資訊
頻道
當(dāng)前位置:首頁 > 醫(yī)療器械資訊 > 行業(yè)資訊 > 醫(yī)療保健行業(yè)面臨的云安全風(fēng)險(xiǎn)

醫(yī)療保健行業(yè)面臨的云安全風(fēng)險(xiǎn)

文章來源:企業(yè)網(wǎng)D1Net發(fā)布日期:2018-05-24瀏覽次數(shù):424

醫(yī)療行業(yè)一直專注于數(shù)據(jù)安全。這是由于醫(yī)療機(jī)構(gòu)必須存儲(chǔ)大量敏感數(shù)據(jù),并遵守嚴(yán)格的合規(guī)規(guī)定。他們別無選擇,只能將安全作為重中之重。

可以理解的是,他們一直對(duì)可能使數(shù)據(jù)處于風(fēng)險(xiǎn)中的新興技術(shù)(其中包括云計(jì)算技術(shù))持懷疑態(tài)度。

但時(shí)代在變,醫(yī)療行業(yè)也在發(fā)生變化。20181月,英國(guó)大的醫(yī)療服務(wù)提供商National Health Service(NHS)被允許擴(kuò)大其采用云計(jì)算服務(wù)的應(yīng)用范圍,以存儲(chǔ)其患者數(shù)據(jù)。

根據(jù)2018Netwrix云安全深度報(bào)告”,84%的醫(yī)療機(jī)構(gòu)已經(jīng)將數(shù)據(jù)存儲(chǔ)在云中,但NHS是個(gè)進(jìn)行這種正式擴(kuò)展的醫(yī)療保健組織。

盡管NHS的決定是受到云計(jì)算優(yōu)點(diǎn)所驅(qū)動(dòng),例如更好的數(shù)據(jù)安全性,降低的運(yùn)營(yíng)成本,但從IT人員角度來看,其實(shí)際應(yīng)用情況還有待觀察。

Netwrix公司的調(diào)查表明,只有19%的企業(yè)表示在采用云計(jì)算服務(wù)之后,他們的安全性有所提高。事實(shí)上,大部分受訪者都不確定云采用對(duì)其業(yè)務(wù)安全產(chǎn)生的影響,或者認(rèn)為此舉實(shí)際上降低了他們的整體安全態(tài)勢(shì)。

醫(yī)療保健行業(yè)主要關(guān)注的云計(jì)算問題

2017年,惡意軟件的滲透和攻擊持續(xù)增長(zhǎng),勒索軟件是常見的攻擊之一。據(jù)報(bào)道,在全球,組織平均每40秒就受到一次勒索軟件的襲擊。醫(yī)療保健提供商是惡意軟件的主要目標(biāo),這些惡意軟件其中包括NotPetya,WannaCryLocky等變種。

勒索軟件WannaCry對(duì)NHS的襲擊導(dǎo)致37%的業(yè)務(wù)受到影響,并取消了數(shù)千個(gè)醫(yī)患預(yù)約和診療業(yè)務(wù)。盡管NHS沒有支付勒索贖金,但是在取消預(yù)約、聘用IT顧問、系統(tǒng)停機(jī),以及聲譽(yù)和組織宣傳方面,確實(shí)損失了多重隱性成本。而調(diào)查研究反映了這一點(diǎn),61%的醫(yī)療機(jī)構(gòu)擔(dān)心惡意軟件滲透。

該調(diào)查還發(fā)現(xiàn),醫(yī)療保健是一個(gè)將數(shù)據(jù)加密作為云端安全問題的行業(yè)。醫(yī)療合規(guī)標(biāo)準(zhǔn)通常要求數(shù)據(jù)加密。

其副作用是數(shù)據(jù)加密可能讓醫(yī)療保健提供商的云賬單成倍增長(zhǎng)。因此,較小的醫(yī)療機(jī)構(gòu)(尤其是私有醫(yī)療機(jī)構(gòu))往往會(huì)抵制云遷移,或者至少避免將需要受到保護(hù)的健康信息(PHI)存儲(chǔ)在云中。

醫(yī)療保健組織將內(nèi)部員工的行為列為云安全的大風(fēng)險(xiǎn),超過50%的受訪者表示人為因素起著重要的作用。盡管如此,只有21%的醫(yī)療保健機(jī)構(gòu)表示完全了解他們的IT員工在云中所做的工作,卻很不了解業(yè)務(wù)用戶的活動(dòng)。

事實(shí)上在調(diào)查研究中,所有行業(yè)中對(duì)內(nèi)部參與者的總體可見度是低的。很多企業(yè)認(rèn)識(shí)到了這種不匹配,但其中大多數(shù)沒有得到必要的管理支持來解決這個(gè)問題。只有一半的受訪者表示他們獲得組織高管理層的支持來實(shí)施云安全措施。

提高云計(jì)算安全性的措施

不到三分之一的受訪公司表示計(jì)劃增加安全解決方案,以提高其應(yīng)對(duì)云計(jì)算風(fēng)險(xiǎn)的能力。組織管理人員的支持不足,使得IT預(yù)算無法購(gòu)買額外的安全軟件或招聘經(jīng)驗(yàn)豐富的云計(jì)算專業(yè)人員。相反,他們不得不采取成本更低的措施,例如改善員工培訓(xùn)和加強(qiáng)安全政策。

表面上看,這些策略可能看起來像是對(duì)與員工相關(guān)的高度安全風(fēng)險(xiǎn)的有效回應(yīng)。然而,用戶活動(dòng)的可視性差使其無法衡量成功,大多數(shù)IT團(tuán)隊(duì)根本無法確定改進(jìn)的培訓(xùn)和更嚴(yán)格的政策是否有所成效。而且,如果組織依靠員工來做正確的事情的話,那就需要對(duì)員工進(jìn)行相關(guān)的技術(shù)和安全的培訓(xùn)。

而組織采用的長(zhǎng)期安全策略是不可替代的。

云安全趨勢(shì)

NHS的云計(jì)算決策預(yù)示著醫(yī)療行業(yè)采用云計(jì)算活動(dòng)的增加,無論安全問題還是管理層的支持不足。大約69%的被調(diào)查組織已經(jīng)計(jì)劃將更多數(shù)據(jù)轉(zhuǎn)移到云端。

目前,醫(yī)療保健仍然是調(diào)查中的一個(gè)技術(shù)保守行業(yè)。只有23%的組織計(jì)劃采用更廣泛的云服務(wù)。直到云計(jì)算提供商開始提供更先進(jìn)的方法來解決數(shù)據(jù)安全問題,并幫助進(jìn)行合規(guī)性審計(jì)時(shí),大多數(shù)受訪者將繼續(xù)對(duì)云采用持謹(jǐn)慎態(tài)度。

總而言之,就云采用而言,NHS公司對(duì)于醫(yī)療保健行業(yè)的云應(yīng)用是一個(gè)例外。在將其受保護(hù)的健康信息存儲(chǔ)在云中之前,大多數(shù)私有醫(yī)療服務(wù)機(jī)構(gòu)都在等待條件成熟。

而錯(cuò)誤的代價(jià)太高,尤其是當(dāng)大多數(shù)IT部門不能全面了解用戶活動(dòng)時(shí)。數(shù)據(jù)加密成本的降低可能會(huì)鼓勵(lì)小型醫(yī)療服務(wù)機(jī)構(gòu)采用云計(jì)算服務(wù)。

目前提供的云安全服務(wù)已經(jīng)超過了許多中小型公司的能力,并提供足夠滿足合規(guī)審計(jì)人員的安全保護(hù)。

總之,隨著云安全技術(shù)和措施的成熟,越來越多的醫(yī)療服務(wù)提供商采用云服務(wù)。云計(jì)算更容易遵守法規(guī),并將有助于醫(yī)療機(jī)構(gòu)更專注于服務(wù)病人。