【独家】医疗敏感信息未得到保障 未来三年能否加强？(1)

对于公司而言，安全简直像一场噩梦，医疗行业的特殊性质使该情况雪上加霜。由于政府出台了各种医疗数据管理规定，各种影响安全的移动设备的普及，需要让小型医疗机构(独立经营的企业，一般没有信息技术员工)能够通过网络访问所有文件，拥有变更/添加敏感数据的特权。

但是有什么方法能够真正实现更安全的访问?同时不但要确保这些方法可行，甚至能带来效益?很多业内人士表示这种方法的确存在，参与者必须同意在开始时就高度重视安全问题。

对云的担心

波士顿联盟医疗体系(Partners HealthCare)前首席信息安全官、纽昂斯通讯公司(Nuance Communications)现首席信息安全官Jennings Aske表示，医疗信息技术安全最大的威胁一定是云服务器和电子邮件。思索片刻，Jennings Aske指出，更准确地说，消费级云和电子邮件服务中患者的医疗数据等敏感信息的安全并没有得到保障。

“大部分从业者缺乏安全意识，”Aske说，“他们不知道使用Dropbox、雅虎邮箱或Gmail的风险。我最大的顾虑是他们用云来保存病历。我知道有一个医生把每一份病历都备份到云驱动器中。”

信息技术不能阻止医生做出这种不顾后果的举动，我们应该鼓励医生更好地了解安全问题。“我非常愿意看到医学院能够开设安全课程。”Aske说。

信息中心能否转变为利润中心?

大部分人同意，医疗安全链最薄弱的环节是这些需要充分获得医院特权的小型独立医疗机构。如果这些机构的员工采取的安全措施比较薄弱，机构就不能确保可靠性和安全性。

但是如果在给予医院特权的同时，对它们又提出了信息技术方面的要求，强迫独立医疗机构不仅要遵守一系列的信息技术规定，而且要求她们根据预先核准的列表，使用上面列出的一家信息技术公司的服务。

是好或是坏，取决于你的视角——如果要求这些独立公司与医院内部信息技术服务签订合同怎么样?从理论上讲，这将在解决安全问题的同时为医疗集团增加了收入和利润。

一家名为医疗信息技术合规公司Acentec的首席执行官Jeff Mongelli描述了这个问题：这家独立的医生诊疗室“可能通过加密VPN隧道连接到赛达斯-西奈医院。”他说，“但是如果安全工作很不到位，就会创建一个(电脑窃贼)网关。他的服务器上可能有一个用了10年之久的消费级防火墙和过时的防病毒软件。但是这并不能防止他在玩游戏时无意下载了病毒。”

Mongelli表示，未来几年，医院集团只能采取措施防止此情况发生。

“医院未来会对实验室、成像中心、医生等与之连接的有关各方提出更高的遵从标准，包括审查信息技术基础设施的权利。”他强调。

这可能必须包括突击检查。“信息技术员工很懒惰。他们一知道有人在附近巡视，就会把所有东西都收拾干净。”他指出。如果他们不知道什么时候检查，就会持续保持警惕。

Mongelli 表示，下阶段就要在医院创造一个虚拟的信息技术员工，如果有人想连接网络就要付费——他把这称之为“一个不可避免的变革”。

听上去更可怕吗?这可能不会阻止医院集团的脚步。“保险公司可能会得出相同的结论。”他强调。

Aske指出，他很赞成这一想法，但是对这种做法的实用性和可行性表示怀疑。

“落在书面上很容易，但是落实起来却很难，”他说，“医疗机构在实施扩大医疗交互平台方面动作就很缓慢，提高安全性会有什么不同呢?”