27 views

云计算方向:医疗数据通过云计算可以变得更安全

By | 2019年1月31日

在过去几年中,云计算已经从医疗服务提供商的选择逐渐变成了商业需求。通过将数据管理外包给云服务公司,医院可以释放自己的技术人员,从而更接近核心竞争力。

微软首席医疗官西蒙科斯在最近的一次采访中说:“微软与公共云基础设施一同出现,似乎不太可能出现医疗保健,敏感的数据工作量。” “医疗保健组织将这些信息放入公共云并信任它的整个概念似乎与数据的敏感程度和行业合规性不一致。”

“自2016年以来,我们已经走了很长一段路,”科斯继续道。“现在,我们以合规的方式在公共云中广泛部署敏感数据,随着大型超大规模云计算提供商参与市场竞争,我们看到存储和计算成本正在下降。”

尽管如此,对于考虑迁移到云的医院来说,安全仍然是一个问题。保持生物识别数据安全是高风险的。

如果客户的信用卡信息或密码遭到入侵,他们可以获得新的信用卡并制作新的密码。但是,如果健康数据受到损害,它将永远受到损害:患者不能改变他们的过敏,血型或病史。

云更安全吗?

MobiHealthNews的大多数专家都在谈到这个故事,他们同意这些日子,所有其他事情都是平等的,转移到云端是安全的一步。

微软全球健康首席信息安全官赫克托罗德里格兹说:“基于云的解决方案已经成熟到比单独的本地服务器解决方案更安全的地步。” “现实情况是,这些解决方案在正确集成后,应该并通过增加额外的安全和监控层来加强企业的整体网络安全态势。”

当然,这并不意味着所有云解决方案都比所有本地解决方案更安全。许多其他因素都有所贡献,例如所涉团队的质量。

“大约有三到四次公开调查,谈到这样一个事实,即从现有的知情和专业人士那里,情绪化的是,开箱即用的云提供商比在内部部署解决方案更安全,”Vincent云安全联盟的企业安全专家Campitelli说。

“如果你有一个由一个称职的专业人士组成的内部部署数据中心,而不是一个由同类专业人士本地运营的云环境,那么你将在云端拥有比你更好的软件安全环境 – 前提,“他补充道。

但是因为云提供商可以专注于安全性,而内部团队有很多责任,所以他们有优势。

“云解决方案往往更安全,因为大型基础设施通常会使用最新的补丁和安全措施进行更新,而’closet-IT’或内部部署解决方案可能没有同样的关注度,”Atlantic.Net创始人兼首席执行官Marty普拉尼克说。

“这很大程度上取决于你所拥有的团队,以及他们所拥有的资源,以便处理所有IT项目,”他继续道。“此外,云更倾向于更主动地应对更新的安全威胁,因为它们能够在通常向公众发布之前获得补丁/更新。”

罗德里格斯回应了同样的情绪。

“云计算组织首先是安全提供商 – 它是云解决方案的关键部分,并且由受过高度训练的安全专业人员进行主动监控,”他说。“大多数组织都没有资源或培训来自行完成这项工作。”

Campitelli再次提出了一个关于信任大型云供应商的警告。

“具有讽刺意味的是,从一般的风险角度来看,如果我在10个不同的数据中心拥有10,000个医疗设备,那么我必须考虑这些数据中心的安全性,但是任何人都不可能获得访问所有10个数据中心,“Campitelli说。

“但如果我决定整合并将所有东西放在一片云中,事实上我将所有东西放在一个地方,这会把我所有的鸡蛋都放在一个篮子里,这会增加我的风险,”他补充说。“现在,对于想要瞄准这些医疗设备的人来说,一个云就成了一个更大的目标。”

他说,防范这种风险的最佳方法是让组织抵制在敏感数据方面宣传迁移到云的冲动。

“有需要知道的人,他们必须签署保密协议,”他说。“但为什么要把它放在你的Facebook页面上?为何将其宣传为营销策略?为什么告诉大家呢?如果你把所有的黄金都搬进了一个银行金库,你会告诉你所有的朋友吗?“

如何确保您的云安全

尽管云平台通常被认为是安全的,但是关注数据安全性的组织不应只满足于调用云提供商并将其称为一天。组织 – 特别是医疗保健组织 – 需要采取许多额外措施来覆盖其基础并尽可能保证患者的数据安全。

首先,有很多云提供商可供选择。Campitelli解释说,与任何购买一样,权衡往往在成本和质量之间。

Campitelli说:“在任何人群中都会有一些非常好的异常值,而且有些异常值非常糟糕。” “你想确保当你选择供应商时,你并没有选择那个处于人口底线范围内的供应商。……他们甚至没有生意,但你正在和他们签约。“

“你认为你正在获得安全合规等服务,但他们从未发布过第三方报告或评论,”他继续道。“你无法了解他们的表现如何。没有标准普尔指数,没有第三方表示他们达到了预期,或者有一个黄金标准可以衡量它们。如果没有这种可见性,那么当你签署这份协议时,你只是希望能够做到最好。“

他举了一个Code Spaces的例子,这是一家云计算公司,最终在被黑客攻击后宣布破产。客户从未获得过他们的数据。

在找到一家信誉良好的供应商后,医疗保健客户应该睁大眼睛。

罗德里格斯说:“在与云提供商合作时,客户不应将云解决方案视为黑盒子。” “他们需要了解该解决方案如何提供安全性,隐私和合规性功能,以及客户如何使用安全工具,审计日志或其他自动化机制来衡量和监控这些功能。”

他们还需要精明地制定满足其所有特定安全需求的协议。

对于Puranik来说,使用云提供商具有包括基本安全性的优势,因为成本“可以在数千台服务器而不是少数服务器上摊销”。

“缺点是你的团队需要确保他们更进一步遵守所需的合规性,而不仅仅是如果他们不符合要求的标准就依赖云提供商安全套件,”Puranik说。

“例如,云提供商可能会提供加密存储,但使用此产品的公司的IT人员必须使用最佳做法保护访问加密存储的服务器,以便数据不会被弱的帐户或没有密码,“他补充道。

当然,对于医疗保健公司而言,最重要的安全需求仍然是符合HIPAA,或者与一个国家的等效法规无关。

“与云提供商合作,实施所需的控制,使您能够满足监管要求,例如HIPAA,”Rodriguez说。“确保他们将根据您当地的法规(针对非美国医院)签署HIPAA商业伙伴协议或其他合同工件。

“并确保您的数据(受保护的健康信息和其他数据资产)始终是您自己的 – 云提供商不会将您的数据用于销售,营销或研究等自身目的,”他补充说。

对坎皮泰利来说,最后一步是组织经常忘记的一步。

“你需要持续监督能力,以确保你的供应商仍然提供你所支付的服务和安全水平,”Campitelli说。“对我而言,最’aha’的时刻是,组织需要明白,一旦做出决定,这就是你们关系和治理责任的开始,而不是结束。”

“所以那里有隐藏的成本,因为你需要有合适专业知识的人继续监控这种关系,并确保他们继续提供你所支付的服务水平,”他补充说。

数据安全是一场持续的战斗

与云供应商保持持续,积极关系的一个充分理由是,安全威胁的性质 – 以及防御 – 不断发展。

“这只是一场持续的战斗,”医疗保健软件公司Lumeon的产品和营销副总裁Rick Halton说。“我们正在为我们的数据库技术引入新的加密技术,以保护患者可识别的信息。”

“有一些新的技术可以像基于表格的加密一样,以及将患者可识别信息与其他临床信息分开的能力。因此,我们在整个路线图中不断发展,“他补充道。

Puranik指出,Veeam和Zerto新公司在过去几年中为了保护公司免受勒索软件的侵害而蓬勃发展。罗德里格斯指出,云供应商也在积极开发新的防御措施,以便比不良行为者领先一步。

“人工智能和数据驱动的安全监控与行为分析的结合使得基于云的安全性更加有效,”他说。“一个很好的例子是微软的集成智能安全图,它每天收集数十亿个数据点,并使用人工智能和机器学习来分析和识别不断变化的网络安全攻击和其他恶意网络行为。”

发表评论

电子邮件地址不会被公开。 必填项已用*标注