【独家】医疗信息安全秘籍12式

医疗行业面临着日益严重和更广泛的安全威胁(无论是有意的还是无意的)。这十二个措施将帮助信息技术领导准备、应对，甚至未雨绸缪。

每个人都知道医疗信息技术安全问题难以处理，但并非每个人都有解决方法。近期由HIMSS Media and Healthcare IT News主办的隐私和安全论坛，旨在通过向医疗机构提供可行的方法，避免发生由于疏忽出现黑客、违规、负面宣传和罚款的风险。这12个秘诀将帮助HIPAA所覆盖的实体和业务伙伴——例如付款人、提供者、厂商或分包人应对更大的威胁。与此同时，论坛分会讨论了波士顿儿童医院如何匿名反击的过程，为医疗机构提供第一手的应对常见攻击的资料，提供了如何为应对黑客袭击做好准备的相关建议。

整装待发

虽然卫生与公众服务部民权办公室还未公布具体时间，但是HIPAA合规审计即将开始。民权办公室医疗信息隐私高级顾问Linda Sanches表示，该机构将开展200次案面审计和一定数量的现场审计，并称除了HIPAA覆盖的实体外HIPAA业务伙伴也纳入审计范围。不要再犹豫了，Sanches表示：“现在正是整装待发的好机会。”开展风险评估(后面有更详细的描述)、了解业务伙伴、加密设备、把握风险。“如果按照要求，就能很容易地通过审计。”

聘用优秀员工

医疗首席信息安全官可遇不可求，部分是因为医疗行业长期的安全问题。无所不在的人才辩论取决于医疗机构对业务或安全的敏锐性。

圣查尔斯卫生系统信息安全主任John Pritchard表示，着眼于机构内部，鼓励找到团队的精英。那些对信息安全感兴趣的人可以读一读《杜鹃蛋》(The Cuckoo's Egg)，如果他们喜欢这本书，Pritchard就会继续对话。(可随后开展适当的领导力培训活动)

着眼于外部，应避免循规蹈矩。可考虑经验丰富的人员(推荐弗莱彻艾伦卫生保健院首席信息安全官Heather Roszkowski)，或者行业经验不太丰富、学习网络安全的大学生(例如哈佛朝圣者保健院首席信息安全官)。

开展安全风险分析

在第一阶段，既要符合HIPAA安全规则，也要求开展安全风险分析。第二阶段则要求加密和数据保密——但不要忘记数据完整性和有效性。宾夕法尼亚质量见解公司(Quality Insights of Pennsylvania)Adam Kehler表示。

除了简单的合规外(稍后将进行更详细的讨论)，可考虑安全风险审计。哈佛医学院波士顿贝斯以色列女执事医疗中心在2013年波士顿马拉松赛爆炸案后就进行了安全风险审计。首席信息官John Halamka博士表示，评估中需要了解身份管理、事件记录和监控、管理、用户意识训练和云安全(即让医疗服务提供者签署业务伙伴协议)。Halamka表示，工作流很关键，这包括数据所有权、资产管理、终端安全和“企业恢复力”，或业务连续性和灾难恢复计划。

管理风险就要承担风险

对于新技术，管理风险就要承担风险。安泰首席信息安全官Jim Routh采用了组合管理的方法，在成熟前就对新兴技术进行了投资(因此很昂贵)。例如，他的最新网络入侵检测工具，成本仅为原先的4%，留下足够的资金投资于微分虚拟化和白名单工具。另一个“风险”投资是帮助保险公司发现冒牌货。Routh表示，在评估新产品公司时，应把目光放在技术人员而非财务业绩上。新安全技术的另一个好处：覆盖了所谓的SMAC协议栈——社会、移动、分析和云——优于常规控制。

合规性只是开始

CynergisTek首席执行官Mac McMillan表示，合规不会带来改变，但是罚款和当众受窘会。HIPAA、PCI和NIST等都阐明了安全标准，但是没有解决各方面的强大风险管理问题。Leidos健康副总裁Sean P. Murphy举了一个例子，你可以给数据加密，认为自己已经完成了工作。合规后最大的问题是你是否原本需要这些数据。Fletcher Allen的Roszkowski指出：“如果我认为这是正确的做法，我不会等到有人告诉我才去做。”

不要急于应用BYOD(自带设备办公)

对于医疗行业来说，从摄像机、禁用设备到应用程序层的访问，BYOD自带设备办公模式具有挑战性。其它行业的用户不同于信息技术部门，他们推动了这个进程，并看到了提高生产力的潜力。普罗维登斯医疗服务集团首席信息安全官Michael Boyd设置了这个基准：如果上面的设备或数据不能被加密，就不能与网络连接。McMillan表示，不要跟踪设备。“你可以抓住一些了解的设备，但是会错过不了解的设备，”而是要控制数据：“如果数据从不在外围，就不用担心外围的事情。”如果有所怀疑的话，检查风险预测。你需要什么样的安全措施，就必须在哪里划清界限?

重视厂商的选择

让信息技术和临床成员参与到购买团队;每个团队都有不同的需求和考虑。Post & Schell律所Steven Fox表示，应询问员工他们是否希望买车的流程。如果他们不喜欢，就不要把他们编入团队。信息技术主管应该提供建议，而不是做最后的决策。这样，团队可在谈判中回到他们身边。

在签署合同前，设计软件授权(在线与软件即服务)、验收测试、保证、机密性、责任范围和调解纠纷。Habif, Arogeti & Wynne公司信息担保服务合作伙伴负责人Daniel Schroeder建议，不让要厂商以任何目的使用不确定的患者数据，除非他们真正理解HIPAA合规性。

注意内部敌人

联邦调查局特工Carmine Nigro认为即将开展的裁员行动、对工作的不满和医疗数据的转售价值是导致内部员工访问敏感信息的主要原因。(记得Target泄露事件吗?专家把员工、医学院学生、业务伙伴和承包商都列为内部人。)“你看到了什么，就说什么”监控咒语很有效。应查找在结束或合同失效后，给向个人账户发送邮件进行加密或访问远程网络的人。爱因斯坦医疗网络首席信息安全官Anahi Santiago表示，必须给台式机加密，这样能防止有意或无意数据泄露。为了防止窥探病历，Santiago建议“公开质询”被抓到的人，“每个人都知道我们正在关注。”

注意潜在风险

Parkland医疗和医院系统首席信息官、高级副总裁Fernando Martinez表示，“隐藏的陷阱”遍及医疗机构。每个事物都会有潜在的风险，他建议：

·云储存(访问权限)

·分布式数据(很容易分享)

·身份管理(轻易破解的密码)

·社会工程(人性)

·BYOD自带设备办公(包括闪存盘)

·医疗器械(潜在的利用向量，尤其是业务伙伴)

·数据泄露疲劳(不可避免地招致自满)

为了应对潜在的风险，Martinez建议可开展网络保险、数据分层抽象、异常行为检测、事件记录、模拟网络钓鱼攻击等实践教育活动。这些措施不能马上解决医疗信息技术安全问题，但是却可以把这些问题暴露公之于众。

重视社交媒体

哈洛集团负责人David Harlow表示，医院使用社会媒体与患者联系，医院员工使用社交媒体进行社交。制定医疗社交媒体规定必须明确且具包容性的过程。他建议：

·限制访问品牌账户的“官方”发言人。

·既然三角法可发现匿名化处理，可以用于获取照片或帖子上的许可权限设置。

·装配“休息室”电脑(分网)，员工可安全访问个人社交媒体账户。

·避免严格限制员工个人帖子;国家劳资关系委员会保护某些类型的言论。

·不要认为人们可看清其中的因果联系。一旦有疑惑，就说出来。

·总之，在综合风险分析中应包括社交媒体。

注意迫在眉睫的威胁

报纸头条可推动安全计划的推行(想想社区医疗系统)，但是“在报纸上的信息只是冰山一角，”大学医疗中心首席信息安全官Phil Alexander指出。换而言之，医疗机构必须预测未来，而不是参加战争。Fletcher Allen的 Roszkowski曾在军队工作11年。

不仅如此，很多威胁可能需要数月或数年才能被发现。原因是网络犯罪“非常成熟复杂，”联盟医疗体系副首席信息安全官Esmond Kane表示，这体现在他们访问信息(“路过式袭击”)以及他们的处理方式(黑市销售)上。如果有什么消息令人安慰，CynergisTek的McMillan表示，那就是今天的罪犯瞄准每个人，与个人无关。

尽力而为

赛门铁克美国医疗行业东部地区主任Nathan Russ表示，医疗行业想用五年的时间实现安全智能，而金融服务行业却用25年的时间来做这件事情。由于医疗行业正在遭受有针对性的攻击，所以现在正是提高安全性的关键时刻。Russ提供了下列切实可行的建议：

·资产性存货

·补丁管理

·虚拟伺服器安全

·终端安全

·防火墙和沙箱等补偿控制

·安全管理服务

·大容量功能的云使用

·病历确切的数据匹配

·病人门户用户多重身份验证

·合规训练是安全预算的晴雨表

一言以蔽之：“我们要一直假设每个网络一直都会受到攻击。”

原文标题：12 Tips for Responding to Rising Healthcare IT Security Threats

原文作者：Brian Eastwood