendor-breach-affecting-170000-a-17775。
45. 美国骨科协会通知27,500人关于2020年6月数据盗窃事件。2021;可从:https://www.hipaajournal.com/american-osteopathic-association-notifies-27500-individuals-about-june-2020-data-theft-incident/。
46. 戴格尔，T.“明显上升”:全球勒索软件攻击浪潮袭击加拿大组织。2019;可从:https://www.cbc.ca/news/science/more-ransomware-canada-1.5317871。
47. CISO使用MITRE ATT&CK®框架的5种实用方法。2022;可从:https://www.ironnet.com/topics/mitre-attack-framework?
48. Alienvault。开放威胁交换。2022;可从:https://otx.alienvault.com。
49. M. MISP项目，开源威胁共享平台。2022;可从:https://www.misp-project.org。

---

作者简介

彼得·c·弗里茨是一位无畏的终生全球通学习者。彼得是牙周病医生，科学家，导师和兼职教授在三所大学。他最近完成了MBA和法律学位，专注于区块链，网络安全，创新法律和技术。彼得的学术使命是:“永远不要停止学习，因为你周围的世界永远不会停止教导。”

Charlotte Fritz是均富网络安全业务的风险和取证助理。她是国防与安全妇女组织的成员，热衷于保护人民的安全。她正在多伦多大学(University of Toronto)攻读计算机工程学士学位，主要研究方向是网络安全和人工智能。