现在是时候认真看看医疗保健云安全了

现在是时候认真看看医疗保健云安全了

医疗保健云的发展令人难以置信，成为健康信息技术（HIT）中越来越重要的元素。 HIT云变得更加突出的原因有很多，例如研发和协作。

由于云计算如此迅速地扩展，这可能是重新考虑安全性的好时机 - 这意味着要了解威胁，审查最佳实践并提高对紧急方法的认识。

salesforce商务云
1.了解云只会越来越大。
Orbis Research最近预测，医疗保健云市场将从2018年到2023年以18％的复合年增长率（CAGR）增长。

根据Mordor Intelligence的数据，从2018年到2023年，市场将以18％的复合年增长率增长。

云已成为医疗行业中更常见的IT战略的原因有很多，其中包括：

医疗保健研发 - 根据Orion的研究，研究和开发是云增长的关键驱动因素之一。
可扩展性 - 可扩展性是云的基础，可实现一致的管理，同时降低低效率和瓶颈。它使您能够无缝扩展，并保持您准备根据需要收缩以应对经济衰退或您无法控制的其他市场条件。
投资减少 - Mordor报告指出，医疗保健组织并不想在IT方面投入太多资金。云是运营支出（OPEX），而数据中心是资本支出（CAPEX）。
协作 - 随着协作能力的增强，创造了更多的机会，观察Karin Ratchinsky。云本质上是协作的，因为它允许成熟公司与初创公司或独立开发团队合作，以便在经济实惠，灵活且安全的解决方案中提供他们所拥有的任何业务需求（特别是当云托管在符合SSAE-18标准的数据中心时）。
由于上述所有原因，行业内的医疗保健提供商，计划和其他公司希望充分利用云。

2.接受安全至关重要。
虽然云的这些优势当然对组织有吸引力，但安全性也必须成为关键问题。特别是由于合规性和责任问题围绕着这些关键数据，行业内的组织应关注常见的违规行为：2017年有560万名患者受到477次医疗保健违规行为的影响，根据年终违规报告Protenus。

此外，还说明了去年的NetDiligence网络索赔研究中，卫生部门违规行为的普遍程度以及成本是多少。

首先，医疗保健占违规总成本的28％，尽管它只占网络保险索赔的18％。平均医疗保健违规成本为717,000美元，而总体平均水平为394,000美元。

3.遵循医疗保健安全最佳实践。
鉴于令人难以置信的数字，迫切需要防止违规行为。为了保护您的医疗保健云（其中大部分适用于电子保护健康信息或ePHI的安全性，在任何环境中），您需要采取技术步骤，例如在传输和静止时加密数据;监控和记录所有访问和使用;实施数据使用控制;限制数据和应用程序访问;保护移动设备;并备份到异地。还要执行以下操作：

使用强大的业务伙伴协议（BAA） - 业务伙伴协议对于创建强大的云安全性绝对必不可少，因为您需要确保云服务提供商（CSP）负责您无法执行的数据处理方面适当控制。很明显，当您查看美国卫生与人类服务部（HSS）的HIPAA云参数中的重点是多少时，业务伙伴协议是合规性的核心问题。
专注于灾难恢复和升级 - 确保所有云提供商都拥有强大的灾难恢复方法，云标准客户委员会（CSCC）报告云计算对医疗保健的影响。还要确保他们将通过更新和升级您的系统进行适当的维护，以使其与开发安全性和HIPAA合规性标准保持同步。
执行常规风险评估 - 作为HIPAA合规性的一部分，您和云提供商必须执行与处理ePHI的任何系统相关的风险评估。风险分析对于积极主动保护至关重要。通过此过程，您可以确定您的业务伙伴可能缺少的内容以及您的培训可能不足，以及识别任何其他漏洞。
优先考虑培训 - 在考虑合规性和安全性时，很容易获得技术和专注于数据系统。然而，事实是员工是一个主要威胁：人类可能会意外地危害ePHI和其他关键数据。人是整个行业的主要威胁，但它们在医疗保健方面具有特别重要的风险。培训是保护医疗数据免受数据丢失软件即服务（SaaS）公司Digital Guardian保护的技巧之首。
首先，为您的员工提供大量的安全培训似乎是一项不必要的麻烦。然而，这一过程“为医护人员提供了做出明智决策所需的必要知识，并在处理患者数据时采取了适当的谨慎态度，”Digital Guardian的Nate Lord指出。

4.重新评估安全性。
除了满足传统的数据保护参数之外，如果威胁越来越具有挑战性，您如何才能提高安全性？以下是许多医疗保健组织已经考虑或已经实施的安全方法：
部署区块链 - 医疗保健组织最近一直处于区块链的测试阶段。根据Health Data Management的数据，到2020年，五分之一的医疗保健组织将使用这项技术积极开展患者身份和运营管理工作。
自动化 - 考虑云服务器时，应将安全性集成到架构的持续部署中。通过将DevOps实践与安全方法相集成，您可以更快地引入新软件，更快地进行更新，并通常可以提高可靠性。 “应该将自适应安全架构与管理工具集成在一起，使安全设置成为持续部署过程的一部分，”数据中心期刊的David Balaban指出。
利用AI威胁情报 - 人工智能和机器学习将越来越多地用于保护组织免受社会工程攻击。社会工程和网络钓鱼的真正问题是人为错误;这些攻击随着勒索软件一直在增长，所以这个问题在医疗保健领域是巨大的。然而，安全大道的乔伊·坦尼指出，人工智能可能会得到拯救。
这些技术可用于威胁情报工具，以利用基于证据的知识来洞察威胁的演变过程。通过这些系统，您可以找出如何最好地设置防御，以保证您的网络安全，并随着时间的推移。

虽然大多数公司显然认为威胁情报是安全的重要组成部分，但他们无法充分利用它，因为它们无法正确管理这些系统生成和吸收的数据量。

因此，威胁数据的广度本身就是对组织的威胁。虽然使用威胁情报平台既困难又复杂，但它们对于保护医疗机构非常重要。 HIT基础设施的Elizabeth O’Dowd指出，威胁情报的一个有趣之处在于它依赖于信息共享和社区支持。

监控您的基础设施 - 更强大的基础设施监控正在增加，Balaban指出。必须重新配置虚拟网络和防火墙。组织还必须关注如何在发生漏洞时控制攻击，而不是简单地阻止访问。您应该阻止未经授权的连接工作，并防止未经授权的工
解决物联网问题 - 要在整个云中实现真正的合规性和数据安全性，您需要查看硬件，确保您的工作范围涵盖所有连接的设备 - 包括物联网（IoT）中的所有内容。
范例从安全摄像机到血压监视器。联邦调查局（FBI）实际上刚刚发布了一份关于保护物联网系统的报告。对于连接设备安全性，以下是该局的建议：

从默认值修改您的登录凭据，以便它们既复杂又独特（即，不在别处使用）。
定期运行防病毒。确保它保持更新，以便了解紧急威胁。
确保在安装了修补程序的情况下更新设备本身。
更改网络防火墙设置，以禁用端口转发并阻止未经授权的IP通信。
5.保持最新状态。
改变并不容易;然而，它是强大防守的必要组成部分。通过确保您遵循当前的安全最佳实践并了解安全领域的新趋势，您可以随着威胁的不断发展做好更充分的准备。

最重要的是，继续告知自己和您的员工更有力的保护。纳尔逊曼德拉曾说：“教育是你用来改变世界的最有力的武器。”

也许，出于同样的原因，它可以用来提高医疗保健的最强大武器。