随着生活水平的提高,各个国家中健康行业的GDP所占比率也在不断提高。数字化医疗是随着信息技术的发展从60年代的医院管理程序,到电子健康档案,再一路到当下集成物联网,云技术,大数据和AI的智慧医疗。
数字化转型彻底改变了医疗健康产业,随着云计算和大数据分析的蓬勃发展,以及以消费者为中心的医疗体系的转变,医疗健康服务正在重塑。不久前医疗设备还是没有任何网络连接的独立设备,如今的医疗设备不仅有网络连接,而且还常常接入云端。这些先进技术通过与云计算结合,使我们现在拥有了庞大的数据集。这些数据集可同大数据分析一起,使用于管理人口健康、预测健康趋势以及处理流行疾病,可以有效改善患者的治疗效果。新冠疫情加快数字化进程,远程医疗成为刚需,医生和患者对线上接受度有着明显的提升。
国际云安全联盟CSA发布白皮书《医疗健康网络安全手册》从全球视角提出了网络安全的发展趋势分析,行业网络安全痛点以及相应的解决方案建议,为企业安全负责人和从业者提供参考。(文末附白皮书下载方式)
数字医疗带来哪些挑战?
随着数字医疗的普及,医疗设备与相关系统的安全性已经关系到医疗机构业务的正常运营。勒索软件,拒绝服务攻击造成的医院应用系统中断,已经给多家医疗机构和患者带来巨大影响。2020年9月,美国环球健康服务公司250处设施遭勒索软件攻击,迫使医生和护士依靠纸笔书写病历。同月,德国的杜塞尔多夫发生勒索软件造成医院IT系统故障, 迫使重病患者被送往另一个城市的医院,救治的延误造成患者死亡。 数字医疗伴生了大量的患者个人健康信息,在收集、开发和利用上,患者数据的保护不利,往往对患者本人造成极大的困挠,甚至在生活和工作中遭遇歧视。 同时, 健康医疗数据不仅涉及到个人层面,也涉及到公共利益,甚至是国家安全。患者个人的治疗数据的积累,可能涉及整个治疗方案的优化改进,地区人群和种族基因数据则可能关乎国家安全。 云计算助力兑现高质量、低成本和 安全的医疗承诺
虚拟医疗和可穿戴个人健康监测设备的使用大大增加了攻击面。再加上商业性的非医疗机构现在也参与其中,亚马逊宣布扩展到全国范围内的远程医疗,谷歌收购了Fitbit。随着这一增长,我们如何兑现获得高质量、低成本和安全医疗的承诺? 云计算作为一项有望改变医疗健康行业的有前途的技术迅速进入我们的环境。云计算具有许多优势,例如灵活性、成本和能源节约、资源共享和快速部署。但云计算还带来了许多安全和隐私问题, 卫生保健组织 (HDO) 需要随时随地访问医疗记录,云计算促进了来自患者、医疗设备、医疗物联网 (IoMT) 和多个 HDO 的数据共享。这种共享以及 HDO 和患者随时随地访问,需要更高级别的安全性。 无论数据驻留在何处,HDO都负责确保医疗数据的隐私和安全。医疗健康数据很有价值,而 HDO 是网络犯罪分子的目标。这使得HDO 必须保护所有患者信息,除了保护患者信息的道德义务外,组织还需要满足监管要求。 世界上大多数国家/地区还制定了管理健康数据处理的数据保护法。由于国家之间的数据保护制度存在差异,大多数国家除非满足某些条件否则禁止个人数据(包括健康数据)的传输,HDO必须了解管理其数据收集、处理和存储地点的法律。 云安全联盟的安全、信任、保证和风险计划(CSA STAR)
人们越来越意识到,当前安全事件呈上升趋势, 有必要建立一个通用框架,确保报告的透明性和道德性,并确保信息提供者本身的信誉。云安全联盟的安全、信任、保证和风险计划(CSA STAR)提供了解决这些差距的方法和工具。 CSA STAR 包含透明度、严格审计和标准协调的关键原则, 使用 STAR 的公司指出最佳实践并验证其云产品的安全状况,STAR评估是基于云控制矩阵CCM,CSA的共识评估倡议问卷 (CAIQ) 和云控制矩阵 (CCM) 是帮组织实现云上数据安全的绝佳工具。 STAR 注册表记录了流行的云计算产品提供的安全和隐私控制。这个可公开访问的注册表允许云客户评估他们的安全提供商以做出最佳采购决策。下图责任共担模型明确各个角色及职责,STAR 要求组织考虑云服务提供商和用户的角色和责任。
来自CSA的方案 - 从数据出发,管理整个生命周期
数字医疗的核心价值就在数据中,这也就是我们需要尽力去保护的东西。为了保护数据,必须知道拥有哪些数据,这些数据存储在什么地方。为了确保能够从所有的角度照顾到数据安全的方方面面,最好的办法就是贯彻整个数据生命周期的审视。 1. 创建 - 数据的生成,获取或者是修改 · 了解数据来源、收集方式、收集主体; · 对数据进行分类分级,并明确数据保护要求; · 明确数据创建工具的安全性; 2. 存储-将数据发送到数据仓库 · 明确存储的数据的种类,存储位置,访问权限,存储状态和保留期限; 3. 使用-对数据进行处理, 查看或者是其他任何的使用活动 · 明确数据的用户,用途,和使用方式和合规性 4. 共享-数据或是信息为其他人所访问 · 明确数据共享方,共享目的,共享方式和共享方对数据的保护义务和措施 5. 归档-数据放置于长期的存储之中 · 明确数据的保留期限和归档要求 6. 销毁-当数据不再需要时, 对它进行物理性的摧毁 · 明确合规的销毁方,销毁措施和数据销毁的保障